Sicherheit und Privatsphäre in multimedialen

Sicherheit und Privatsphäre
in multimedialen Telekonferenzsystemen
am Beispiel von Microsoft NetMeeting
Hauptseminar Virtuelle Präsenz
WS 2003/2004
Florian Holeczek
28.02.2004
Abteilung Verteilte Systeme
Fakultät für Informatik
Universität Ulm
Inhaltsverzeichnis
1 Einleitung.............................................................................................................................. 3
2 Kurzübersicht über Microsoft NetMeeting............................................................................3
2.1 Warum NetMeeting?...................................................................................................... 3
2.2 Funktionalität von NetMeeting.......................................................................................3
2.2.1 Audio-Video-Übertragung...................................................................................... 4
2.2.2 Chat.........................................................................................................................4
2.2.3 Whiteboard............................................................................................................. 4
2.2.4 Dateiübertragung.....................................................................................................4
2.2.5 Application Sharing................................................................................................ 4
2.2.6 Verzeichnisdienst....................................................................................................4
2.3 Zusatzsoftware................................................................................................................5
2.4 NetMeetings Sicht von Sicherheit.................................................................................. 6
3 Verwendete Protokolle.......................................................................................................... 7
3.1 H.323.............................................................................................................................. 7
3.2 T.120...............................................................................................................................8
3.3 LDAP..............................................................................................................................8
4 Sicherheit und Privatsphäre: Probleme und Lösungsansätze................................................ 9
4.1 Verbindungsaufnahme....................................................................................................9
4.2 Identitätsraub.................................................................................................................. 9
4.3 Firewalls und Network Address Translation (NAT).................................................... 10
4.4 Man in the Middle: Mitlesen der Audio-Video-Daten durch Dritte.............................11
4.5 Freie Bahn bei Application Sharing............................................................................. 11
4.6 Software-Bugs.............................................................................................................. 12
5 Zusammenfassung und Fazit............................................................................................... 13
Literaturverzeichnis............................................................................................................. 14
3
1 Einleitung
Multimediale Telekonferenzsysteme werden immer beliebter, wofür es im privaten als auch
im geschäftlichen Umfeld viele Gründe gibt. Privatleute lernen nach und nach die Möglichkeit zu schätzen, mit entfernt wohnenden Verwandten oder Freunden besser und billiger
kommunizieren zu können. Diese Entwicklung wird durch die fortschreitende Verbreitung
von Breitband-Internetanschlüssen wie DSL und die breite Palette an preiswerten USBWebcams noch beschleunigt. Aus unternehmerischer Sicht kommen noch andere Gründe
hinzu. Die Kommunikation mit Mitarbeitern an anderen, beliebig weit entfernten Standorten
wird besser und zugleich kostengünstiger: Es fallen keine Reisekosten an, keine Arbeitszeit
geht durch eine Geschäftsreise verloren, Termine werden kurzfristiger möglich. Es muß sich
nicht zwangsläufig um eine Audio-Video-Konferenz handeln: außerdem wird die vernetzte
gleichzeitige Arbeit an einem Rechner oder Dokument, auch E-Collaboration genannt, durch
solche Systeme ermöglicht. Wie sieht es jedoch mit der Sicherheit und der Privatsphäre in
solchen Systemen aus? Die vorliegende Arbeit befaßt sich mit dieser Frage am Beispiel von
Microsoft NetMeeting, einem sehr verbreiteten, wenn auch nicht mehr ganz taufrischen
Vertreter dieser Softwaregattung.
Hierzu wird zunächst die Funktionalität von NetMeeting vorgestellt und dann auf die verwendeten Protokolle eingegangen. Schließlich sollen ausgewählte Beispiele einen Überblick
geben, wie es um Sicherheit und Privatsphäre bestellt ist. Eine allumfassende Abhandlung ist
aufgrund der Komplexität des Themas allerdings schwer möglich, für weiter- oder tiefergehende Informationen sei daher auf das Internet als reichhaltige Informationsquelle verwiesen.
2 Kurzübersicht über Microsoft NetMeeting
2.1 Warum NetMeeting?
Wie bereits erwähnt ist Microsoft NetMeeting teilweise nicht mehr ganz auf dem aktuellen
Stand der Technik. Teilweise bedeutet dabei vor allem die erreichbare Qualität der AudioVideo-Übertragung. Da NetMeeting aber aufgrund dessen, daß es als Gratis-Beigabe seit
Windows 95 unter die Leute gebracht wird, sehr verbreitet ist (und auch eingesetzt wird) und
außerdem von seiner Funktionalität her einen typischen Vertreter multimedialer Telekonferenzsysteme verkörpert, wurde es für diese Arbeit ausgewählt. Desweiteren sind Technologie
und Know-How in diverse andere Microsoft-Produkte eingegangen, unter anderem MSN
Messenger, Windows Messenger und Office Live Meeting ([10],[11],[12]), und mit ihnen
die Sicherheitsproblematik.
2.2 Funktionalität von NetMeeting
Im folgenden wird die Funktionalität von NetMeeting1 grob dargestellt. NetMeeting ist zumindest teilweise kompatibel mit allen Versionen bis zurück zur Version 2.0. Jedoch haben
grundlegende Features wie Remote Desktop Sharing, Verschlüsselung und die Unterstützung
von Gateways und Gatekeepern erst in die Version 3 Einzug gehalten (siehe [7]).
1 Falls nicht anders angegeben beziehen sich alle Angaben auf die Version 3.01, Build 3400.
4
2.2.1 Audio-Video-Übertragung
NetMeeting unterstützt eine breiten Palette an Geräten. Jede erdenkliche Audio- oder Videoquelle, sei es nun USB-Webcam oder ausgewachsene Videokamera an einer TV-Karte, wird
als Datenlieferant akzeptiert, solange nur die geeigneten Windows-Treiber installiert sind.
NetMeeting bietet diverse Einstellmöglichkeiten für Qualität und Videogröße. Der Benutzer
hat die Wahl zwischen drei Videogrößen und einer stufenlos regelbaren Videoqualität.
Ferner kann zwischen Voll- und Halbduplex Audioübertragung gewählt werden. Das eigene
Bild kann entweder ins Eck des Videobildes des Kommunikationspartners eingeblendet
werden oder in einem eigenen Fenster angezeigt werden. Zu beachten ist, daß keine AudioVideo-Übertragung in verschlüsselten Sitzungen möglich ist.
2.2.2 Chat
NetMeeting bietet einen schlichten, textbasierten Chat an. Der Benutzer kann wählen, ob
eine Nachricht an alle oder nur an einen bestimmten Teilnehmer der Konferenz geschickt
werden soll. Der Inhalt des Chatfensters ist im HTML-Format exportierbar.
2.2.3 Whiteboard
Das Whiteboard bietet auf den ersten Blick lediglich eine einfache Mal-Oberfläche a la
Microsoft Paint. Jede Aktion erfolgt jedoch objektorientiert, was unter anderem bedeutet,
daß einzelne gezeichnete Komponenten später beliebig verschoben werden können. Außerdem werden mehrere virtuelle Seiten unterstützt. Auch das Einfügen von Bildschirminhalten
ist möglich. Weiterhin gibt es Sperr- und Synchronisationsoptionen sowie den sogenannten
Remotezeiger, ein entfernter virtueller Zeigestab. Insgesamt läßt sich mit den zur Verfügung
stehenden Funktionen eine Tafelzeichnung vor den Kollegen im Büro gut nachbilden.
2.2.4 Dateiübertragung
NetMeeting sendet und empfängt beliebige Dateien. Das Senden geschieht wahlweise an
einen bestimmten Empfänger oder an alle Konferenzteilnehmer. Empfangene Dateien werden dabei im zentralen Zielordner "Empfangene Dateien" im NetMeeting-Programmordner
des Zielrechners gespeichert.
2.2.5 Application Sharing
Application Sharing bedeutet die Freigabe und Steuerung einzelner Programme oder des gesamten Desktops für bzw. durch andere Konferenzteilnehmer. Die Steuerung des eigenen
Rechners ist jederzeit mit der ESC-Taste sofort abbrechbar.
2.2.6 Verzeichnisdienst
NetMeeting-Benutzer können sich auf einem oder mehreren sogenannten ILS- (Internet
Locator Service) bzw. früher ULS-Servern (User Locator Service) anmelden. Das Programm
bietet davon unabhängig die Auflistung des Inhalts beliebiger ILS-Server an. Leider ist diese
Funktion in der Praxis sehr langsam. Außerdem werden die Daten nicht selbständig auf dem
aktuellen Stand gehalten. Aufgrund hohen Missbrauchs der Server (u.a. 0190-Anbieter) ist
diese Funktion von NetMeeting nicht sinnvoll einsetzbar.
5
2.3 Zusatzsoftware
Zu NetMeeting gibt es jede Menge Zusatzsoftware. Microsoft selbst bietet das NetMeeting
Resource Kit an, in dem eine über 250 Seiten umfassende Dokumentation, eine Policy-Datei
für die manuelle Konfiguration einer benutzerdefinierten Version von NetMeeting sowie der
Resource Kit Wizard enthalten sind, der dies automatisiert. Angepaßt werden können AudioVideo-Einstellungen, Bandbreitenlimits fürs Netzwerk sowie Support-Funktionen. Außerdem gibt es noch das NetMeeting SDK (Software Development Kit), das allerdings nicht
mehr offiziell verfügbar ist. Mit dem SDK lassen sich die Funktionen von NetMeeting
mittels APIs für C, C++, Visual Basic, JavaScript oder VBScript in eigene Programme
einbinden. Das wohl bekannteste Produkt, das dies tut, ist der T-Online Messenger (TOM),
der auf Abbildung 1 zu sehen ist. Desweiteren existieren eine Vielzahl an Tools von
Drittherstellern (siehe z.B. [13]).
Abbildung 1: T-Online Messenger
6
2.4 NetMeetings Sicht von Sicherheit
Abschließend folgen nun ein paar Worte über NetMeetings Sicht von Sicherheit. Allgemein
kann man sagen, daß in NetMeeting Sicherheit als Add-On gehandelt wird, was sich am Zitat
"Security is a new feature in NM3" (siehe [8]) gut ablesen läßt. Auch im Programm wird
diese Metapher weiter verwendet (siehe Abbildung 2). Es erfolgt keine klare Unterscheidung
zwischen Authentifizierung und Verschlüsselung. Im wesentlichen bietet NetMeeting Passwortschutz für geleitete Konferenzen, Benutzerauthentifizierung mittels Zertifikaten des
angemeldeten Benutzers oder des Rechners sowie Verschlüsselung der übertragenen Daten
an. Audio-Video-Daten sind hiervon jedoch ausgenommen. Außerdem ist eine Benutzerauthentifizierung ohne Datenverschlüsselung nicht möglich, was bedeutet, daß sich der
Benutzer zwischen Authentifizierung und Audio-Video-Übertragung entscheiden muß. Bei
allen anderen Sicherheitsaspekten wird dazu geraten, es über Policies zu lösen. Davon
abgesehen, daß diese vom Benutzer umgangen werden können, läuft diese Art der
Sicherheitspolitik lediglich auf ein Abschalten eventuell riskanter Funktionen hinaus (siehe
[1]).
Abbildung 2: NetMeeting-Dialog "Optionen", Reiter "Sicherheit"
7
3 Verwendete Protokolle
Die Empfehlungsserien T.120, H.320, H.323, und H.324 der ITU-T2 stellen den Kern für
multimediale Telekonferenzen dar (siehe Abbildung 3). NetMeeting unterstützt die Standards H.323 und T.120. Daher ist es mit anderen H.323-Produkten wie z.B. AVM Alice oder
GnomeMeeting kompatibel. Bezüglich T.120 hapert es mit der Kompatibilität allerdings.
Vermutlich ist der Grund hierfür, daß ein Teil davon noch nicht endgültig verabschiedet war,
als NetMeeting entwickelt wurde.
Jede Empfehlungsserie besteht aus mehreren Teilempfehlungen. Die Serien nehmen auch
teilweise aufeinander bezug. Alle Protokolle unterscheiden zwischen Signalisierungs- und
Nutzdaten.
Abbildung 3: Empfehlungsserien der ITU-T (Quelle [6])
3.1 H.323
Bei H.323 handelt es sich um eine Empfehlungsserie für Audio- und/oder VideoKonferenzen über paketbasierte Netze ohne Quality-of-Service-Garantie, wie das Internet
mit TCP/IP eines ist. H.323 ist nicht zuletzt aufgrund seiner frühen Verfügbarkeit das am
weitesten verbreitete Protokoll seiner Art. Per Definition ist es außerdem in der Lage,
Verbindungen auch zu Geräten nach H.320 und H.324 aufzubauen und definiert hierzu die
Gerätegruppen Terminal (Endpunkt einer Verbindung), Gatekeeper (zentrales Steuerelement
für das Routen der Rufsignalisierung, die Auflösung von Telefonnummern bzw. IPAdressen), Gateway (Übergang in fremde Netze inkl. einer evtl. damit verbundenen
Protokollumsetzung) und Multipoint Control Unit (MCU, zuständig für Konferenzschaltungen). Außerdem werden Codecs für die Kodierung und Dekodierung der Audio- und
Videodaten definiert. Die Übertragung des H.323-Protokolls geschieht über das Real-Time
Protocol (RTP, für die Nutzdatenübertragung) sowie das Real-Time Control Protocol
(RTCP, für die Signalisierungsdatenübertragung). Das H.323-Protokoll verwendet mehrere
2 Abk. f. International Telecommunications Union, Telecommunication Standardization Sector. Ein
Normierungsgremium hauptsächlich für Telekommunikation mit Sitz in Genf.
8
statische und dynamische TCP- und UDP-Ports, was, wie wir noch sehen werden, ein
gewisses Manko darstellt.
3.2 T.120
Der T.120-Standard wurde 1994 von der ITU verabschiedet [14]. Er umfaßt eine Reihe von
Unterpunkten, die zusammen eine echtzeitfähige, optional verschlüsselte (T.123 Annex B)
Punkt-zu-Mehrpunkt-Datenkonferenz (T.124) mit den Merkmalen Dateitransfer (T.127),
Application Sharing, Chat, Standbild (T.126) erlauben. Dabei kann T.120 entweder für
alleine oder im Verbund mit anderen ITU-Standards wie H.323 genutzt werden, was bei
NetMeeting der Fall ist. Microsoft spricht von einem T.128-Teilstandard für Application
Sharing ([7]), jedoch befindet sich dieser noch im Status Draft, was wohl der Grund dafür
ist, daß dieses Feature nur funktioniert, wenn der bzw. die Konferenzteilnehmer ebenfalls
NetMeeting einsetzen. T.120 definiert außerdem verschiedene Netztopologien. Es gibt
sternförmige, kaskadierte und Daisy-Chain-Topologien. Der Aufbau der Netztopologie
erfolgt in NetMeeting sozusagen automatisch, je nachdem wer wen in welcher Reihenfolge
anruft.
3.3 LDAP
LDAP ist die Abkürzung für Leightweight Directory Access Protocol. Es ist aus dem OSIVerzeichnisdienst X.500 hervorgegangen und stellt sozusagen eine vereinfachte, speziell auf
TCP/IP zugeschnittene Version des X.500-Verzeichnisprotokolls DAP dar ([14]). Es ist im
Internet-Standard RFC 1777 definiert. Die erste Version von LDAP ist im Jahre 1993 erschienen, mittlerweile ist Version 3 gültig. LDAP wird in "nahezu standardkonformer" Form
von NetMeeting für den Zugriff auf einen ILS-Server verwendet. Nahezu standardkonform
deshalb, weil es im Grunde die Version 2 mit einigen Erweiterungen verwendet, die offiziell
erst mit der Version 3 verabschiedet wurden. Der Grund hierfür ist der, daß NetMeeting
genau zu der Zeit entwickelt wurde, als LDAPv3 noch in Arbeit war.
9
4 Sicherheit und Privatsphäre: Probleme und Lösungsansätze
Nachdem wir nun die Funktionalität von NetMeeting sowie die verwendeten Protokolle
kennengelernt haben läßt sich bereits erkennen, daß Sicherheit und Privatsphäre sehr komplexe Themen sind. Durch die Schachtelung bereits für sich gesehen sehr komplexer Protokolle entsteht schnell ein undurchschaubares Knäuel. Ein grundlegendes Sicherheitsproblem
schon zur Entwicklungszeit ist sicherlich, daß wie in Kapitel 2.4 schon erwähnt Sicherheit
als Add-On gesehen wird, das einfach nachträglich noch hinzuprogrammiert wird. Hierbei
wird dem Benutzer Sicherheit vorgetäuscht, die gar nicht existiert. Dies ist noch gefährlicher
als gar keine Sicherheitsfeatures zu bieten, da der Benutzer gar nicht erst mit Sicherheitsproblemen rechnet. Bei der Entwicklung von H.323 ist das genannte Problem offenbar ebenfalls
aufgetaucht: Es drängt sich der Verdacht auf, daß sich zur Designzeit wohl niemand mit
Sicherheitsaspekten des Protokolls beschäftigt hat, wie wir noch sehen werden.
Es folgt nun eine Liste ausgewählter "Problemzonen" von Sicherheit und Privatsphäre, inklusive einiger Lösungsansätze hierzu. Ansätze deshalb, weil es in vielen Fällen einfach keine
praktikable Lösung gibt.
4.1 Verbindungsaufnahme
Bereits bei der Verbindungsaufnahme gibt es einige Unzulänglichkeiten. Aufgrund der Tatsache, daß Verschlüsselung nur in reinen Datenkonferenzen zur Verfügung steht und
Authentifizierung von Benutzern wiederum nur in Verbindung mit Verschlüsselung
verwendbar ist, folgt, daß für Audio-Video-Konferenzen keine Benutzerauthentifizierung zur
Verfügung steht.
Ein weiteres Problem ist die Möglichkeit der Verletzung der Privatsphäre, wenn man an
einem öffentlichen Verzeichnisserver angemeldet ist. Aufgrund der Art der Verwendung
durch 0190-Anbieter und co. als eine Art Internet-Rotlichtviertel ist diese Art der
Verbindungsaufnahme sowohl für das geschäftliche Umfeld als auch für Minderjährige nicht
geeignet. Hier hat Microsoft bereits reagiert und bietet im Folgeprodukt Windows Messenger
nur noch den Verbindungsaufbau über die sogenannte Buddy-Liste an, wodurch Unbekannte
von vornherein ausgesperrt werden.
Eine weitere Unschönheit, die jedoch ein allgemeines Problem des Internet darstellt, ist die
Notwendigkeit der impliziten oder expliziten Preisgabe der eigenen IP-Adresse, womit
sowohl durch Rückschlüsse verschieder Art (Topologie des Firmennetzes, Provider, Ort,
usw.), als auch durch direkte Angriffe sowohl Sicherheit als auch Privatsphäre in Mitleidenschaft gezogen werden können.
Auch ist die in 3.1 erwähnte MCU als zentrale Verteilungsstelle der Konferenzdaten ein beliebter Angriffspunkt für Hacker, dessen Kompromittierung für den normalen NetMeetingBenutzer im Normalfall unbemerkt bleiben wird.
4.2 Identitätsraub
Aufgrund der Tatsache, daß sämtliche Benutzerdaten in NetMeeting wie Name, E-MailAdresse, Ort usw. frei konfigurierbar sind, läßt sich leicht in die Rolle einer anderen Person
schlüpfen. Dies ist in Verbindung mit der wie in 4.1 gezeigten oft fehlenden Benutzerauthentifizierung der erste Schritt in Richtung Social Engineering. Fällt der Betrug auf, ist es
möglicherweise schon zu spät, weil etwa geheime Geschäftsunterlagen bereits zum Betrüger
10
transferiert worden sind.
Doch auch wenn die Benutzerauthentifizierung verwendet wird bedeutet dies nicht wirklich
mehr Sicherheit. Standardmäßig erfolgt die Authentifizierung lediglich anhand eines von
NetMeeting generierten Zertifikats für den Benutzer eines Rechners, wahlweise sogar nur für
den gesamten Rechner. Damit steht natürlich noch lange nicht fest, wer zum Zeitpunkt der
Verbindungsaufnahme wirklich davorsitzt.
Eine weitere Möglichkeit des Identitätsraubs ist die Kompromittierung eines Verzeichnisservers. Derjenige, der hierauf Zugriff hat, kann natürlich sämtliche Datensätze der angemeldeten Benutzer nach Belieben verändern und somit beispielsweise Verbindungen auf sich
umleiten.
4.3 Firewalls und Network Address Translation (NAT)
Nummer
389
522
1503
1718
1719
1720
1731
>1024
>1024
Protokoll
TCP
TCP
TCP
UDP
UDP
TCP
TCP
TCP
Typ
Statisch
Statisch
Statisch
Statisch
Statisch
Statisch
Statisch
Dynamisch
Funktion
ILS
ULS
T.120
Gatekeeper discovery
Gatekeeper RAS
H.323 call setup (Q.931)
Audio call control
H.323 call control (H.245)
H.323 audio video
RTP/UDP Dynamisch
streaming
Tabelle 1: Von NetMeeting verwendete Ports
Tabelle 1 zeigt alle von NetMeeting verwendeten Ports. Wie man sieht sind dies eine ganze
Menge, wobei das Öffnen eines Ports in einer Firewall jeweils einen weiteren kleinen Angriffspunkt bedeutet. Wirklich problematisch sind jedoch die letzten beiden Zeilen von Tabelle 1. NetMeeting verwendet, da es das H.323-Protokoll so vorsieht, dynamische Ports,
was eine gängige paketfilterbasierte Firewall vor ein unlösbares Problem stellt, da diese das
H.323-Protokoll nicht mitverfolgt. Als Lösungen fir eine paketfilterbasierte Firewall bieten
sich lediglich an:
• den betreffenden Rechner außerhalb der Firewall zu betreiben. Dies bedeutet, daß man ihn
möglichst von Firmennetz isolieren sollte und auch nicht zu videokonferenzfremden,
sicherheitskritischen Zwecken verwenden sollte.
• große Löcher in der Firewall zu öffnen. Die schlechteste aber einfachste Lösung, bei niedrigen Sicherheitsanforderungen jedoch trotzdem realistisch.
• einen H.323-Proxy zu verwenden, der als Gateway fungiert und die Videokonferenzdaten
durch die Firewall oder an ihr vorbei leitet.
• einen Tunnel durch ein virtuelles privates Netzwerk (VPN) zu verwenden, was einen nicht
unerheblichen initialen Aufwand sogar bei beiden Videokonferenzteilnehmern erfordert
und somit nur bei regelmäßig abgehaltenen Konferenzen sinnvoll ist.
11
Firewalls, die das H.323-Protokoll erkennen und mitverfolgen und so gezielt die dynamischen Ports öffnen und wieder schließen können, sind heutzutage noch nicht sehr weit
verbreitet und glänzen oft noch mit Fehlern im H.323-Protokollhandling, was wohl nicht
zuletzt an der hohen Komplexität dieses Protokolls liegt (siehe z.B. [15]).
Einige Hersteller von H.323-Videokonferenzprodukten erlauben die Einschränkung der dynamischen Ports auf einen benutzerdefinierten Bereich. Dies ist jedoch nicht standardkonform und verhindert die volle Kompatibilität zu anderen H.323-Produkten. NetMeeting unterstützt solche Funktionen nicht.
Speziell bei Verwendung von Network Address Translation (NAT), also der Umsetzung
interner (LAN-) auf externe (WAN-) Adressen gibt es eine weiteres Problem, das in H.323
begründet liegt. Das H.323-Protokoll sendet in seinen Paketen die IP-Adresse des lokalen
Rechners mit, was unter Umständen eine lokale, nicht routingfähige Adresse ist (z.B. der
Form 192.168.x.y). Ohne weitere Behandlung durch die NAT-Software kann der Zielrechner
natürlich nichts damit anfangen, da eine Antwort auf dieses Paket nicht mehr möglich ist.
Als Lösungsansätze hierfür bieten sich die bereits genannten H.323-Proxy oder VPN-Tunnel
an, alternativ das Betreiben des Rechners "direkt am Internet".
Ein anderes Problem, das zu einer Verfälschung von Daten auf alleroberster Ebene, nämlich
der Interpretation durch den Menschen, führt, ist die effektive Erhöhung der Zeit für die
Übertragung eines Pakets durch die Analyse einer oder mehrerer Firewalls auf dem Weg zum
Empfänger. Übersteigt diese Latenzzeit einen bestimmten Toleranzbereich, so wird dies vom
Empfänger unter Umständen als Zögern mißdeutet.
4.4 Man in the Middle: Mitlesen der Audio-Video-Daten durch Dritte
Da Audio-Video-Daten nach H.323 nicht verschlüsselt werden besteht die Gefahr des Mitlesens dieser Daten durch Dritte. Die Tatsache, daß diese Daten auch noch verbindungslos
per UDP übertragen werden, machen es dem Lauscher noch einfacher. Quelle [2] beschreibt,
wie einfach dies mit einigen Bordmitteln funktioniert. Mittels eines Paketsniffers werden
Kopien der Pakete angefertigt, deren Inhalt an ein Abspielprogramm weitergeleitet wird.
Dank der von H.323 standardisierten Codecs gibt es nicht allzuviele Möglichkeiten, welcher
Codec zum Einsatz kommt.
Abhilfe bieten Standards wie IPsec, die eine Ende-zu-Ende-Verschlüsselung der IP-Pakete
übernehmen. Das Einrichten einer solchen Verbindung ist allerdings mit einem gewissen
Aufwand verbunden und lohnt sich daher erst, wenn es zu regelmäßigen Konferenzen
kommt. Hinzu kommt, daß es für die Zielplattform natürlich eine IPsec-Implementierung
geben muß. Ein Lösungsansatz, der sich noch im Entwurfsstatus befindet, ist das Secure
Real-Time Transport Protocol (SRTP), das für die RTP- und RTCP-Pakete Sicherheitsdienste wie Vertraulichkeit und Authentifizierung/Integrität bietet ([2]).
4.5 Freie Bahn bei Application Sharing
Wie bereits in 2.2.5 erwähnt gibt es zwei Arten des Application Sharing, die Freigabe
entweder einzelner Anwendungen oder des gesamten Desktops.
Daß die Freigabe des gesamten Desktips ein enormes Riskio für Sicherheit und Privatsphäre
darstellt dürfte jedem sofort einleuchten. Jedoch steht die Freigabe einzelner Applikationen
diesem oft in nichts nach. Gefahren stellen z.B. die in den meisten Office-Programmen
integrierten Makros und Skriptsprachen dar. Auch wenn die Fragebe für einen entfernten
12
Benutzer erfolgt, so laufen die Programme doch mit den Rechten des lokal angemeldeten
Benutzers. Dadurch wird mindestens der Zugriff auf sämtliche benutzereigenen Dateien
möglich, meist sogar dank Administratorrechten auf die komplette Festplatte und in Firmen
auf Netzlaufwerke. Auch kann die Privatsphäre beispielsweise bereits durch das Anzeigen
aller Dateien im "Eigene Dateien"-Verzeichnis gestört werden. Weiterhin muß der entfernte
Benutzer nicht bösartig handeln: kurz versehentlich eine Datei über eine bereits existierende
gespeichert und schon sind wichtige Daten unwiederbringlich gelöscht. Da hilft dann auch
das schnelle Drücken auf die ESC-Taste für das Entziehen der Steuerungserlaubnis nichts
mehr.
4.6 Software-Bugs
In einer Software, die so komplex ist wie NetMeeting, tritt natürlich auch das Problem von
Bugs auf. In der Geschichte von NetMeeting gibt es einige Programmfehler der typischen
Art. NetMeeting 2.0 hatte einen Buffer-Overflow-Fehler beim Lesen von .cnf-Dateien, die
Verbindungsinformationen enthalten ([9]). Es bot also die Möglichkeit, beliebigen in den betreffenden String eingeschleusten Code im Kontext des gerade angemeldeten Benutzers
auszuführen. Eine weitere, relativ junge Angriffsmöglichkeit ist eine Denial-of-Service(DoS)-Attacke auf einen Rechner, auf dem NetMeeting mit der Remote-Desktop-Freigabe
läuft. Hierzu ist es nicht nötig, eine NetMeeting-Verbindung aufzubauen. Außerdem gibt es
noch die sogenannte Directory-Traversal-Vulnerability ([19]), die es ermöglicht, übertragene
Dateien außerhalb des "Empfangene Dateien"-Verzeichnisses an beliebiger Stelle zu speichern.
Software-Bugs gibt es natürlich auch in den vielen an einer Videokonferenzinfrastruktur
beteiligten Fremdprodukten, wie die bereits genannte Schwachstelle der Checkpoint
Firewall-1 ([15]) oder die Möglichkeit einer DoS-Attacke auf allerlei H.323-Geräte der
Firma Cisco ([17]).
Lösungsmöglichkeiten hiergegen gibt es außer dem Einspielen verfügbarer Patches keine.
Gegen die Übetragung von Viren schützt jedoch die Software BitDefender Antivirus for
NetMeeting ([18]).
13
5 Zusammenfassung und Fazit
Die Komplexität der Software und der verwendeten Protokolle führ zu einer verzwickten
Sicherheitsproblematik, die selbst für Fachleute nicht trivial ist. Die Frage nach der Wahrung der Privatsphäre wird für den Benutzer äußerst schwierig bis gar nicht beantwortbar.
Dies erweckt bei manchen Ängste und verhindert eine Nutzung der Technologie, andere
wiederum kümmern Sicherheit und Privatsphäre wenig. Dort führt die Unbekümmertheit
zuweilen zum Daten-GAU.
Die Ursachen für viele der angesprochenen Probleme liegen in der fehlenden Beachtung von
Sicherheitsaspekten zur Entwurfszeit der Protokolle und der Software. Sicherheit läßt sich
nicht durch nachträgliche Flickschusterei erreichen, sondern muß von vornherein eingeplant
und bedacht werden. Leider ist eine weitere Quelle von Problemen das Unwissen um bzw.
die Nichtbeachtung von sehr wohl bereits vorhandenen Sicherheitsmechanismen. In solchen
Fällen kann die Technik dem Benutzer natürlich weder weiterhelfen noch Verantwortung
abnehmen.
Die Probleme sind aber wohl erkannt und es gibt bereits erste Entwürfe, die sehr
vielversprechend sind (z.B. SRTP). Trotzdem muß das junge Feld der virtuellen Präsenz
aufpassen, denn viele der genannten Probleme lassen sich im Prinzip auf andere Anwendungen dieses Gebiets, wie z.B. virtuelle Welten, übertragen.
Literaturverzeichnis
[1]
[2]
[3]
[4]
[5]
[6]
[7]
[8]
[9]
[10]
[11]
[12]
[13]
[14]
[15]
[16]
[17]
[18]
[19]
Shenton, C.: NetMeeting Security Concerns and Deployment Issues (1998),
http://www.shenton.org/~chris/nasa-hq/netmeeting/
Lo Iacono, L.: Rote Telefone. Abhören von IP-Telefonaten, iX 5/2002, S. 118
Ehrmann, S.: Schau mir in die Augen, Oma. Videotelefonieren mit Windows und
MacOS X, c't 22/2003, S. 106
Roedig, U., Görtz, M., Steinmetz, R.: H.323 und Firewalls. Probleme und Lösungen,
https://www.vc.dfn.de/doku/firewalls/firewallstudie-H.323.pdf
Siering, P.: Bei Bildstörungen... Praxistipps rund um die Videotelefonie, c't 17/2002
http://telecom.htwm.de/telecom/artikel/trendlinien_der_kt/sld033.htm
Microsoft Windows NetMeeting 3 Resource Kit Technical Guide, Microsoft
Corporation, Bestandteil des NetMeeting 3 Resource Kits
Security in NetMeeting 3
http://www.microsoft.com/windows/NetMeeting/Features/security/
http://atzenger18.informatik.tu-muenchen.de/lehre/seminare/semsoft/unterlagen_02/
sicher2/website/#buffer
MSN Messenger, http://msnmessenger.msn.de/
Windows Messenger, http://www.microsoft.com/windows/messenger/
Office Live Meeting, http://www.microsoft.com/office/livemeeting/prodinfo/
http://www.nmtoolbox.com/
Häfner, U.: Computer Supported Cooperative Work (1997),
http://www.kbs.uni-hannover.de/Arbeiten/Diplomarbeiten/98/hfn_html/
Heise Security News, Checkpoint FireWall-1 anfällig über H.323-Schwäche,
30.01.2004, http://www.heise.de/security/news/meldung/44170
MS Windows NetMeeting Homepage,
http://www.microsoft.com/windows/NetMeeting/
Heise Security News, Ciscos H.323-Implementierung für DoS-Attacken anfällig,
14.01.2004, http://www.heise.de/security/news/meldung/43604
BitDefender Antivirus for NetMeeting,
http://www.johannrain-softwareentwicklung.de/
e_bd_netmeeting_antivirus_freeware.htm
NetMeeting Directory Traversal Vulnerability,
http://www.securiteam.com/windowsntfocus/5LP071PAKS.html