Montag, 8. Oktober 2007

Skype abhören - wie könnte es funktionieren?

Wie könnte das Abhören von Skype-Telefonaten funktionieren? Welche Methoden könnten Sicherheitsbehörden anwenden?

Ich bin kein Software-Experte. Deswegen ist das Folgende pure Spekulation. Hier also ein paar Gedankenspiele, wie Ermittler bei einem 0815-Windows-System Skype-Telefonate mithören könnten:

1.) Die einfachste Herangehensweise wäre sicherlich, für Windows eine Skype-Version zu erstellen, die bei jedem Start von Skype auf dem Computer des Abzuhörenden im Hintergrund eine eigens programmierte Audio-Recorder-Software startet, die schlicht mitschneidet, was über die Soundkarte über den Mikrofon-Eingang und den Lautsprecher-Ausgang zu hören ist. Dieser Audiomitschnitt wird dann einfach in niedriger Audioqualität, vielleicht sogar in komprimierter und verschlüsselter Weise, als Datei auf der Festplatte des Abgehörten zunächst in den Tiefen des Windowssystems unter einem unverdächtigen Namen abgespeichert und von den Sicherheitsbehörden von dort später kopiert.

Die Horcher bräuchten kein Reverse Engineering anzuwenden, um Skype zu modifizieren. Sie bräuchten auch keine Mithilfe vom Hersteller Skype. Jeder Virus wendet diese Methode an, die auch die Horcher hier anwenden würden, um Skype zu modifizieren: An ein normales Skype-Programm wird einfach, kurz gesagt, ein Befehl drangehängt, der beinhaltet, dass zusätzlich zu Skype noch ein anderes Programm gestartet werden soll - in diesem Fall eine Audio-Recorder-Software.

Auf den Rechner des Auszuhorchenden käme diese modifizierte Skype-Version und die Audio-Recorder-Software schlicht durch einen heimlichen Besuch in den Räumen des Verdächtigen. Hat der Verdächtige keine ausgefuchsten Vorsichtsmaßnahmen getroffen, so wäre es den Schnüfflern wohl möglich, die modifizierte Skype-Datei nach dem Booten des Rechners von einem externen Boot-Medium (beispielsweise einer Live-CD) auf die Windows-Partition zu kopieren, um so die normale Skype.exe-Datei zu überschreiben. Fertig. Startet der abzuhörende Anwender das nächste Mal sein Skype, so ahnt er nicht, dass er eine modifizierte Skype-Version startet. Eine weitere Möglichkeit wäre es, nicht direkt eine modifizierte Skype-Datei zu überspielen, sondern ein Programm, das wie ein Virus funktioniert und erst nachdem der Abzuhörende seinen Computer das nächste Mal regulär startet, den Befehl zum Starten des Audio-Recorders an die normale Skype.exe-Datei dranhängt, das Skype-Programm also erst dann infiziert.

Bei dieser Vorgehensweise bestände jedoch die Gefahr, dass Schutzprogramme die Veränderung der Skype.exe-Datei bemerken und der Anwender daraufhin Skype neu installiert.

Die während der Skype-Telefonate unbemerkt von der Audio-Recorder-Software erzeugten und gespeicherten Audio-Dateien könnten die Sicherheitsbehörden dann zu einem passend Zeitpunkt wieder durch heimlichen Einbruch in die Wohnung von der Festplatte kopieren.

Solch eine Vorgehensweise würde keinerlei Vorbereitungsmaßnahmen - wie zum Beispiel eine umfassende Analyse des Computers des Abzuhörenden - erfordern. Auch das Aufspielen der modifizierten Skype-Version wäre vermutlich nur eine Sache von wenigen Minuten, ebenso das spätere Abholen aufgezeichneter Gespräche.

2.) Aufwändiger wäre es vermutlich, eine Skype-Version zu entwickeln, die nicht nur eine Audio-Recorder-Software mitstartet, sondern die zusätzlich den erzeugten Audio-Mitschnitt schon während des Skype-Gesprächs direkt übers Internet an die Ermittler verschickt. Ich weiß nicht, ob so etwas ohne die Mithilfe von Skype zu programmieren wäre und ob hier nicht die Gefahr bestünde, dass beispielsweise die Firewall des Abgehörten Alarm schlagen würde. Wollte man das verhindern, müsste man zuvor eine umfassende Analyse des abzuhörenden Computers erstellen und das würde den Aufwand fürs Abhören sicherlich sehr erhöhen. Allerdings könnte man dieses Problem umgehen, wenn man dem Abhöropfer vorspielt, dass Skype sich "erneuert" hätte und der Nutzer Skype deswegen nun bei seiner Firewall erneut den Zugriff aufs Internet erlauben müsse. Statt dass also Skype wie normal startet und schlicht unsichtbar eine Audio-Recorder-Software im Hintergrund mitstartet, startet nach Klick auf Skype.exe ein Setup-Programm, dass vorgibt, Skype zu reparieren oder schlicht ungefragt Skype "neu" installiert. Der Nutzer wird sich vielleicht wundern, aber höchstwahrscheinlich die Achseln zucken. Die anschließende Aufforderung seiner Firewall, Skype neue Rechte zu geben, damit es aufs Internet zugreifen kann, wird er vermutlich auch akzeptieren. Aber natürlich wäre solch eine Vorgehensweise unsicher und ein vorsichtiger Nutzer könnte anfangen, Nachforschungen anzustellen.

3.) Eine weitere Möglichkeit wäre, dass Skype schlicht mit Ermittlungsbehörden zusammen arbeitet. Hier würden sich viele Möglichkeiten eröffnen. Dennoch halte ich es auch in diesem Fall für wahrscheinlich, dass die Ermittler zunächst eine modifizierte Skype-Version auf dem Rechner der Zielperson platzieren müssten - wieder wohl am einfachsten durch einen Wohnungseinbruch. Diese modifizierte Skype-Version könnte nun entweder die Telefonate unverschlüsselt versenden, oder in einer Verschlüsselungsversion, die von den Ermittlungsbehörden geknackt werden kann - beispielsweise weil sie den passenden Schlüssel von Skype bekamen. Das Abhören der Telefonate fände dann direkt im Netz statt und es wäre nicht nötig, auf dem Rechner der Zielperson Audiomitschnitte zu speichern. Skype wird den Ermittlungsbehörden jedoch - vermute ich - nicht die Schlüssel für die normale, reguläre Skype-Verschlüsselung geben - so dass jedes weltweit installierte Skype von den Behörden abgehört werden könnte. Der Ruf von Skype und Skypes Geschäftsgeheimnisse wären hier wohl zu sehr in Gefahr.

Alles Stuss? Weitere Ideen? Dann einfach einen Kommentar schreiben. Wenn der Kommentar nicht beim ersten Mal sofort versendet wird, die Wortbestätigung bitte noch einmal ausfüllen und noch einmal auf "Veröffentlichen" klicken. Manchmal spinnt die Kommentarfunktion hier etwas.

Technorati-Tags: , , ,

10 Kommentar(e):

fellow passenger hat gesagt…

Wenn ich mich recht erinnere, hat der Gesetzgeber im Zuge des großen Lauschangriffs durchgedrückt, daß die Mobilfunkbetreiber nachträglich eine Abhörschnittstelle in Ihre Netze einbauen mussten. Ob Skype davon verschont blieb wäre interessant zu wissen.

Eine elegante Methode Skype-Gespräche abzuschnorcheln wäre wohl, das Programm so zu modifizieren, daß es einen vom Lauschangreifer selbst erzeugten Schlüssel verwendet. Das Gespräch wäre gegenüber dem Rest der Welt noch immer verschlüsselt und es gibt keinen zusätzlichen Datenstrom der auffallen könnte. Es könnte allerdings sein, daß es so nicht geht, weil

Solon hat gesagt…

Skype gilt - glaube ich - nicht als normaler Telekommunikationsanbieter. Wohl eher als Softwareanbieter. Aber ich kenne mich auch nicht aus in den genauen gesetzlichen Details, wann jemand "Telekommunikationsanbieter" ist. Skype stellt ja - soweit ich weiß - kein eigenes Netzwerk zur Verfügung, keine eigene Netzinfrastruktur. Wo sollten Behörden da eine eigene technische Überwachungsinfrastruktur aufgebaut haben? Ich denke, Skype-Gespräche könnten also entweder nur direkt im Rechner des Skype-Anwenders abgehört werden oder eben über die existierenden Abhörschnittstellen des Netzverkehrs bei den Internetprovidern. Letzteres scheitert jedoch so lange, wie der Datenverkehr bei Skype-Telefonaten verschlüsselt ist. Und das ist er ja normalerweise.

Schaut man sich die Möglichkeiten an, Skype abzuhören, wird Folgendes deutlich:

1.) Man bräuchte keinen Trojaner, denn ein Wohnungseinbruch mit Aufspielen einer Software, mit der Skype-Telefonate abgehört werden könnten, reicht aus. Die aufgespielte Software wäre kein Trojaner im eigentlichen Sinne. Insofern stimmen die Aussagen des LKA-Bayern vermutlich, dass man ja keinen Trojaner eingesetzt habe.

2.) Die Verwendung des Begriffs "Quellenüberwachung" deutet darauf hin, dass man die Überwachung eben an der Quelle (= in der Wohnung des Abgehörten) ansetzt und nicht (nur) über das Netz oder über beim Telekommunikationsunternehmen/Provider installierte Überwachungsschnittstellen. Solch eine Netzüberwachung könnte jedoch auch ein Teil der Quellenüberwachung sein. Beispielsweise, wenn durch die aufgespielte Software anschließend auch die Überwachung im Netz (also über beim Provider installierte Überwachungsschnittstellen) selbst möglich wird, weil die auf dem Rechner des Abgehörten eingeschmuggelte Software die Verschlüsselung von Skype deaktiviert oder knackbar macht.

3.) Natürlich könnte man eine "Quellenüberwachung" auch durch einen großen Lauschangriff, also durch Platzieren von Wanzen in der Wohnung, durchführen. Dann jedoch würde vermutlich nicht wahrgenommen werden können, was der telefonische Gesprächspartner des Abgehörten sagt. Außerdem liegen die rechtlichen und technischen Hürden und der personelle Aufwand für die Durchführung eines großen Lauschangriffs wesentlich höher als die bei einer "normalen" Telefonüberwachung. Denn die Lauscher würden ja eben nicht nur Telefongespräche abhören (was in Deutschland ja relativ lax von vielen Richtern erlaubt wird - die Tausenden von Telefonüberwachungen in Deutschland jedes Jahr bestätigen dies), sondern auch alle Gespräche in der Wohnung des Betroffenen.

Ich vermute, dass die Sprecher des LKA bewusst die oben genannten unterschiedlichen Herangehensweisen vermischen in ihren Antworten, um so zu verwirren und viele Journalisten dieses Spielchen wegen mangelndem eigenen Wissen nicht durchschauen.

Wenn also jemand kritisch fragt, ob das LKA Trojaner einsetzt (aber eigentlich damit meint, ob das LKA Software auf Rechner schmuggelt), antwortet das LKA wahrheitsgemäß mit Nein.

Wenn also jemand fragt, ob das LKA direkt auf dem Rechner des Abgehörten abhört, antwortet das LkA wahrheitsgemäß mit Nein, weil vielleicht die eingeschmuggelte Software die Verschlüsselung von Skype deaktiviert, so dass das eigentliche Abhören wie bei einer normalen Telefon- oder Internetüberwachung auch "im Netz" stattfindet.

Verwechselt der Journalist das Abhören von Gesprächen direkt an der Quelle mit dem großen Lauschangriff (Wanzen in der Wohnung), kann das LKA dies auch wieder verneinen.

Wir bräuchten also Journalisten, die alle möglichen Überwachungsszenarien einmal mit wirklichen Computerexperten durchspielen und daraufhin das LKA mit präzisen Fragen löchern. Oder Politiker, die dann präzisere Anfragen stellen. Sonst bleibt alles im Dunkeln, weil die Sicherheitsbehörden von sich aus kaum in ehrlicher Weise aufklären werden wollen, was sie machen.

cologne hat gesagt…

Hm, ich habe mal bei der Skype-PR-Agentur in München nachgefragt, was die dazu sagen aber Skype gibt dazu gar keinen Kommentar ab. Jetzt frage ich Euch. Was sagt Ihr zu den Thesen in diesem Text, den ich hier gleich verlinke. Ich bin nämlich echt verunsichert und frage mich langsam, kann man oder kann man nicht. Und: Kennt Ihr das EADS-Gutachten?

"Ein Spähprogramm ist nicht nötig"

Computerexperten sind sich einig: Um Internettelefonate abzuhören, braucht es gar keine Trojaner. VON DANIEL SCHULZ

http://www.taz.de/index.php?id=deutschland&art=5689&src=MT&id=deutschland-artikel&cHash=2d42d21223&src=MA

fellow passenger hat gesagt…

Hinter dem "weil" sollte noch stehen:

"der Skype-Client des Gesprächspartners bemerken würde, daß der Anrufer mit dem falschen öffentlichen Schlüssel arbeitet. Mir ist nicht klar, ob der Public Key auf dem Skype-Server hinterlegt ist. Ich nehme es aber eigentlich an. Was bliebe wäre eine sogenannte Man-In-The-Middle-Attacke."

Ob Skype ein eigenes Netzwerk betreibt scheint mir eine Definitionsfrage zu sein. Gehen wir mal davon aus, daß deren Server die öffentlichen Schlüssel beherbergt. Dann ist es auf jeden Fall so, daß Skype die Gespräche vermittelt und mit der verschlüsselten Verbindung einen Kanal für die Telekommunikation herstellt. Wenn Skype keine zentrale Schnüffelschnittstelle anbieten will, müsste man das wohl auf dem Rechtsweg ausfechten, was der Öffentlichkeit nicht entgehen könnte. Wenn Skype das egal ist, gibt es die Schnittstelle vermutlich längst.

Die Begriffsverwirrung ist allerdings ein großes Problem. Ein Trojanisches Pferd ist nur eine Verpackung mit der Aufgabe den eigentlichen Zweck einer Software zu tarnen, damit das arglose Opfer es freiwillig installiert und oder startet.

Die Idee beim "Bundestrojaner" ist ja die gleiche. Man möchte eben ohne Einbruch in die Wohnung eine Schnüffel-Software auf den "feindlichen" Rechner bringen. Das scheint aber trotz viel Geld und Mühe nicht zu klappen. Dabei denke ich nicht, daß diese Schnüffel-Software den Zweck hat, Gespräche direkt zu belauschen, sondern nur die Kennwörter und Schlüssel abzugreifen. ("Nur" schreibe ich, weil das Datenvolumen viel geringer ist als das der Nutzdaten.)

Solon hat gesagt…

@cologne: Ah, danke für den Hinweis auf den TAZ-Artikel! Ich komme kaum dazu, die TAZ zu lesen. Aus dem einfachen Grund, weil die keinen RSS-Feed anbieten. :-(

Der Link zum TAZ-Artikel ist hier von der Kommentarfunktion wohl irgendwie teilweise verschluckt worden, deshalb hier noch einmal: Ein Spähprogramm ist nicht nötig.

Das EADS-Gutachten kenne ich nicht. Wie gesagt, ich bin auch nur interessierter Laie. Aber das hält micht nicht davon ab, auch die Theorie zu kommentieren, dass kein Trojaner nötig ist, um Skype-Gespräche abhören zu können, weil Skype nach Meinung von Leuten, die sicherlich mehr davon verstehen als ich, höchstwahrscheinlich auf die Kommunikationsinhalte zugreifen könne, die über seine Software laufen.

Also meine Einschätzung/Kommentar dazu: Könnte gut sein, dass Skype technisch theoretisch in der Lage ist, Gesprächsinhalte abzufangen. Schließlich nimmt die Skype-Software ja Kontakt mit Skype-Servern auf, die jedoch meines Wissens und Verständnisses des Skype-Systems nach, vermutlich vor allem dazu da sind, die Skype-Telefongespräche zu vermitteln. Ich weiß nicht, ob tatsächlich die Sprach-Datenpakete über Skype-Server laufen. Aber sicherlich wäre es für Skype möglich, das auch technisch hinzubekommen, wenn sie es denn wollen.

Aber das ist die entscheidende Frage: Warum sollten sie wollen? Warum sollte Skype Speicherplatz und Bandbreite zur Verfügung stellen, um die Kommunikationsinhalte selbst irgendwo abzufangen und zu speichern? Die Idee von Skype ist ja gerade, diesen kostenintensiven Teil, also die Übertragung der Kommunikationsinhalte selbst, ins allgemeine Internet auszulagern und bestehende Internetserver und die Skype-Clients aller eingeloggten Nutzer in P2P-Manier für den Skype-Telefonierdatenverkehr parasitär zu nutzen.

Die Frage ist also, ob Skype praktisch in der Lage wäre, Anfragen von Strafverfolgungsbehörden und Bitten um Mitlauschen von Gesprächen zeitnah zu realisieren. Wahrscheinlich nicht! Denn dazu müsste Skype auch die technische Infrastruktur bereit halten. Und da Skype international tätig ist und bei der Menge an abgehörten Telefonaten (in Deutschland allein mehrere zig Tausend Anschlüsse!), würde Skype wohl verrückt sein, ernsthaft anfagen zu wollen, diesen Wünschen von Strafverfolgungsbehörden weltweit zu entsprechen.

Deshalb vermute ich stark, dass die Strafverfolgungsbehörden bei Skype sich zumindest nicht so einfach irgendwelche gewünschten Kommunikationsinhalte abholen können.

Bleibt die Möglichkeit, dass Skype den Ermittlern einfach die Schlüssel ausliefern könnte, damit diese mitlauschen können. Aber hier hatte ich ja oben schon geschrieben, dass ich auch dieses Vorgehen bezweifle. Würde Skype - trotz kooperativer Einstellung gegenüber den Sicherheitsbehörden - tatsächlich sein so gut gehütetes Geheimnis der Art der Verschlüsselung Sicherheitbehörden weltweit offenbaren? Müsste Skype nicht auch beispielsweise pakistanischen Sicherheitsbehörden diese Schlüssel ausliefern, wenn diese danach fragen, wenn Skype die Schlüssel deutschen Sicherheitsbehörden offenbart? Könnte die Offenlegung der Verschlüsselungsmethoden Skype nicht sogar in Konflikt bringen mit US-Gesetzen (Skype ist wohl eine US-Firma, nehme ich an), die den Export von Verschlüsselungstechnologien reglementiert?

Es bliebe nach meinem gefährlichen Halbwissen wohl nur die Möglichkeit, die Verschlüsselung bestimmter Skype-Clients zu deaktivieren oder zu ändern. Aber dazu müsste doch wohl die Arbeitsweise des Skype-Clients auf dem Rechner der abzuhörenden Person verändert werden. Natürlich wäre es möglich, dass Skype solch eine Veränderung quasi unsichtbar übers Netz im Client auslöst und aktiviert. Dann müsste solch eine Funktion jedoch bewusst von Skype in alle Clients einprogrammiert worden sein. Das heißt, dass Skype schon bei der Softwareentwicklung mit Sicherheitsbehörden zusammengearbeitet haben muss, um quasi eine Hintertür in die Programme einzubauen. Das kann natürlich sein. Wäre jedoch auch äußerst gefährlich für den Ruf von Skype. Wäre ich Manager von Skype, würde ich mit allen legalen Mitteln versuchen, mich solch einem Hintertür-Einbau zu widersetzen. Aus rein wirtschaftlichen Gründen.

Fazit: Ich halte es weiterhin für die wahrscheinlichste Lösung, dass Skype eventuell eine besondere Client-Version anbietet, die keine oder eine besondere Form der Verschlüsselung anwendet, die abgehört werden kann, dass die Ermittlungsbehörden sich aber selbst darum kümmern müssen, dass diese besondere Client-Version auf den Rechner der Zielperson gelangt.

Und dann könnte man darüber streiten, ob solch eine veränderte Skype-Version nun ein Trojaner ist oder nicht.

fellow passenger hat gesagt…

Cologne, das Gutachten von der EADS über Skype kenne ich nicht. Sofern es um die Frage geht, ob man über Skype vertrauliche Informationen transportieren kann ist die Antwort aber eindeutig: Nein.

Gleich ob, wie in dem Artikel von Daniel Schulz angedeutet, das Unternehmen die Inhalte an Dritte weitergibt oder nicht. Das Problem ist ein anderes: Es ist nicht bekannt, was das Programm genau macht. Allein deswegen ist es unter keinen Umständen vertrauenswürdig.

Anonym hat gesagt…

Was wenn ich mein Skype portable gemacht habe? Also mein ganzes Skype eine einzige gepackte EXE ist, die von aussen nicht mehr beeinflussbar ist?

Das ist sowieso bei dem ganzen Abhörwahn die Frage. Was ist wenn ich Virtualisierung konsequent einsetze? Dann steht Schäuble auf'm Schlauch!

Solon hat gesagt…

@anonym: Dann bliebe wohl immer noch die theoretische Möglichkeit, dass doch noch ein Abhören "im Netz" stattfindet. Dass also der Datenverkehr zwischen deinem Skype-Client und dem Client deines Gesprächspartners von Skype über 'nen eigenen Server geschickt wird, wo Skype dann den Datenverkehr entschlüsselt und den Sicherheitsbehörden zur Verfügung stellt.

Theoretisch hätte Skype wohl diese Möglichkeit. Als wirklich sichere Kommunikation kann und sollte man Skype also eh nicht ansehen. Aber solch ein Datenverkehr-Umleiten und -Entschlüsseln könnte für Skype wohl ziemlich aufwendig sein - vor allem, wenn Skype Anfragen von Sicherheitsbehörden weltweit bearbeiten müsste. Schon jetzt kostet es beispielsweise die Telekom sehr viel Geld, den Überwachungswünschen nur deutscher Ermittler zu entsprechen.

Könnte also sein, dass das Erschweren der Manipulierbarkeit deines Skype-Clients es Schnüfflern schwerer macht. Unmöglich machen, würde es ein Abhören jedoch wohl nicht.

Was mich an meinem Verdacht, dass Sicherheitsbehörden Skype abhören könnten, so erregt, ist deshalb, dass sie dazu höchstwahrscheinlich heimlich in Wohnungen eindringen. Eben weil das zunächst der einfachste Versuch ist, Skype abzuhören. Vermute ich. Also würden sie wohl auch bei dir erstmal in die Wohnung einbrechen und wer weiß was mit deinem Computer anstellen, wenn er unbeobachtet ist.

Anonym hat gesagt…

Hallo zusammen! Habe gerade Eure kommentare gelesen und weiß das der Thread schon uralt ist... aber trotzdem, seht Euch mal dieses Dokument von der Bayerischen Polizei an:

http://www.ccc.de/updates/2008/bayerntrojaner-wg-skype

es scheint also dritt-firmen zu geben die abhörsoftware bereitstellen!

Solon hat gesagt…

@Anonym: Danke für den Hinweis auf das Dokument bei CCC.de. Die technischen Details in dem Dokument sind wirklich interessant und bestätigen ja letztlich die hier zuvor geäußerten Mutmaßungen.

Aber inzwischen gibt es ja sogar ein Gesetz in Bayern, was den dortigen Sicherheitsbehörden erlaubt, in Wohnungen heimlich einzubrechen, um dort Software zur Quellentelekommunikationsüberwachung zu installieren: http://www.taz.de/1/politik/schwerpunkt-ueberwachung/artikel/1/csu-installiert-ihre-trojaner/

Als ich das Thema hier aufgriff geschah dies vor allem vor dem Hintergrund, dass es für einen derartigen technischen Eingriff damals noch gar keine Rechtsgrundlage gegeben hatte und dass Journalisten sich bei ihren Nachfragen zu diesem Punkt allzuschnell von den schwammigen Äußerungen der Politiker haben ruhig stellen lassen.

Als dann Bayern eh bekanntgab, ein neues Gesetz zum heimlichen Einbrechen in Wohnungen verabschieden zu wollen, und die Bevölkerung dieses Gesetz mit Pauken und Fanfaren und unter großem Jubel annahm und feierte (so war es doch, oder irre ich mich?), hab ich das Thema nicht weiter behandelt.

Das von Dir verlinkte CCC-Dokument zeigt jedoch, dass die bayerischen Behörden tatsächlich schon vor der Verabschiedung eines Gesetzes zumindest intensiv geplant und vorbereitet haben, heimlich in Wohnungen einzubrechen.

Ich vermute, dass die Behörden inzwischen noch ausgefeiltere softwaretechnische Lösungen gefunden haben als die in dem inzwischen 1,5 Jahre alten CCC-Dokument beschriebenen, um Skype-Gespräche oder andere verschlüsselte VoIP-Dienste vor der Verschlüsselung abzuhören.