Open Source im professionellen Einsatz
Linux-Magazin 12/2013
© Amy Walters, 123RF.com

© Amy Walters, 123RF.com

Gastkommentar: Abhörsicherheit

Kein Freizeichen

Allerspätestens seit Ed Snowden ist klar, dass Geheimdienste – und wer weiß, wer sonst noch – IP-Telefonate abhören. Magazin-Autor Eitel Dignatz wundert sich, wie wenige Firmen Maßnahmen dagegen ergreifen, und streut zugleich Sand ins ratternde Offener-Quellcode-ist-sicher-Getriebe.

509

Edward Snowden verdanken wir viele Erkenntnisse, darunter die, dass es Geheimdiensten nicht nur um Terroristenhatz geht, sondern auch um das wirtschaftliche Wohlergehen des eigenen Landes, vulgo: Wirtschaftsspionage. Wie reagieren? E-Mails zu verschlüsseln ist kein Problem der Technik, eher der Disziplin. Abhörsichere Telefonie dagegen erweist sich in der Praxis als Herausforderung, da man die technische Umgebung und das Verhalten seines Telefonierpartners nicht unter Kontrolle hat.

Formal kann das verbreitete Video-, Telefonie- und Chatprogramm Skype die Lösung bringen, da es augenscheinlich die Verbindungen verschlüsselt und Inhalte vor fremden Ohren und Augen schützt. Ein wichtiges Argument für die Entwicklung des so genannten Bundestrojaners war, dass sich selbst Geheimdienste an Skype-Verbindungen die Zähne ausbeißen würden und deshalb gewungen seien, die Endgeräte zu verwanzen.

Doch weit gefehlt: Im Mai 2013, also schon vor Snowdens Enthüllungen, kam ans Licht, dass der Skype-Besitzer Microsoft serienmäßig Skype-Chats auswertet [1]. Warum sollte ausgerechnet die Telefoniefunktion unangetastet bleiben, zumal Menschen vertrauliche Angelegeneheiten lieber per Telefon bereden als im Chat?

Einmal unter Verdacht, gerät Microsofts per SRTP und TLS formal ebenfalls gut geschütztes Businesskonferenz- und Telefoniewerkzeug Lync gleich mit in Verdacht. Was kann eine Firma tun, um Vertrauliches am Telefon zu besprechen?

SIP, RTP und IAX2 über VPN

Erfreulicherweise ist wenigstens für Telefonate innerhalb eines Unternehmens die Lösung vergleichsweise schnell gefunden: Wer Asterisk benutzt und VoIP-Verbindungen zwischen seinen Standorten per Open VPN tunnelt, muss sich einerseits nicht mit SRTP, SIPS und dergleichen herumschlagen. Er darf andererseits auch mobile Geräte ohne SRTP- und SIPS-fähige Clients einbeziehen oder das Trunking verteilter Asterisk-Server per IAX2-Protokoll (Inter-Asterisk Exchange 2) sicher realisieren. Der Open-VPN-Tunnel erledigt die Verschlüsselung. Umso mehr überrascht es, wie wenige Unternehmen davon Gebrauch machen.

Die Vertraulichkeit bleibt allerdings nur gewährleistet, so lange jeder Gesprächsteilnehmer einen Tunnel benutzt. Kommt auch nur ein einziger per ISDN- oder VoIP-Provider vermittelter Teilnehmer zu einer Telefonkonferenz hinzu, dann werden auch die Gesprächsbeiträge aller anderen Teilnehmer kompromittierbar. Gleiches gilt bei Dect-Telefonen und zu Handys weitergeleiteten Gesprächen.

Thompsons Warnung

Können Anwender, die Skype und andere proprietäre Software meiden, denn Linux, Open VPN und Asterisk vertrauen? Sie dürfen ja den Quellcode inspizieren und selbst kompilieren. Ken Thompson, einer der beiden Unix-Väter, zeigte 1984 – drei Jahrzehnte vor Snowden – einen Weg, um einen Compiler mit Schadcode zu versehen [2]. Das Perfide: Wer mit dem Compiler-Binary den Sourcecode eines Compilers ohne Schadcode übersetzt, erzeugt wieder ein Binary, das den ursprünglichen Schadcode propagiert.

Thompsons Fazit: Niemand kann Code vertrauen, den er nicht in Gänze selbst geschrieben hat. Ironisch fügt er hinzu: "Vor allem keinem Code von Firmen, die Leute wie mich beschäftigen." – Derzeit arbeitet Thompson für Google.

Infos

  1. Vorsicht beim Skypen – Microsoft liest mit:http://www.heise.de/security/meldung/Vorsicht-beim-Skypen-Microsoft-liest-mit-1857620.html
  2. Ken Thompson, "Reflections on Trusting Trust": http://cm.bell-labs.com/who/ken/trust.html

Der Autor

Eitel Dignatz hat gut 30 Jahre Unix im Blut und ist Unternehmensberater und Inhaber von Dignatz Consulting, München http://www.dignatz.de/spot465.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 1 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Geglückte Verbindung?

    Seit wenigen Wochen gibt es ein Skype-Plugin für den freien Telefonie-Server Asterisk. Mitarbeiter der TU Wien haben die Vernunftehe fürs Linux-Magazin getestet.

  • Ruf mich an!

    Alles, was über Telefonie hinausgeht, macht den wirklichen Mehrwert von Asterisk aus: Sprachportale beispielsweise, die Fluggäste identifizieren und informieren, bei einer frostigen Wohnung warnen oder den Admin mimen, wenn die User ihre Passwörter verschusselt haben.

  • Billig im Ausland

    Daheim ist's am schönsten - zumindest was die Telefongebühren angeht. Quasselstrippen, die beruflich oder privat viel im Ausland unterwegs sind, kommen finanziell trotzdem nicht unter die Räder - wenn sie ihrem heimischen Asterisk-Server ein paar Tricks beibringen.

  • Nette Linux-Schnecke

    Der Heimserver Linksys NSLU2 reicht als preiswerte Plattform für anspruchslose Linux-Anwendungen. Für andere Zwecke ist das auch liebevoll als Schnecke (Slug) bezeichnete Gerät jedoch zu langsam, ein moderner Embedded-Computer muss her. Ein Erfahrungsbericht.

  • Skype-Plugin für Asterisk

    Digium, Hersteller von Asterisk-Telefonie-Lösungen und der VoIP-Anbieter Skype haben nach einjähriger Entwicklungszeit ein Skype-Plugin für den freien Telefonieserver veröffentlicht.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.