2007-08-06 // Skype, die Vertrauenswürdigkeit und die Alternativen
Keine Frage – Skype hat Erfolg, erfüllt auf zahlreichen Rechnern brav seinen Dienst und ermöglicht vielen Menschen auf dieser Welt komfortabel und kostengünstig zu kommunizieren. Zudem ist es einfach zu bedienen, daher will ich dem Programm sicher nicht seine Daseins-Berechtigung absprechen. Aber Skype hat auch ein paar unschöne Seiten, die dem normalen Nutzer wohl nicht direkt auffallen. Diese sind zum Teil offensichtlich, anderes kann man ob sehr umfangreicher Verschleierungstaktiken nur erahnen. In jedem Falle sollte man sich darüber informieren und dann abwägen, ob der Komfort von Skype die Nachteile aufwiegt.
Kommmen wir zunächst zu den offensichtlichen Dingen:
- Skype ist sowohl bei der Signalisierung als auch bei der Übertragung proprietär und redet prinzipiell nur mit Produkten des Herstellers. Setzt man einmal auf Skype, bleibt man also zwangsweise auch dabei, sofern man nicht alle seine Kontakte verlieren will. Andere Lösungen setzen auf Standards und können so auch untereinander und Hersteller-übergreifend kommunizieren.
- Die Firma hinter Skype ist den Kinderschuhen entwachsen, gehört mittlerweile zu eBay und spielt daher in der Liga “der Großen”. Dort gelten andere Regeln. In Zeiten von Vorratsdatenspeicherung & Co. macht dies nicht gerade Hoffnung, dass der Konzern nicht einfach nur in eigenem Interesse handelt statt sich für seine Nutzer einzusetzen. Das die Signalisierung dazu noch über zentrale Server von Skype im Ausland (wo Datenschutzgesetze fehlen) abgewickelt wird, macht das ganze noch schlimmer.
Kommen wir zu den weniger offensichtlichen Dingen:
- Skype wurde von intelligenten Leuten entwickelt, keine Frage. Die Software hat zahlreiche Mechanismen um sich gegen Reverse-Enigneering zu Wehr zu setzen. So werden z.B. Treiber geladen[sic!], um Debuggern wie SoftICE das Leben schwer zu machen, man verhindert statisches dissamblieren (z. B. sind Teile des Binaries mit einem hardgecodeten Schlüssel per XOR verknüpft), und der Code enthält zahlreiche unnütze Dinge (Code Obfuscation), obwohl dadurch die Performance von Skype nicht unerheblich in den Keller gedrückt wird. Sehr interessant diesbezüglich sind die Ausführungen von Philippe Biondi und Fabrice Desclaux auf der Black Hat 2006.
- Alles in allem kann einem die Kombination aus eBay, Geld, intelligenten Menschen, vielen Daten sowie Verschleierungstaktik und -technik schon ein wenig Sorgen machen, sollte aber mindestens zum Nachdenken bewegen.
Kommen wir zu den Problemen mit der Sicherheit:
- Skype wird in Netzwerken zu einem Problem. So werden z.B. Firewalls von der Software durchlöchert. Das führt u. a. zu Traffic, der als Administrator nur schwer in den Griff zu bekommen ist.
- Skype vertraut jedem, der Skype spricht. Soll heißen: Wenn die Software denkt, auf der anderen Seite der Leitung ist ebenfalls ein Skype-Client, entfallen zahlreiche Checks. In Verbindung zu der gut verschleierten und verschlüsselten Datenübertragung sowie dem oben genannten “Lochtrick” bezüglich Firewalls, könnte sich eine Lücke in der Software als ein ultimativer Sicherheits-GAU herausstellen – würden doch Angriffe auch noch wunderbar vor der Entdeckung geschützt. Folie 96 ff. des genannten Vortrags ist diesbezüglich auch ganz interessant.
Genug zu den Nachteilen von Skype für heute. Die Listen würden sich bestimmt noch erweitern lassen, doch widmen wir uns lieber möglichen Alternativen. Für ausführliche Reviews fehlt mir gerade ein wenig die Zeit, Sie folgen ggf. noch. Ich will jetzt aber jemanden, der sich bis hier hin im Text durchgekämpft hat nicht so einfach hängen lassen, und wenigstens ein paar Links zum Einstieg liefern:
- IP-Phone-Forum-Wiki, Software-Übersicht
- OpenWengo.org (Win und *ix, OpenSource, SIP-konform)
- talk.google.com (damit treibt man aber sicher den Teufel mit dem Beelzebub aus
) - ekiga.org (*ix, Gnome)
- KPhone (*ix, KDE)
- twinklephone.com (*ix, KDE)
Über Erfahrungsberichte zu den genannten Alternativen (gerne auch per Mail) würde ich mich auch freuen…
