image

"Skype ongeschikt voor vertrouwelijke gesprekken"

vrijdag 27 juli 2012, 13:42 door Redactie, 26 reacties

Skype heeft ten onrechte bij veel gebruikers een imago dat het niet is af te luisteren, terwijl Skype dit zelf nooit heeft gezegd. De afgelopen dagen barstte de discussie over de veiligheid van Skype opnieuw los toen bleek dat het bedrijf de infrastructuur had aangepast. Volgens boze tongen zou dit het eenvoudiger maken voor Amerikaanse opsporingsdiensten om gesprekken af te luisteren.

Skype reageerde in een blogposting dat de gemaakte aanpassingen niet bedoeld zijn om autoriteiten toegang tot de gesprekken van gebruikers te geven. Nergens in het bericht wordt echter gemeld dat Skype-gesprekken niet zijn af te tappen.

Aftappen
Eerder liet Seth Schoen van de Amerikaanse digitale burgerrechtenorganisatie Electronic Frontier Foundation (EFF) al weten dat Skype een reputatie voor een niet te kraken beveiliging heeft, terwijl het dit niet verdient. Schoen krijgt bijval van privacy-expert Christopher Soghoian. "Consumenten denken dat de dienst veilig is, en Skype heeft absoluut geen reden om deze valse, maar positieve indruk, te herstellen."

Soghoian denkt dat 99% van de Skype-gebruikers nog nooit heeft nagedacht over de eenvoud of moeite waarmee overheidsdiensten hun gesprekken kunnen afluisteren. De meeste gebruikers zouden de dienst alleen gebruiken omdat die goedkoop is en het mogelijk maakt om met hun vrienden te bellen. Er zijn echter ook journalisten, mensenrechtenactivisten en andere risicogroepen die Skype gebruiken omdat ze denken dat het veilig is.

Onveilig
"Skype is niet transparant over de aftapmogelijkheden. Het wil ons niet vertellen hoe het met encryptiesleutels omgaat, wat voor hulp het overheden biedt, in welke gevallen, of welke overheden het helpt. Totdat het transparanter is, moet Skype als onveilig worden beschouwd, en niet veilig voor gebruikers van wie de fysieke veiligheid afhankelijk van de vertrouwelijkheid van hun gesprekken is", aldus Soghoian.

Persoonlijk maakt het hem weinig uit of Skype is af te tappen of niet. Activisten en gebruikers die hun gesprekken willen beschermen kunnen beter ZRTP gebruiken, waarvan de code, protocollen en werking is gecontroleerd en wat ook in RedPhone voor Android aanwezig is.

"Wat ik wel zou willen, is dat Skype eerlijk is. Als het overheden encryptiesleutels geeft, zou het gebruikers dit moeten vertellen. Ze verdienen de waarheid."

Reacties (26)
27-07-2012, 13:59 door Anoniem
Normale telefoongesprekken zijn ook prima af te luisteren en de overheid is daar erg goed in.
Daar hooe je niemand over klagen.
27-07-2012, 15:03 door Anoniem
zijn we bundestrojaner nu al vergeten??
27-07-2012, 15:11 door Anoniem
Ik raad onze klanten altijd af om skype te gebruiken.
27-07-2012, 17:08 door Anoniem
Skype (=Microsoft): " dit mogen wij u niet vertellen van Big Brother" ( en niet alleen van de Amerikaanse Big Brother).Als criminelen,terroristen en activisten dit zouden weten (dat aftappen kan en ook gebeurd op skype) maakt dit het voor de aftap&opsporingsdiensten oneindig veel lastiger om dergelijke lieden aan te pakken.Maar ach ja,aan de andere kant beschikken deze diensten vast over Flamer en soortgelijke spyware dus echt heel veel moeilijker wordt het niet voor ze.
27-07-2012, 17:13 door [Account Verwijderd]
[Verwijderd]
27-07-2012, 20:07 door Anoniem
Door Anoniem: Ik raad onze klanten altijd af om skype te gebruiken.

Welk soort van klanten, welk soort van gesprekken, en vooral, wat raad je dan _wel_ aan ?

Want er is op veel plekken zeker behoefte aan het soort product wat Skype is.
En ik denk eigenlijk dat Skype het qua security _beter_ doet dan de meeste andere VoiP/Video/Message producten.
Dus als je Skype afraadt, en verder niks, heb je kans dat men dan msn, google talk,publiek telefoonnet of whatever gaat gebruiken en dat is m.i. qua security een behoorlijke achteruitgang.
27-07-2012, 20:55 door cyberpunk
Door Anoniem: Ik raad onze klanten altijd af om skype te gebruiken.

En wat raad je aan als alternatief?
27-07-2012, 21:20 door Anoniem
Er is geen veilig online alternatief.Dus mischien de postduif maar inschakelen?
Door cyberpunk:
Door Anoniem: Ik raad onze klanten altijd af om skype te gebruiken.

En wat raad je aan als alternatief?
27-07-2012, 23:09 door Anoniem
Jitsi is een goed alternatief. Deze ondersteund ZRTP.
28-07-2012, 10:40 door [Account Verwijderd]
[Verwijderd]
28-07-2012, 10:57 door Anoniem
Door rookie:
Door cyberpunk:
Door Anoniem: Ik raad onze klanten altijd af om skype te gebruiken.

En wat raad je aan als alternatief?

SRTP

Kan je dat SRTP gebruiken zoals Skype /
Kan je van pc naar pc bellen ?
Downloadlink a.u.b.
28-07-2012, 12:01 door Anoniem
www.crypto.cat

Geweldige oplossing!
28-07-2012, 18:51 door cyberpunk
Door Anoniem: Er is geen veilig online alternatief.Dus mischien de postduif maar inschakelen?

Een postduif kan je afschieten of laten onderscheppen door een roofvogel...
28-07-2012, 18:53 door Anoniem
Door Anoniem:
Door rookie:
Door cyberpunk:
Door Anoniem: Ik raad onze klanten altijd af om skype te gebruiken.

En wat raad je aan als alternatief?

SRTP

Kan je dat SRTP gebruiken zoals Skype /
Kan je van pc naar pc bellen ?
Downloadlink a.u.b.

Gebruik google, dan vind je heel snel dat rookie er niks van snapt.
SRTP is alleen een protocol. (secure RTP, waarmee je inderdaad spraak kunt encrypten).

Dat kun je goed of slecht implementeren, en authenticatie dat je met iemand belt zonder man-in-the-middle, en met een programma zonder backdoors is niet simpel.
In elk geval niet als je uitdaging bestaat uit "overheidsinstanties" , zoals gesteld werd in de openings post over Skype.

Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.
28-07-2012, 18:59 door cyberpunk
Door Anoniem: www.crypto.cat

Geweldige oplossing!

YMBK
29-07-2012, 07:45 door [Account Verwijderd]
[Verwijderd]
29-07-2012, 20:00 door cyberpunk
Door Anoniem: Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.

Wat een prutser! >-)
30-07-2012, 08:04 door [Account Verwijderd]
[Verwijderd]
30-07-2012, 08:52 door Anoniem
Door rookie:
Door Anoniem:

Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.

Lolz.

Dit is natuurlijk "meer dan genoeg antwoord". Maar de nieuwe generatie moet kennelijk echt alles voorgekauwd worden.


Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten.
Jij bent toch de expert ? En wie anders dan jij moet naar het totale security plaatje kijken ?

Of wou je hier serieus beweren dat als je maar "iets met SRTP" gebruikt je dan "veilig" bent , of zelfs maar "veiliger dan Skype" ?

Stel je bent IT manager , en je bent terecht bezorgd over de veiligheid van voip/conferencing applicaties, en je hebt iets gelezen dat Skype niet zo goed zou zijn, dus vraag je rookie "wat kunnen we het beste doen"
En dan kom jij met een antwoord van niks.

"Wat is een veiliger browser" -> "SSL"
30-07-2012, 13:03 door Anoniem
"Ik raad onze klanten altijd af om skype te gebruiken. "

Raad je je klanten dan ook af om telefoon of email te gebruiken, omdat dit getapt kan worden ? Zoja, bestaat je klantenkring uit criminelen ? ;)
30-07-2012, 13:06 door Anoniem
"Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten."

Lol, ben je rookie's klant of werkgever dan ?
30-07-2012, 14:13 door Anoniem
Door Anoniem: "Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten."

Lol, ben je rookie's klant of werkgever dan ?

Als ik dat zou zijn, was dit het soort antwoord om die relatie zsm te verbreken.
30-07-2012, 15:34 door Anoniem
@rookie :

Skype biedt ondersteunining voor SRTP ?

TLS and SRTP for Skype Connect
http://download.skype.com/share/business/guides/skype-connect-technical-datasheet.pdf
30-07-2012, 18:40 door [Account Verwijderd]
[Verwijderd]
30-07-2012, 21:13 door Anoniem
Door rookie:
Door Anoniem:
Door rookie:
Door Anoniem:

Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.

Lolz.

Dit is natuurlijk "meer dan genoeg antwoord". Maar de nieuwe generatie moet kennelijk echt alles voorgekauwd worden.


Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten.
Jij bent toch de expert ? En wie anders dan jij moet naar het totale security plaatje kijken ?

Of wou je hier serieus beweren dat als je maar "iets met SRTP" gebruikt je dan "veilig" bent , of zelfs maar "veiliger dan Skype" ?

Stel je bent IT manager , en je bent terecht bezorgd over de veiligheid van voip/conferencing applicaties, en je hebt iets gelezen dat Skype niet zo goed zou zijn, dus vraag je rookie "wat kunnen we het beste doen"
En dan kom jij met een antwoord van niks.


"Wat is een veiliger browser" -> "SSL"

Lolz IT managers zijn juist tevreden met antwoorden als SRTP, want daar kunnen zij zich echt een eind mee naar boven schermen.
En er is zelfs een RFC van, dat heeft Skype niet en als een IT manager ergens een dikke vette pielemuis van krijgt dan is dat het wel.

En sowieso wanneer een IT manager niet eens weet wat SRTP is, dan vraag ik mij af hoe de gemiddelde dag van die manager er uit ziet :p

Ik raad je aan om eens een baan te gaan zoeken. De dagvulling van een IT manager bestaat uit het aansturen van ITers en praten met de rest van de organisatie.
En als de organisatie een "spraak en messaging applicatie wil", en nog veilig ook, dan zet de IT manager die vraag voor wat betreft de veiligheid uit bij z'n security expert.

Dat, als het een goede IT manager is. Met pech krijgt de IT manager het antwoord (Skype, of MSN, of whatever) namelijk gewoon opgelegd door de business omdat ze dat kennen en op de zaak ook willen.
Dus, de IT manager met genoeg invloed en kennis om de functionele vraag van het bedrijf te mogen invullen met iets, die dan niet eens eigenwijs genoeg is om zelf maar te kiezen voor Skype/MSN legt de vraag met betrekking tot security neer bij de security expert van de IT afdeling; Of huurt misschien die expert in.

En de vraag is naar een veilige(r) applicatie; En de specificatie van een enkele component (het protocol) is geen compleet antwoord, en hoeft helemaal geen veiliger eindresultaat op te leveren.

De IT manager schermt niet naar boven met alleen maar een protocol. De "deliverable" van de IT manager is een bruikbare voip & chat applicatie. En naar boven toe schermt de IT manager met "on target and within budget" .
Want de baas van de IT manager wil niks horen van een protocol, en al helemaal niet als de vervolg vraag "En wanneer staat dat SRTP dan op mijn computer" beantwoord moet worden met "uhhh. nou kijk, SRTP is een protocol..."
Laat staan dat die manager z'n gerief haalt uit de melding "er is een RFC van" terwijl er nog niks te chatten of conferencen valt.
18-11-2012, 15:23 door Anoniem
complexciteit is wel weer een tendens geworden jezus red jezus red XD ehmm naja die zal wel ooit afgetapt zijn door zijn oude lord .....
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.