"Skype ongeschikt voor vertrouwelijke gesprekken"
Skype heeft ten onrechte bij veel gebruikers een imago dat het niet is af te luisteren, terwijl Skype dit zelf nooit heeft gezegd. De afgelopen dagen barstte de discussie over de veiligheid van Skype opnieuw los toen bleek dat het bedrijf de infrastructuur had aangepast. Volgens boze tongen zou dit het eenvoudiger maken voor Amerikaanse opsporingsdiensten om gesprekken af te luisteren.
Skype reageerde in een blogposting dat de gemaakte aanpassingen niet bedoeld zijn om autoriteiten toegang tot de gesprekken van gebruikers te geven. Nergens in het bericht wordt echter gemeld dat Skype-gesprekken niet zijn af te tappen.
Aftappen
Eerder liet Seth Schoen van de Amerikaanse digitale burgerrechtenorganisatie Electronic Frontier Foundation (EFF) al weten dat Skype een reputatie voor een niet te kraken beveiliging heeft, terwijl het dit niet verdient. Schoen krijgt bijval van privacy-expert Christopher Soghoian. "Consumenten denken dat de dienst veilig is, en Skype heeft absoluut geen reden om deze valse, maar positieve indruk, te herstellen."
Soghoian denkt dat 99% van de Skype-gebruikers nog nooit heeft nagedacht over de eenvoud of moeite waarmee overheidsdiensten hun gesprekken kunnen afluisteren. De meeste gebruikers zouden de dienst alleen gebruiken omdat die goedkoop is en het mogelijk maakt om met hun vrienden te bellen. Er zijn echter ook journalisten, mensenrechtenactivisten en andere risicogroepen die Skype gebruiken omdat ze denken dat het veilig is.
Onveilig
"Skype is niet transparant over de aftapmogelijkheden. Het wil ons niet vertellen hoe het met encryptiesleutels omgaat, wat voor hulp het overheden biedt, in welke gevallen, of welke overheden het helpt. Totdat het transparanter is, moet Skype als onveilig worden beschouwd, en niet veilig voor gebruikers van wie de fysieke veiligheid afhankelijk van de vertrouwelijkheid van hun gesprekken is", aldus Soghoian.
Persoonlijk maakt het hem weinig uit of Skype is af te tappen of niet. Activisten en gebruikers die hun gesprekken willen beschermen kunnen beter ZRTP gebruiken, waarvan de code, protocollen en werking is gecontroleerd en wat ook in RedPhone voor Android aanwezig is.
"Wat ik wel zou willen, is dat Skype eerlijk is. Als het overheden encryptiesleutels geeft, zou het gebruikers dit moeten vertellen. Ze verdienen de waarheid."
Daar hooe je niemand over klagen.
Welk soort van klanten, welk soort van gesprekken, en vooral, wat raad je dan _wel_ aan ?
Want er is op veel plekken zeker behoefte aan het soort product wat Skype is.
En ik denk eigenlijk dat Skype het qua security _beter_ doet dan de meeste andere VoiP/Video/Message producten.
Dus als je Skype afraadt, en verder niks, heb je kans dat men dan msn, google talk,publiek telefoonnet of whatever gaat gebruiken en dat is m.i. qua security een behoorlijke achteruitgang.
En wat raad je aan als alternatief?
En wat raad je aan als alternatief?
En wat raad je aan als alternatief?
SRTP
Kan je dat SRTP gebruiken zoals Skype /
Kan je van pc naar pc bellen ?
Downloadlink a.u.b.
Een postduif kan je afschieten of laten onderscheppen door een roofvogel...
En wat raad je aan als alternatief?
SRTP
Kan je dat SRTP gebruiken zoals Skype /
Kan je van pc naar pc bellen ?
Downloadlink a.u.b.
Gebruik google, dan vind je heel snel dat rookie er niks van snapt.
SRTP is alleen een protocol. (secure RTP, waarmee je inderdaad spraak kunt encrypten).
Dat kun je goed of slecht implementeren, en authenticatie dat je met iemand belt zonder man-in-the-middle, en met een programma zonder backdoors is niet simpel.
In elk geval niet als je uitdaging bestaat uit "overheidsinstanties" , zoals gesteld werd in de openings post over Skype.
Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.
Geweldige oplossing!
YMBK
Wat een prutser! >-)
Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.
Lolz.
Dit is natuurlijk "meer dan genoeg antwoord". Maar de nieuwe generatie moet kennelijk echt alles voorgekauwd worden.
Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten.
Jij bent toch de expert ? En wie anders dan jij moet naar het totale security plaatje kijken ?
Of wou je hier serieus beweren dat als je maar "iets met SRTP" gebruikt je dan "veilig" bent , of zelfs maar "veiliger dan Skype" ?
Stel je bent IT manager , en je bent terecht bezorgd over de veiligheid van voip/conferencing applicaties, en je hebt iets gelezen dat Skype niet zo goed zou zijn, dus vraag je rookie "wat kunnen we het beste doen"
En dan kom jij met een antwoord van niks.
"Wat is een veiliger browser" -> "SSL"
Raad je je klanten dan ook af om telefoon of email te gebruiken, omdat dit getapt kan worden ? Zoja, bestaat je klantenkring uit criminelen ? ;)
Lol, ben je rookie's klant of werkgever dan ?
Lol, ben je rookie's klant of werkgever dan ?
Als ik dat zou zijn, was dit het soort antwoord om die relatie zsm te verbreken.
Skype biedt ondersteunining voor SRTP ?
TLS and SRTP for Skype Connect
http://download.skype.com/share/business/guides/skype-connect-technical-datasheet.pdf
Rookie heeft dus geen bruikbaar antwoord gegeven op de vraag wat een betere vervanging is van Skype, maar alleen een component van een vervangend programma genoemd, namelijk het protocol.
Lolz.
Dit is natuurlijk "meer dan genoeg antwoord". Maar de nieuwe generatie moet kennelijk echt alles voorgekauwd worden.
Nee, dat is niet "de nieuwe generatie" , een compleet antwoord is wat de klant (als consultant), of je werkgever als je security officer bent van je mag verwachten.
Jij bent toch de expert ? En wie anders dan jij moet naar het totale security plaatje kijken ?
Of wou je hier serieus beweren dat als je maar "iets met SRTP" gebruikt je dan "veilig" bent , of zelfs maar "veiliger dan Skype" ?
Stel je bent IT manager , en je bent terecht bezorgd over de veiligheid van voip/conferencing applicaties, en je hebt iets gelezen dat Skype niet zo goed zou zijn, dus vraag je rookie "wat kunnen we het beste doen"
En dan kom jij met een antwoord van niks.
"Wat is een veiliger browser" -> "SSL"
Lolz IT managers zijn juist tevreden met antwoorden als SRTP, want daar kunnen zij zich echt een eind mee naar boven schermen.
En er is zelfs een RFC van, dat heeft Skype niet en als een IT manager ergens een dikke vette pielemuis van krijgt dan is dat het wel.
En sowieso wanneer een IT manager niet eens weet wat SRTP is, dan vraag ik mij af hoe de gemiddelde dag van die manager er uit ziet :p
Ik raad je aan om eens een baan te gaan zoeken. De dagvulling van een IT manager bestaat uit het aansturen van ITers en praten met de rest van de organisatie.
En als de organisatie een "spraak en messaging applicatie wil", en nog veilig ook, dan zet de IT manager die vraag voor wat betreft de veiligheid uit bij z'n security expert.
Dat, als het een goede IT manager is. Met pech krijgt de IT manager het antwoord (Skype, of MSN, of whatever) namelijk gewoon opgelegd door de business omdat ze dat kennen en op de zaak ook willen.
Dus, de IT manager met genoeg invloed en kennis om de functionele vraag van het bedrijf te mogen invullen met iets, die dan niet eens eigenwijs genoeg is om zelf maar te kiezen voor Skype/MSN legt de vraag met betrekking tot security neer bij de security expert van de IT afdeling; Of huurt misschien die expert in.
En de vraag is naar een veilige(r) applicatie; En de specificatie van een enkele component (het protocol) is geen compleet antwoord, en hoeft helemaal geen veiliger eindresultaat op te leveren.
De IT manager schermt niet naar boven met alleen maar een protocol. De "deliverable" van de IT manager is een bruikbare voip & chat applicatie. En naar boven toe schermt de IT manager met "on target and within budget" .
Want de baas van de IT manager wil niks horen van een protocol, en al helemaal niet als de vervolg vraag "En wanneer staat dat SRTP dan op mijn computer" beantwoord moet worden met "uhhh. nou kijk, SRTP is een protocol..."
Laat staan dat die manager z'n gerief haalt uit de melding "er is een RFC van" terwijl er nog niks te chatten of conferencen valt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
