'Skype mist belangrijke bescherming tegen afluisteren'
Skype mist voor nog altijd onbekende reden een belangrijke beveiligingsmaatregel die afluisteren door bijvoorbeeld inlichtingendiensten moet tegengaan. Skype beweert dat de VoIP-gesprekken die gebruikers voeren 'end-to-end' versleuteld zijn. Een probleem met de opstelling van Skype is dat de dienst de rol van certificate authority voor gebruikers speelt.
Net zoals bij andere certificate authorities zou Skype het afluisteren kunnen faciliteren door de verkeerde sleutels aan derde partijen af te staan. Dit probleem is al geruime tijd bekend. Vorig jaar stelde privacyonderzoeker Chris Soghoian dat Skype het ontwerp moest aanpassen, of anders het risico duidelijker naar gebruikers toe moest communiceren.
Verificatie
Een manier om man-in-the-middle-aanvallen te voorkomen is dat Skype gebruikers de mogelijkheid geeft om hun eigen encryptiesleutels te laten verifiëren, zonder van de Skype-dienst afhankelijk te zijn. Een beveiligingsmaatregel die veel andere versleutelde communicatietools toepassen.
Skype mist deze optie echter, ook al werd het in 2011 door de Amerikaanse digitale burgerrechtenbeweging EFF gevraagd om de feature toe te voegen. Inmiddels zijn er twee jaar verstreken en is er nog altijd geen sleutelverificatie aan Skype toegevoegd, zo laat de Electronic Frontier Foundation (EFF) weten.
Microsoft
Volgens de EFF is dit gezien recente uitspraken van Microsoft een probleem. "Gebruikers moeten precies weten hoe de communicatietechnologieën die ze gebruiken ze wel of niet beschermen. Als Microsoft redenen heeft om aan te nemen dat deze situatie zal veranderen, moeten we weten wat die redenen zijn."
Is er geen wettelijke verplichting voor Microsoft om te zorgen dat Skype gesprekken aftapbaar zijn in het kader van lawful interception, m.a.w. heeft Microsoft een keuze ?
het mag gewoon niet van de NSA, mede omdat ook microsoft met de broek naar onder gaat richting de NSA.
praten maar in codes. En als je een beetje dom geweest bent en die codes meteen hebt afgesproken via
dezelfde sessie, dan hebben ze meteen ook al je woordenboek van codes.
Deze methode is al zo oud als de misdaad, en natuurlijk kennen ze die bij inlichtingendiensten.
Dus daar ga je echt niks mee beveiligen. Hooguit wat gegrinnik veroorzaken.
En als dit lukt, dan weet je nog niet wie aan de andere kant van de lijn zit. Daarvoor zul je echt iemand in persoon moeten ontmoeten en om zijn paspoort vragen zodat je weet wie het is. Dit probleem speelt ook bij PGP. Daarom heb je daar ook keysigning parties.
Met anonieme technieken als TOR is het probleem nog een orde van grootte erger. Als je iemand je MITM key weet te slijten immers, en die gebruikt die, dan weet je door de gelaagde TOR encryptie heen wie het was.
Het enige wat hiervoor nodig is is de geheime sleutel van de directory servers van TOR (of een aangepaste executable).
Verder wordt nog 1024 bit RSA/DH encryptie gebruikt op veel plaatsen. Die sleutels heeft de NSA zo gekraakt. Zelfs zonder wiskundige technieken die alleen zij weten en de publieke wetenschap niet. Vroeger had je de RSA challenges, maar daar zijn ze al een tijdje mee gestopt nadat 768 bits RSA gekraakt was (heel lang geleden al). 1024 bit is niet veilig.
Skype 3.8.0.188 was de laatste goed werkende versie op de computer. Klein en Fijn. Maak er nog steeds gebruik van ondanks de aggresieve automatische updates die willen updaten, maar die schakel je uit in de eigenschappen zeer kort na het installeren.
Ik zou het toch fijn vinden nu met al die laatste onthullingen om over een "europees" o.s. project te vernemen die de Skype wereld gaat veroveren. Dus een softwareboer die zijn hoofdzit in de EU heeft.
Hoe kraakbaar encryptie is hangt meer af van de sterkte van de encryptie dan van de vraag hoe obscuur de encryptie methode is. Een zwakke eigen methode van codering is bijvoorbeeld zeer kraakbaar.
Tja, als je een encrypted bestand stuurt in combinatie met de decryptie key, dan werkt encryptie niet. Als je een slot op je huisdeur hebt zitten, en buiten de sleutel naast het slot ophangt, dan werkt access control niet.
"Deze methode is al zo oud als de misdaad, en natuurlijk kennen ze die bij inlichtingendiensten. Dus daar ga je echt niks mee beveiligen. Hooguit wat gegrinnik veroorzaken."
Indien je de codes deelt via hetzelfde kanaal dan heb je natuurlijk volledig gelijk. Verder is er vaak uit de context meer op te maken bij codes. Drugsdealers gebruiken vaak code woorden voor hun troep, en de recherche weet meestal vrij goed waar zij het dan over hebben ;)
Het feit dat je codes gebruikt wordt in ieder geval bij bepaalde rechtzaken als extra bezwarend gezien. Als de politie van een aantal zaken harde bewijzen hebben en ook nog een aantal telefoongesprekken met codes, wordt er vanuit gegaan dat die gesprekken ook over hetzelfde soort misdrijven gaat.
Peter
Ik zou het toch fijn vinden nu met al die laatste onthullingen om over een "europees" o.s. project te vernemen die de Skype wereld gaat veroveren. Dus een softwareboer die zijn hoofdzit in de EU heeft.
Skype was immers op en top een Europees product, en het is in het begin ook heel innovatief gebouwd met puur
peer-to-peer verbindingen.
Maar de commercie heeft gewonnen en het is verkocht aan Microsoft die er meteen in is gaan spitten om alles via
hun eigen servers te leiden zodat ze alles ook kunnen loggen en tracen.
Ik vind ook dat er een nieuw (open?) project zou moeten komen om weer te realiseren wat Skype in het begin was,
maar ik maak me geen illusies over hoe het daarmee zou aflopen.
Als het echt niet af te luisteren is dan komt er natuurlijk gezeur.
Je zult om te beginnen al moeten zorgen dat er echt geen bedrijf of andere aan te pakken entiteit in voorkomt.
Skype was wel peer-to-peer voor de communicatie, maar er was wel een centrale server die de informatie over waar
een bepaalde gebruiker zich bevindt (en zijn password) bijhield. Daar moeten we dus vanaf, want als er zo'n server
is dan is daar een eigenaar van en die is dan weer aan te pakken cq te sommeren om dingen anders te gaan doen.
Als je alleen maar een blob software hebt die open-source ontwikkeld wordt en die draait op miljoenen computers
die samen het gebruikersnetwerk vormen, dan is dat natuurlijk lastiger. Iedereen kan de source inzien maar niemand
is er aan te spreken om een tap te maken of gebruikersgegevens te overhandigen.
Of zo iets te realiseren is, en of het overeind blijft in deze tijden van staats inlichtingendiensten die alles willen weten
dat is de vraag.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
