image

"Aftappen VoIP leidt tot ernstige security problemen"

woensdag 14 juni 2006, 13:11 door Redactie, 16 reacties

De Amerikaanse regering kreeg het laatst voor elkaar dat het VoIP verkeer mag afluisteren. De eis van de overheid dat VoIP-aanbieders hun telefoonverkeer aftapbaar maken kan echter tal van nieuwe security problemen veroorzaken, zo waarschuwen experts.

De aanbieders hebben tot mei 2007 de tijd om hun infrastructuur aftapbaar te maken. Om dit te bewerkstelligen moet een groot deel van het internet worden aangepast of zullen er allerlei security risico's ontstaan. De waarschuwing is afkomstig van de Information Technology Association of America (ITAA).

De ITAA deed onderzoek naar de gevolgen van het aftappen en ontdekte dat dit innovatie in de VS belemmert omdat er grote bedragen aan het aftappen worden uitgegeven.

Daar komt bij dat het monitoren van VoIP gesprekken lastiger is dan bij traditionele telefoongesprekken, omdat VoIP-aanbieders weinig controle hebben over hoe hun gesprekken over het internet gerouteerd worden. "VoIP aanbieders hebben geen speciale internet privileges om het verkeer te beheersen" aldus een van de onderzoekers.

Om VoIP af te tappen moet de overheid toegang hebben tot zowel de data van de VoIP-aanbieder als het real-time monitoren van de gesprekken die via het internet gerouteerd worden. Als ISPs realtime op verzoek van de overheid VoIP-gesprekken moeten opnemen, kan dit het internet kwetsbaar maken voor nieuwe lekken. (Techworld)

Reacties (16)
14-06-2006, 14:58 door Anoniem
Als er 3rd party encryptie toegepast wordt heeft de provider niet eens de
keys en kan er helemaal niet getapt worden. Alleen traffic analysis blijft dan
over, en dat kan binnenkort (opslag verkeersgegevens) toch al. Paketten
hiervoor bestaan nu al (pgpphone bv).

Nu nog overschakelen van gsm op umts zodat producten als Cryptophone
geen onbetaalbare gesprekken via gprs meer vereisen en de overheid kan
weinig meer met haar aftapplichten (behalve crypto verbieden, maar ik
denk niet dat dat nu nog haalbaar is in de praktijk).
14-06-2006, 16:11 door awesselius
Door Anoniem(behalve crypto verbieden, maar ik
denk niet dat dat nu nog haalbaar is in de praktijk).

Joh.... als ze willen, veroorzaken ze wel weer een of andere
aanslag waarbij encrypte communicatie gebruikt werd waardoor
men in gevaar werd gebracht. Dan is het openstellen of
verbieden van de methoden een makkie.

- Unomi -
14-06-2006, 16:34 door Anoniem
Zo goed had ik er nog niet over nagedacht. In Skype zit ook
al encryptiemogelijkheden, dus als iedereen die gebruikt
blijft er ook weinig meer over.

@Unomi:

Netzoals Bush z'n eigen WTC's neerhaalde om de Patriot Act
en Homeland Security op kan richten. Irak kan bombarderen.
En meer rechten naar zich toetrekt.

Kijk uit voor de mannen met de pet...
14-06-2006, 17:32 door Anoniem
Och jongens, Wat een gedoe om niks. De aanbieders van
Security.nl (Hallo PINE) bouwen een serie fijne dozen om
precies dat tapwerk te doen. Voor prijzen die onder de in
het document geciteerde kosten liggen. Het tappen van Vonage
kan wegens centrale routering netjes bij Vonage. Het tappen
van niet centraal gerouteerde voip via een tap op de
locaties waar degene die getapt wordt veelal is: Huis en
werk. Ja je mist wel eens wat, maar dat mis je ook als de
verdachte in een kroeg, kerk of op de redactie van de
Telegraaf zit te babbelen.
14-06-2006, 18:44 door Anoniem
Door Unomi
Joh.... als ze willen, veroorzaken ze wel weer een of andere
aanslag waarbij encrypte communicatie gebruikt werd waardoor
men in gevaar werd gebracht. Dan is het openstellen of
verbieden van de methoden een makkie.

Ze kunnen het wel verbieden, maar het afdwingen van dat verbod is niet
haalbaar met de tegenwoordige ruime aanwezigheid van kennis over
encryptiesoftware en verspreidingsmethoden (bv. p2p).
14-06-2006, 22:20 door Anoniem
Door Anoniem
Zo goed had ik er nog niet over nagedacht. In Skype zit ook
al encryptiemogelijkheden, dus als iedereen die gebruikt
blijft er ook weinig meer over.

En wie heeft de keys?

Skype dacht ik zo.. En anders zouden ze er een achterdeur in
kunnen bouwen zodat de NSA/CIA/FBI toch mee kan luisteren.
14-06-2006, 22:27 door R Eygendaal
Deze zelfde verhalen hoorde je een paar jaar geleden, over e-mail en
internet tap. Mijn inziens valt het allemaal we mee, en zal het uiteindelijk gewoon getapt worden. De geschiedenis herhaalt zich:))
15-06-2006, 04:53 door Anoniem
Ik denk dat men onderscheid moet maken tussen voip als dienst van
ISP's/Telco's en VOIP achtige diensten die een gebruiker buiten diensten
portfolio van ISP gebruikt.

De Voip diensten van een ISP/Telco zijn probleemloos zonder enige
technische opstakel af te tappen. Het enige waar ISP's over zeuren is de
kosten die ze moeten maken voor de aftap infrastructuur, voor Telco's ligt
dat anders, vanuit de SWITCH gezien is er geen verschil tussen VOIP
en "Analoog" (echt analoog zijn gespreken al jaren niet meer).

De aftapbaarheid van die overheden eisen (en terecht) is bedoeld voor
aangeboden VOIP diensten. Dus als een ISP of een Virtuele Telco (zoals
SKYPE) een dienst in een land aanbied dient hij te conformeren aan de
lokale wetgeving.

Het probleem bij veel ISP's (dus geen telco's ) is dat ze zojuist veel
geïnvesteerd hebben in IP verkeer aftappen en er achter zijn gekomen dat
telefoongesprekken tappen andere aftap infrastructuur nodig heeft.

Een ander probleem is organisatorisch van aard. Traditionele telco's
leveren getapte gesprekken af bij aftap kamer van plaatselijke hoofdburo,
aangezien er niet zoveel telco's zijn, was dit organisatorisch te overzien.

Nu je bij de meeste ISP's VOIP kan afnemen, onstaat er een groot
probleem voor de overheid. Ondanks dat er maar een handjevol bedrijven
zijn die de fysieke verbindingen leveren (bij adsl BBned, KPN, Versatel,
Kabelbedrijf) is men wettelijk verplicht om de identiteit vast te stellen
voordat tap geplaatst mag worden. Deze "toplevel" ISP's/Telco's weten niet
wie de daadwerkelijke gebruikers zijn (formeel, vanuit technisch
perspectief weten ze dat wel gezien het feit dat ze de lijn moeten kunnen
opleveren) en moet de overheid aan elke ISP die VOIP dienst aanbied een
tap bevel afgeven en vervolgens zorgen dat de gevoerde gesprekken op
hun tap kamer binnenkomt.

Dit betekend dat de ISP moet investeren in tap infrastructuur, een logische
pad via hun toplevel isp naar de tap kamer moet bestaan etc..etc..

Aan de andere kant de Politie moet aan de hand van een VOIP nummer de
ISP zien te vinden, wat een extra administratieve stappen kan betekenen.

Immers sommige kleine ADSL leveranciers, hebben zelf helemaal geen
infrastructuur en hebben IP als ook Telefoon ranges ingebruik van hun
toplevel ISP in "bruikleen". Juridisch gezien moet de ADSL leverancier de
tap zetten.

Al met al zal de komende periode VOIP veel hoofdbrekens gaan opleveren,
waarbij het "gezeur" over IP tap (TIIT) kinderspel blijkt te zijn.


Wat VOIP betreft die niet als dienst word aangeboden, zoals praten via
MSN of een thirdparty VOIP product (aldaniet volgens de VOIP standaard)
kan de ISP niet tappen. Want hiervoor moet men eerst vaststellen of
iemand wel hiervan gebruik maakt en dat zou al een privacy schending
opleveren. Los hiervan kan men nooit een tap bevel geven op
een "particuliere" VOIP verbinding indien daar niet een uniek te
identificeren kenmerk aan zit (zoals een telefoonnummer) waaraan de
gebruiker is te identificeren.
Los nog van het feit betreffende encryptie en tunnels.
Overigens ga er maar vanuit dat geen enkele commercieële product
encryptie gebruikt waar geen key escrow op mogelijk is.
Aangezien men in landen het product zou verbieden en daarbij dus de
commercieële belangen ernstig worden geschaad.
Immers wat zou Skype waard zijn, indien het verboden zou worden in
Amerika, Europa, Rusland, Israel (alle encryptie is daar verboden) en
China en andere niet zo "democratische" landen.

Waar men wel zorgen over moet maken is hoe overheden om gaat met het
recht om jezelf te mogen beschermen, indien je encryptie gebruikt (home
cooked) die niet zonder meer te kraken blijkt mag je in landen als Isreal en
Frankrijk de gevangenis is, in Engeland word je voor de keus gesteld, keys
geven of twee jaar cel. Dit lijkt in strijd met rechten van de mens, immers je
kan niet geacht worden aan je eigen veroordeling mee te werken, daarop
hebben ze verzonnen dat onbreekbare encryptie strafbaar feit is en om die
reden (ongeacht inhoud dus) al opgesloten mag worden.

In Nederland is er nog geen grote zaak geweest met dit als insteek, maar
ga er maar vanuit dat de huidige regering het geen enkele moeite vind om
onze vrijheden verder in te perken.

Overigens bewijst de geschiedenis dat geen enkele politie staat lang blijft
bestaan, de bevolking (uiteraard nog nooit de Nederlanders) keert zich
tegen de overheid op de nduur.
15-06-2006, 10:59 door Anoniem
Door R Eygendaal
Deze zelfde verhalen hoorde je een paar jaar geleden, over
e-mail en
internet tap. Mijn inziens valt het allemaal we mee, en zal
het uiteindelijk gewoon getapt worden. De geschiedenis
herhaalt zich:))


Precies, er worden twee belangrijke fouten gemaakt,
technisch gesproken heeft men blijkbaar weinig of geen
inzicht van belang en men heeft geen zicht op de
maatschappelijke basis achter het tappen:

Burgers zijn gebaat bij een maatschappij met beperkte
hoeveelheid criminaliteit. Als vertegenwoordiger van alle
burgers kan de overheid dan ook geen blijvende vrijplaatsen
voor criminaliteit tolereren. Privacy heeft doorgaans
voorrang, maar de overheid moet wel kunnen ingrijpen. Deze
eis vormt de maatschappelijke basis van het tappen van
telefonie en internetverkeer. Deze maatschappelijke basis
heeft verstrekkende gevolgen; zo zal uiteindelijk ook
encryptie alleen in gereguleerde vorm acceptabel zijn.

+++chefren
15-06-2006, 12:13 door Anoniem
Hoe gaat die regering (en de 'onze') dan om met versleutelde
voip? Willen ze straks ook versleutelde e-mails gaan
bekijken? Komt er dan een wettelijk verbod op (open source)
versleuteling?
Wordt het wettelijk verplicht je pc open te stellen voor
'bezoekjes' van de FBI/CIA zodat die wat directer kunnen
zoeken naar recepten voor chemische wapens/kinderporno
enzovoorts?

Moeten regeringen niet wat meer proberen aan de oorzaken van
criminaliteit (en terrorisme) te doen?
16-06-2006, 15:50 door Anoniem
"Moeten regeringen niet wat meer proberen aan de oorzaken van
criminaliteit (en terrorisme) te doen?"

Enerzijds: Zonder informatiepositie? Ofwel zonder tappen?

Anderzijds: Mensen op DNA niveau verbouwen zodat ze altijd
alleen maar goede dingen doen? (Wat is goed?)

+++chefren
18-06-2006, 00:25 door Anoniem
Door Anoniem
"Moeten regeringen niet wat meer proberen aan de oorzaken van
criminaliteit (en terrorisme) te doen?"

Enerzijds: Zonder informatiepositie? Ofwel zonder tappen?

Anderzijds: Mensen op DNA niveau verbouwen zodat ze altijd
alleen maar goede dingen doen? (Wat is goed?)

+++chefren

Niet Tappen betekent meer agenten in / op de straat en moet een
overheid vertrouwen op de 'begluur uw buur show'.
De vorming van een Totalitaire 'gemeenschap' is aanstaande.
Anderen noemen dit een Politie Staat, ik noem het een ode aan het
succes van StarTrek.

Dat het tappen 'inzichtelijk' dient te gebeuren is democratisch
'afgesproken'. (nakomen is iets anders)

Dat het tappen van telefoon en internet tot patentconflicten kan
leiden word genegeerd en vergeten, hieruit is op te maken dat het
tappen van telefoon en internet het 'industrieel' belang dient en niet
de 'staatsveiligheid'. (Dat is een taak voor een / de 'gemeenschap')

'Ons' DNA word al 'verbouwd' door toevoegingen in 'vers' en
vitamine producten. (in een flesje JA)

Het VERPLICHT afstaan van DNA voor een bepaalde categorie
'verdachten' is niet alleen voor identificatie bij of ter voorkoming van
nieuwe delicten maar meer voor het 'inzichtelijk' maken van mogelijk
erfelijke afwijkingen. (en het mogelijk 'dwarsbomen' van nazaten)

Een vergelijkbare situatie vond plaats tussen 1940 - 1945........

UberMensh was de 'benaming' destijds geloof ik.........

De NL tapwetgeving is nalatig voor eerzame burgers aangezien er
word uitgegaan van 'contact met' en niet 'is verdachte van' waardoor
de onbegrensde uitbreiding van het tapnetwerk kan doorgaan.

Het is de (wijziging van) WETGEVING waarover 'wij' ons druk
moeten maken, NIET over het resultaat dat 'slechte' wetging
produceert / voortbrengt.
18-06-2006, 11:25 door Anoniem
@+++chefren

1 - Met tappen bestrijdt je niet de oorzaken van
criminaliteit; criminaliteit is zelf een gevolg van allerlei
omstandigheden.

2 - Criminaliteit is niet alleen maar genetisch bepaald.
19-06-2006, 14:13 door Anoniem
De NSA heeft de beveiliging van Skype allang al gekraakt...
Die beveiliging is er alleen om aftappen door Supernodes
(oftewel, u en ik) tegen te gaan. Niet om overheden buiten
de deur te houden.
16-07-2006, 10:00 door Anoniem
Door Anoniem
Als er 3rd party encryptie toegepast wordt heeft de provider
niet eens de
keys en kan er helemaal niet getapt worden. Alleen traffic
analysis blijft dan
over, en dat kan binnenkort (opslag verkeersgegevens) toch
al. Paketten
hiervoor bestaan nu al (pgpphone bv).

Nu nog overschakelen van gsm op umts zodat producten als
Cryptophone
geen onbetaalbare gesprekken via gprs meer vereisen en de
overheid kan
weinig meer met haar aftapplichten (behalve crypto
verbieden, maar ik
denk niet dat dat nu nog haalbaar is in de praktijk).

GPRS kun je nu toch al flat fee krijgen? :P
t-mobile doet dat al
17-07-2006, 04:28 door Anoniem
Israel (alle encryptie is daar verboden)
Je
zal daar maar een WLAN hebben. Die kun je dan niet
beveiligen tegen onbevoegde toegang.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.