image

NSA biedt miljarden voor afluisteren Skype

maandag 23 februari 2009, 16:43 door Redactie, 29 reacties

Het Amerikaanse National Security Agency (NSA) zou volgens bronnen "miljarden" uitloven voor het aftappen van Skype. Tijdens de Counter Terror Expo in Londen liet de anoniem bron tegenover The Register weten dat Skype een groot probleem voor inlichtingendiensten is. Zo zou de Duitse politie al hulp hebben gezocht om Skype-verkeer te onderscheppen. Vanwege de Peer-to-Peer opzet kunnen overheden, politie en opsporingsdiensten niet bij Skype aankloppen, dat ook nog eens de gebruikte encryptie niet openbaar wil maken. Iets wat het ook niet hoeft te doen, aangezien het vanuit Europa opereert.

Er gaan al langer geruchten dat de NSA de Skype-encryptie wil kraken, maar dit zou een te grote belasting voor de inlichtingendienst vormen. "Daarom zeggen ze tegen de industrie. Help ons bij het afluisteren van Skype en we maken je rijk", aldus de anoniem bron, die tevens opmerkt dat de obscure encryptie van Skype bij elke update wordt aangepast. Vorige week liet de Europese organisatie Eurojust nog weten dat het de aftapbaarheid van Skype gaat onderzoeken.

Reacties (29)
23-02-2009, 16:46 door Anoniem
Sure, "miljarden" betalen om Skype te kraken. Voor miljarden verkoopt skype die encryptie echt wel aan de NSA.
23-02-2009, 17:04 door Anoniem
Het gaat niet om het verkopen van "encryptie". Skype maakt gebruik van public key authentication, waardoor het technisch niet mogelijk is de encryptie te ontsleutelen zonder de private key van de ontvanger te bezitten. Ze zullen dus voor zo'n samenwerking met de NSA het encryptie schema moeten aanpassen, en de vraag is of skype dan nog aantrekkelijk gevonden zal worden door de mensen die ze willen afluisteren...
23-02-2009, 17:06 door Anoniem
Lijkt me juist een offensief om Skype te laten gebruiken door boven. Zij wanen zich veilig en de encryptie is allang gekraakt of Skype heeft een achterduertje...
23-02-2009, 18:02 door Anoniem
Ik dacht dat het protocol van Skype al door Chinezen was gereverse-engineerd?

Nu is het nog een kwestie van DNS poisening.
23-02-2009, 18:48 door [Account Verwijderd]
[Verwijderd]
23-02-2009, 19:06 door spatieman
binnenkort te downloaden....
buiten dat je je CPU terbeschikking voor het zoeken naar ET stelt.

de NSA skype de'encryption tool, voor het wereldwijd mee laten rekenen voor het te kraken encryptie
23-02-2009, 21:52 door Anoniem
Ach, wat een wazig verhaal. NSA blijft natuurlijk obscuur met dit soort dingen. Waarschijnlijk willen ze criminelen onterecht laten geloven dat Skype volkomen onafluisterbaar is. Vervolgens gaan de criminelen dit gebruiken en beschikt NSA toch over een mooie afluistermogelijkheid...
23-02-2009, 22:34 door Anoniem
Alles is afluisterbaar.
Hoe sterker de illusie, des te meer er te halen valt.
23-02-2009, 23:29 door slasher
Hier geloof ik niet veel van, zoals de blackberry mythe, de Indische regering heeft die encryptie toch ook al gekraakt gekregen:).
24-02-2009, 00:03 door Skizmo
mietjes.
24-02-2009, 00:50 door quikfit
Uiteindelijk is alles af te luisteren of te bekijken,ik ben wat dat betreft erg argwanend.
24-02-2009, 07:00 door [Account Verwijderd]
[Verwijderd]
24-02-2009, 07:31 door _Peterr
@Rookie:
SIP heeft op zich niets met voip te maken, maar wordt er natuurlijk wel voor gebruikt. Het is een protocol om elkaar te vinden kort samengevat, en uit te wisselen wat elke partij aankan (in geval van voip dus verschillende codecs). SIP is zo populair wegens zijn eenvoud (trekt op http, ook wat op mail omwille van headers).

Skype is een kant en klaar protocol/programma om met elkaar te praten, het is een closed protocol. Als Skype ook SIP had gebruikt waren ze waarschijnlijk veel groter geweest. Maar soms maak je een beslissing die je niet meer terug kunt draaien.

Afluisteren kan altijd. Als je zelf ALLES gedaan hebt om niet afgeluisterd te worden moet de andere kant van de lijn dit ook doen. Anders is er toch nog af te luisteren. Beide een 3DES/AES key en/of Certificaten en dan End-To-End encryptie is een optie. Maar als er een achterdeurtje in de software zit kun je dat net zo goed achterwege laten.
24-02-2009, 08:04 door [Account Verwijderd]
[Verwijderd]
24-02-2009, 08:05 door Anoniem
Grappig dat je nooit wat hoort over IPSEC (3DES / AES) verbindingen, die zijn dan al duidelijk gekraakt ;-)
24-02-2009, 08:07 door Anoniem
Dat is het punt juist, Skype gebruikt certificaten voor end-to-end encryptie. Lees http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf om te leren hoe skype encryptie in elkaar zit. En natuurlijk kan je dan de conversatie aftappen, maar dan heb je een berg data die je moet zien te decrypten... succes. Als het skype protocol aftapbaar is, zijn SSL en PGP dat ook.
24-02-2009, 08:41 door Anoniem
Door AnoniemSure, "miljarden" betalen om Skype te kraken. Voor miljarden verkoopt skype die encryptie echt wel aan de NSA.

If it looks like a duck, and quacks like a duck, we have at least to consider the possibility that we have a small aquatic bird of the family anatidae on our hands.... Spin, quite obviously.... spin !
24-02-2009, 10:07 door Anoniem
De backdoor in Skype is er al langer en wellicht langer dan wij allen vermoeden:

http://blog.tmcnet.com/blog/tom-keating/skype/skype-backdoor.asp

http://www.h-online.com/security/Speculation-over-back-door-in-Skype--/news/111170

De enige grond waarom berichten als het onderhavige bericht in de wereld worden gezet, is om criminelen te verleiden om vooral Skype voor hun duistere activiteiten te gebruiken. En 'guess what' ? Zware jongens weten dit al lang en vermaken zich kostelijk.
24-02-2009, 10:09 door Anoniem
"Het gaat niet om het verkopen van "encryptie". Skype maakt gebruik van public key authentication, waardoor het technisch niet mogelijk is de encryptie te ontsleutelen zonder de private key van de ontvanger te bezitten. "

Tenzij je in samenwerking met Skype een functionaliteit regelt waarmee je kan forceren dat bepaalde gebruikers unencrypted kunnen communiceren...
24-02-2009, 10:13 door Anoniem
Sommige diensten hebben al eens aangegeven helemaal niet zo'n probleem te zien in het afluisteren van Skype, zie bijvoorbeeld onderstaande :

Austrian official fuels Skype backdoor rumours
http://www.theregister.co.uk/2008/07/25/skype_backdoor_rumours/
24-02-2009, 10:40 door Anoniem
"En natuurlijk kan je dan de conversatie aftappen, maar dan heb je een berg data die je moet zien te decrypten... succes."

Klopt, en dat is nou juist de specialiteit van de NSA. Die daarvoor ook apparatuur heeft die 'ietsje' krachtiger is dan waar de gemiddelde gebruiker over beschikt (supercomputers, eventueel in clusters).

"Als het skype protocol aftapbaar is, zijn SSL en PGP dat ook."

En je denkt dat de NSA geen PGP encryptie kan kraken om maar een voorbeeld te noemen ?

De enige vraag is hoeveel moeite ze hiervoor willen doen.
24-02-2009, 14:43 door Anoniem
Door Anoniem"En natuurlijk kan je dan de conversatie aftappen, maar dan heb je een berg data die je moet zien te decrypten... succes."

Klopt, en dat is nou juist de specialiteit van de NSA. Die daarvoor ook apparatuur heeft die 'ietsje' krachtiger is dan waar de gemiddelde gebruiker over beschikt (supercomputers, eventueel in clusters).

"Als het skype protocol aftapbaar is, zijn SSL en PGP dat ook."

En je denkt dat de NSA geen PGP encryptie kan kraken om maar een voorbeeld te noemen ?

De enige vraag is hoeveel moeite ze hiervoor willen doen.

Ik denk inderdaad dat ze dat niet kunnen. De keysizes zijn expres zo gekozen dat decryptie zonder hulp van quantumcomputers (die nog zuiver theoretisch zijn) niet feasible is.
24-02-2009, 15:38 door Anoniem
Noem me eens één stukje software dat niet minstens één 'backdoor' bevat ?!
24-02-2009, 16:28 door Commentator
Door AnoniemNoem me eens één stukje software dat niet minstens één 'backdoor' bevat ?!

Prima. Ik noem je een mateloos populair stukje software, dat op alle linux boxes geïnstalleerd is: "ls"
Het is open source, dus wijs de backdoor maar aan.

Hetzelfde geldt voor grotere pakketten als apache, de linux kernel zelf, bind, noem maar op. Als het open source en populair is, heeft er een community naar gekeken en kan je er vanuit gaan dat er geen backdoors in zitten. Weer een reden om alleen open source te gebruiken voor security kritische toepassingen als dit.

Overigens moet je een backdoor niet verwarren met een vulnerability of lek, een backdoor is met opzet aangebracht.
25-02-2009, 00:11 door Anoniem
Skype maakt gebruik van encryptie software die al in Windows aanwezig is. De zogenaamde: ADVAPI32.DLL en CRYPT32.DLL Maar wist men ook dat deze dynamic link libraries deels zijn geschreven door de NSA? Natuurlijk, denk maar niet dat de NSA het toestaat dat er een sleutel grootte van boven de 128 bits wordt geëxporteerd in software uit eigen land, omdat 128 Bits al flink wat jaren voor de NSA nog te kraken is. Sommigen zeggen dat de NSA hier al jaren de middelen voor had, en ik sluit me daar bij aan. Het is niet voor niets dat er een maximale grootte zit aan de encryptie sleutel grootte.

Pikant detail is dat Andrew Fernandez een aantal jaar geleden had ontdekt dat er in de ADVAPI32.DLL twee sleutels aanwezig waren, de naam van die variabel kon hij achterhalen door reverse-engineering. En wat bleek? een van die sleutels had als naam: "NSAKEY". Later is dit door Microsoft verwijderd of heeft de sleutel variabele een andere naam gegeven. Ben er zelf ook eens mee bezig geweest en ik zie in de API spy dat ze constant Microsoft DLL inladen, waaronder het gebruik van MD4 (allemachtig ik hoop voor RSA) en DES. Ik las dat ze SHA1 gebruiken, maar ik heb daar zelf (tot heden) niets van gezien.

Ik denk dat je er van op aan kunt dat je Skype verkeer niet veilig is. Het zou tamelijk naïef zijn om te suggereren dat men niet de mogelijkheden heeft terwijl de NSA zelf broncode toevoegt en wijzigt. Misschien dat de politie geen toegang heeft, maar die heeft ook een totaal andere "level of clearance" dan de NSA. Ik geloof het artikel dus ook niet, en ga ervan uit dat iemand gewoon interessant wilde doen, of gewoon bij justitie werkt. De NSA gaat natuurlijk niet al hun bronnen inzetten voor een of andere kruimeldief.

Maar uiteraard, je moet zelf bepalen wat je met deze informatie doet.

Groet,

Ronald van den Heetkamp
25-02-2009, 00:19 door Ronald van den Heetkamp
Skype maakt gebruik van encryptie software die al in Windows aanwezig is. De zogenaamde: ADVAPI32.DLL en CRYPT32.DLL Maar wist men ook dat deze dynamic link libraries deels zijn geschreven door de NSA? Natuurlijk, denk maar niet dat de NSA het toestaat dat er een sleutel grootte van boven de 128 bits wordt geëxporteerd in software uit eigen land, omdat 128 Bits al flink wat jaren voor de NSA nog te kraken is. Sommigen zeggen dat de NSA hier al jaren de middelen voor had, en ik sluit me daar bij aan. Het is niet voor niets dat er een maximale grootte zit aan de encryptie sleutel grootte.

Pikant detail is dat Andrew Fernandez een aantal jaar geleden had ontdekt dat er in de ADVAPI32.DLL twee sleutels aanwezig waren, de naam van die variabel kon hij achterhalen door reverse-engineering. En wat bleek? een van die sleutels had als naam: "NSAKEY". Later is dit door Microsoft verwijderd of heeft de sleutel variabele een andere naam gegeven. Ben er zelf ook eens mee bezig geweest en ik zie in de API spy dat ze constant Microsoft DLL inladen, waaronder het gebruik van MD4 (allemachtig ik hoop voor RSA) en DES. Ik las dat ze SHA1 gebruiken, maar ik heb daar zelf (tot heden) niets van gezien.

Ik denk dat je er van op aan kunt dat je Skype verkeer niet veilig is. Het zou tamelijk naïef zijn om te suggereren dat men niet de mogelijkheden heeft terwijl de NSA zelf broncode toevoegt en wijzigt. Misschien dat de politie geen toegang heeft, maar die heeft ook een totaal andere "level of clearance" dan de NSA. Ik geloof het artikel dus ook niet, en ga ervan uit dat iemand gewoon interessant wilde doen, of gewoon bij justitie werkt. De NSA gaat natuurlijk niet al hun bronnen inzetten voor een of andere kruimeldief.

Maar uiteraard, je moet zelf bepalen wat je met deze informatie doet.
25-02-2009, 12:04 door Commentator
Gelukkig gebruik ik Skype op Mac OS X, dat geleverd wordt met OpenSSL...
25-02-2009, 16:30 door Anoniem
Waarom roept bijna iedereen maar zonder na te denken?
Je kan het allemaal kraken. Het stelt niet veel voor als je een FPGA Box hebt en een hele ( Pre-Auth ) PCAP hebt.
Het kost alleen tijd.

Het lijkt hier wel tweakers.
26-02-2009, 12:01 door Anoniem
Door Commentator
Door AnoniemNoem me eens één stukje software dat niet minstens één 'backdoor' bevat ?!

Prima. Ik noem je een mateloos populair stukje software, dat op alle linux boxes geïnstalleerd is: "ls"
Het is open source, dus wijs de backdoor maar aan.

Hetzelfde geldt voor grotere pakketten als apache, de linux kernel zelf, bind, noem maar op. Als het open source en populair is, heeft er een community naar gekeken en kan je er vanuit gaan dat er geen backdoors in zitten. Weer een reden om alleen open source te gebruiken voor security kritische toepassingen als dit.

Overigens moet je een backdoor niet verwarren met een vulnerability of lek, een backdoor is met opzet aangebracht.

Herstel; je hebt gelijk, ik was vergeten te vermelden dat ik hier commerciële software (closed source) bedoel.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.