Computerbeveiliging
- Hoe je bad guys buiten de deur houdt
Zfone aftapbaar?
25-11-2010, 16:42 door Anoniem, 23 reacties
Hoi,
Zoals we allemaal weten krijgt de Politie steeds meer bevoegdheden en behoord Nederland tot het grootste land
waar word afgetapt. Via Bof.nl kwam ik uit op het programma Zfone uit om anoniem mee te kunnen chatten.
Van Skype word dat soms ook wel beweerd, maar hier op de site staan toch een aantal berichten dat Skype eigenlijk
toch aftapbaar schijnt te zijn.
Via de website van Rejo Zenger zie ik dat er 42 opsporingsdiensten geauthoriseerd zijn om verkeersgegevens of naw gegevens te kunnen opvragen. >https://rejo.zenger.nl/inzicht/het-functioneren-van-het-ciot
Als ik het tenmiste goed begrijp.
Nu zit ik met de volgende vraag, wie weet in hoeverre Zfone aftapbaar is?
Inlichtingendiensten zullen het natuurlijk niet gaan toegeven, of zeggen dat het niet aftapbaar is, terwijl het misschien wel
aftapbaar is. Hoe kun je als normale burger uitvinden hoe het daarmee zit?
Er schijnt ook iets te bestaan als pidgin (http://www.pidgin.im/)
maar goed die Zfone lijkt me toch ergens veiliger. (kan er best naast zitten hoor)
Wie weet meer over Zfone?
http://zfoneproject.com/getstarted.html
Zoals we allemaal weten krijgt de Politie steeds meer bevoegdheden en behoord Nederland tot het grootste land
waar word afgetapt. Via Bof.nl kwam ik uit op het programma Zfone uit om anoniem mee te kunnen chatten.
Van Skype word dat soms ook wel beweerd, maar hier op de site staan toch een aantal berichten dat Skype eigenlijk
toch aftapbaar schijnt te zijn.
Via de website van Rejo Zenger zie ik dat er 42 opsporingsdiensten geauthoriseerd zijn om verkeersgegevens of naw gegevens te kunnen opvragen. >https://rejo.zenger.nl/inzicht/het-functioneren-van-het-ciot
Als ik het tenmiste goed begrijp.
Nu zit ik met de volgende vraag, wie weet in hoeverre Zfone aftapbaar is?
Inlichtingendiensten zullen het natuurlijk niet gaan toegeven, of zeggen dat het niet aftapbaar is, terwijl het misschien wel
aftapbaar is. Hoe kun je als normale burger uitvinden hoe het daarmee zit?
Er schijnt ook iets te bestaan als pidgin (http://www.pidgin.im/)
maar goed die Zfone lijkt me toch ergens veiliger. (kan er best naast zitten hoor)
Wie weet meer over Zfone?
http://zfoneproject.com/getstarted.html
Reacties (23)
Ze gebruiken een nieuw versleuteld protocol. Omdat het vrij nieuw is hoogst waarschijnlijk nog niet gekraakt.
Ik zeg als er iets is wat waarschijnlijk NOG niet gekraakt is is het Zphone... Zeker weten doe je het nooit. Alles is theoretisch te kraken.
Skype heeft voor zover ik weet z'n sleutel moeten inleveren.
Pidgin is een multiple message client (voor msn, gtalk etc).
bl33p
Ik zeg als er iets is wat waarschijnlijk NOG niet gekraakt is is het Zphone... Zeker weten doe je het nooit. Alles is theoretisch te kraken.
Skype heeft voor zover ik weet z'n sleutel moeten inleveren.
Pidgin is een multiple message client (voor msn, gtalk etc).
bl33p
Is misschien al enkele jaren geleden. Maar ooit las ik een nieuwsbericht over een grote betaling van ik meen de Oostenrijkse overheid aan Skype, dat uitgelekt was. Die betaling was bij de verkeerde begrotingscijfers terecht gekomen. Had bij de geheime begroting moeten zitten inzake inlichtingendienst. Maar dat bericht was dus van lang geleden.
ik heb vertrouwen in de volledige onkunde van onze Inlichtingendiensten dus;
nee, 't is niet aftapbaar door de nederlandse inlichtingen dienst
nee, 't is niet aftapbaar door de nederlandse inlichtingen dienst
"Nu zit ik met de volgende vraag, wie weet in hoeverre Zfone aftapbaar is? Inlichtingendiensten zullen het natuurlijk niet gaan toegeven, of zeggen dat het niet aftapbaar is, terwijl het misschien wel aftapbaar is. Hoe kun je als normale burger uitvinden hoe het daarmee zit? "
Ik ken zfone niet, maar indien men toegang weet te krijgen tot je computer, en daar een trojan op weet te installeren, dan ben je hoe dan ook aftapbaar omdat men dan al je verkeer kan onderscheppen voordat het ge-encrypt wordt, of doordat men m.b.v. een keylogger je passphrase weet te onderscheppen. Op deze manier wilde de Duitse politie bijvoorbeeld Skype gebruikers aftappen vanwege de (vermeende?) aftapproblemen.
Verder vraag ik mij af in hoeverre de encryptie keys die je gebruikt opgeslagen staan op je PC, waardoor deze door binnendringers onderschept zouden kunnen worden. Indien men die keys weet te bemachtigen, dan kan men een trusted man-in-the-middle attack gebruiken om je verkeer te decrypten, af te tappen, en vervolgens weer te encrypten.
Ik ken zfone niet, maar indien men toegang weet te krijgen tot je computer, en daar een trojan op weet te installeren, dan ben je hoe dan ook aftapbaar omdat men dan al je verkeer kan onderscheppen voordat het ge-encrypt wordt, of doordat men m.b.v. een keylogger je passphrase weet te onderscheppen. Op deze manier wilde de Duitse politie bijvoorbeeld Skype gebruikers aftappen vanwege de (vermeende?) aftapproblemen.
Verder vraag ik mij af in hoeverre de encryptie keys die je gebruikt opgeslagen staan op je PC, waardoor deze door binnendringers onderschept zouden kunnen worden. Indien men die keys weet te bemachtigen, dan kan men een trusted man-in-the-middle attack gebruiken om je verkeer te decrypten, af te tappen, en vervolgens weer te encrypten.
Daarom moet je ook nooit je encrypie sleutel op de pc bewaren,maar alleen op een usb stick.
Dan kan jij alleen als je de desbetreffende usbstick hebt van de computer gebruik maken,om je data te ontsleutelen.
Dan kan jij alleen als je de desbetreffende usbstick hebt van de computer gebruik maken,om je data te ontsleutelen.
Pidgin is op zichzelf niet beveiligd, wat bl33p zei: "Pidgin is een multiple message client (voor msn, gtalk etc)."
Je kunt er overigens wel een plugin (Off-the record a.k.a. Pidgin OTR) voor downloaden. Als je dan praat met iemand anders die die plugin ook heeft wordt je gesprek versleuteld.
Zie ook http://www.cypherpunks.ca/otr/ voor meer info over OTR.
Je kunt er overigens wel een plugin (Off-the record a.k.a. Pidgin OTR) voor downloaden. Als je dan praat met iemand anders die die plugin ook heeft wordt je gesprek versleuteld.
Zie ook http://www.cypherpunks.ca/otr/ voor meer info over OTR.
Simp Pro versleutelt ook al je MSN gesprekken als je wederhelft het programma ook heeft draaien. =D
26-11-2010, 19:05 door
Syzygy
Even wat feiten:
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Of ze met die gegevens wat kunnen doen hangt natuurlijk af van de encryptie/decryptie.
Er zijn natuurlijk ander manieren om met elkaar anoniem te converseren denk even aan speciale telefoons.
De hardcore crime scene zal kosten nog moeite besparen om in het anonieme te verblijven.
Ik denk niet dat ze met gescrambelde Zphone en Skype en zo aan de slag gaan.
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Of ze met die gegevens wat kunnen doen hangt natuurlijk af van de encryptie/decryptie.
Er zijn natuurlijk ander manieren om met elkaar anoniem te converseren denk even aan speciale telefoons.
De hardcore crime scene zal kosten nog moeite besparen om in het anonieme te verblijven.
Ik denk niet dat ze met gescrambelde Zphone en Skype en zo aan de slag gaan.
Met deze methoden kan men misschien niet zien wát er gecommuniceerd wordt, wel met wie en waar de partijen zich bevinden, wil je dit ook nog eens voorkomen raad ik aan om eens te kijken naar I2P, deze heeft gedecentrailseerde encrypted email, een gedecentraliseerde messenger, en eigenlijk alles wat je nodig hebt, daarnaast is het behoorlijk sneller als tor.
Door Syzygy: Even wat feiten:
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Of ze met die gegevens wat kunnen doen hangt natuurlijk af van de encryptie/decryptie.
Er zijn natuurlijk ander manieren om met elkaar anoniem te converseren denk even aan speciale telefoons.
De hardcore crime scene zal kosten nog moeite besparen om in het anonieme te verblijven.
Ik denk niet dat ze met gescrambelde Zphone en Skype en zo aan de slag gaan.
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Of ze met die gegevens wat kunnen doen hangt natuurlijk af van de encryptie/decryptie.
Er zijn natuurlijk ander manieren om met elkaar anoniem te converseren denk even aan speciale telefoons.
De hardcore crime scene zal kosten nog moeite besparen om in het anonieme te verblijven.
Ik denk niet dat ze met gescrambelde Zphone en Skype en zo aan de slag gaan.
Hi, klopt maar als ik zo kijk naar onderstaande:
Zfone™ is a new secure VoIP phone software product which lets you make encrypted phone calls over the Internet. Its principal designer is Phil Zimmermann, the creator of PGP, the most widely used email encryption software in the world. Zfone uses a new protocol called ZRTP, which has a better architecture than the other approaches to secure VoIP.
Dan is Phil Zimmerman toch niet de eerste de beste, en de man achter PGP.
Tevens kan ik nergens iets vinden dat Zfone is af te luisteren, en van Skype is wel een en andere te vinden.
Dus ik dacht raadpleeg de "experts" maar eens.
Als ik ernaast zit dan hoor ik het wel.
Ik hoor en lees veel over encryptie, aivd, mivd, ciot, en andere bijzonder opsporingsambtenaren.
Wel jammer dat niemand heden ten dage een programma kan voordragen dat voor de opsporingsambtenaren
niet is mee te beluisteren, c.q. tappen of andere vorm van decrypten. Ik doel dan op VOIP programma's.
Van de speciale gsm's weet ik wel vanaf, maar onder de 1000 euro is die weer niet te krijgen.
Zfone was (of is leuk) als je zeker weet dat je de opsporingsambtenaren hier een slag mee voor bent, en
zeker nu privacy in de toekomst een belangrijke rol gaat spelen.
26-11-2010, 21:26 door
Rene V
Er is ook nog de mogelijkheid van EasyVPN van Comodo om versleutelde gesprekken te kunnen voeren.
http://www.comodo.com/home/email-security/vpn-access.php
Overigens is het gratis, maar niet bedoeld voor VoIP, maar puur voor chat.
http://www.comodo.com/home/email-security/vpn-access.php
Overigens is het gratis, maar niet bedoeld voor VoIP, maar puur voor chat.
26-11-2010, 21:50 door
Rene V
Overigens is aan de Zfone zo'n 4 ½ jaar geleden al aandacht besteedt hier.
http://www.security.nl/article/13139/1/Veilig_bellen_met_Philip_Zimmermann%27s_Zfone.html
http://www.security.nl/article/13139/1/Veilig_bellen_met_Philip_Zimmermann%27s_Zfone.html
Phil Zimmerman staat blijkbaar ook achter Hushmail, dat ook kan worden ingeluisterd. Hij heeft zijn PGP product lang geleden commercieel verkocht ("he sold out" zouden de Amerikanen zeggen).
Even wat feiten:
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Het is inderdaad zo dat Nederland het land is waar het meest wordt getapt.
Vanuit Driebergen ligt er een dikke pijp naar de AMSIX onder de naam IIN (Internet Interceptie Netwerk) en is sinds 2008 actief.
Wat ze willen tappen wordt dus getapt.
Uh, zijn dat jouw feiten? Vertel eens waar jij die wijsheid vandaan hebt?
27-11-2010, 12:50 door
ej__
Door René V: Er is ook nog de mogelijkheid van EasyVPN van Comodo om versleutelde gesprekken te kunnen voeren.
http://www.comodo.com/home/email-security/vpn-access.php
Overigens is het gratis, maar niet bedoeld voor VoIP, maar puur voor chat.
http://www.comodo.com/home/email-security/vpn-access.php
Overigens is het gratis, maar niet bedoeld voor VoIP, maar puur voor chat.
Redelijk naief voorstel. Heb je de tekst op hun site gelezen? Niet aftapbaar door hackers. Er staat nergens dat de keys geheim gehouden worden voor de overheid. Je kunt, als je echt wilt versleutelen, geen door een andere partij ondertekende sleutel gebruiken (oftewel wel een self-signed key/certificate) omdat je niet weet aan wie die sleutel wordt overhandigd.
Door Anoniem: ik heb vertrouwen in de volledige onkunde van onze Inlichtingendiensten dus;
nee, 't is niet aftapbaar door de nederlandse inlichtingen dienst
nee, 't is niet aftapbaar door de nederlandse inlichtingen dienst
Naar mijn weten is dat dus wel degelijk mogelijk.
Als je versleutelde gesprekken gaat voeren trek je juist de aandacht naar je (of je gesprekspartner) toe.
Gegarandeerd dat je binnen de kortste tijd doorgelicht bent (nee je weet niet dat dat gebeurd, dat doen
ze dan gewoon want dat mogen ze) en er een richtmicrofoon op je woning of je auto gericht staat.
Gegarandeerd dat je binnen de kortste tijd doorgelicht bent (nee je weet niet dat dat gebeurd, dat doen
ze dan gewoon want dat mogen ze) en er een richtmicrofoon op je woning of je auto gericht staat.
alles is onveilig je kan beter zelf een code op papier ontwikkelen en ouderwets ergens een briefje verstoppen wat de ander dan weer vind en verbrand bijv
Door ej__:
Redelijk naief voorstel. Heb je de tekst op hun site gelezen? Niet aftapbaar door hackers. Er staat nergens dat de keys geheim gehouden worden voor de overheid. Je kunt, als je echt wilt versleutelen, geen door een andere partij ondertekende sleutel gebruiken (oftewel wel een self-signed key/certificate) omdat je niet weet aan wie die sleutel wordt overhandigd.
Redelijk naief voorstel. Heb je de tekst op hun site gelezen? Niet aftapbaar door hackers. Er staat nergens dat de keys geheim gehouden worden voor de overheid. Je kunt, als je echt wilt versleutelen, geen door een andere partij ondertekende sleutel gebruiken (oftewel wel een self-signed key/certificate) omdat je niet weet aan wie die sleutel wordt overhandigd.
Ik geloof dat je dan niet helemaal begrijpt hoe assymetrische encryptie werkt:
Mijn email-sleutels om veilig met jou te kunnen mailen / chatten / vpn-en / whatever, mogen van mij best ondertekend zijn door PKI-overheid (zie http://nl.wikipedia.org/wiki/PKIoverheid) , waarvan je kunt verwachten dat de overheid de sleutels heeft (goh....).
Maar zolang ze jouw en mijn PRIVATE key niet hebben (RSA: http://nl.wikipedia.org/wiki/RSA_(cryptografie) ) , kom je niet verder dan brute-forcen van onze communicatie. Het enige wat die ondertekening doet, is dat wij bij een derde partij de echtheid van de sleutels kunnen verifieren, niet dat de communicatie via die derde partij verloopt. (lees verder: http://nl.wikipedia.org/wiki/Public_Key_Infrastructure)
Vooral doen, communiceren via versleutelde kanalen. Trek je juist de aandacht mee.
28-11-2010, 20:48 door
rob
Mensen....
hij vraagt of je ermee ANONIEM kan chatten
"Via Bof.nl kwam ik uit op het programma Zfone uit om anoniem mee te kunnen chatten. "
encryptie heeft niets te maken met anonieme communicatie...
Als je anoniem wilt communiceren moet je een anonieme verbinding hebben. Bijvoorbeeld over het TOR netwerk.
Als je gewoon wilt voorkomen dat iemand kan meeluisteren, kan je OTR (Off The Record) plugin voor Pidgin gebruiken. Gebruik ik ook om o.a. met mijn vriendin te chatten.
Je kan een lange shared key verzinnen en deze via een ander 'kanaal' dan internet doorgeven. Je communicatie is dan prive naar gelang hoe veilig je deze key hebt doorgegeven. Als je shared key bijv. telefonisch door hebt gegeven, dan is de kans dat je afgeluisterd wordt gelijk aan de kans dat iemand je telefoongesprek heeft afgeluisterd.
Het veiligst zou dus bijv. zijn om in dat geval de shared key op te schrijven, en per post te sturen. Je kan het ook gewoon persoonlijk overbrengen..
De schakel van de sterkte van je encryptie is het laatste waar je je zorgen om hoeft te maken. Iemand die je communicatie wil communicatie zou een mindere uitdaging hebben aan het in je computer inbreken - of andere wellicht fysieke afluisterapparatuur te gebruiken - dan om die encryptie te moeten kraken.
hij vraagt of je ermee ANONIEM kan chatten
"Via Bof.nl kwam ik uit op het programma Zfone uit om anoniem mee te kunnen chatten. "
encryptie heeft niets te maken met anonieme communicatie...
Als je anoniem wilt communiceren moet je een anonieme verbinding hebben. Bijvoorbeeld over het TOR netwerk.
Als je gewoon wilt voorkomen dat iemand kan meeluisteren, kan je OTR (Off The Record) plugin voor Pidgin gebruiken. Gebruik ik ook om o.a. met mijn vriendin te chatten.
Je kan een lange shared key verzinnen en deze via een ander 'kanaal' dan internet doorgeven. Je communicatie is dan prive naar gelang hoe veilig je deze key hebt doorgegeven. Als je shared key bijv. telefonisch door hebt gegeven, dan is de kans dat je afgeluisterd wordt gelijk aan de kans dat iemand je telefoongesprek heeft afgeluisterd.
Het veiligst zou dus bijv. zijn om in dat geval de shared key op te schrijven, en per post te sturen. Je kan het ook gewoon persoonlijk overbrengen..
De schakel van de sterkte van je encryptie is het laatste waar je je zorgen om hoeft te maken. Iemand die je communicatie wil communicatie zou een mindere uitdaging hebben aan het in je computer inbreken - of andere wellicht fysieke afluisterapparatuur te gebruiken - dan om die encryptie te moeten kraken.
28-11-2010, 22:56 door
ej__
Door Anoniem:
Ik geloof dat je dan niet helemaal begrijpt hoe assymetrische encryptie werkt:
Mijn email-sleutels om veilig met jou te kunnen mailen / chatten / vpn-en / whatever, mogen van mij best ondertekend zijn door PKI-overheid (zie http://nl.wikipedia.org/wiki/PKIoverheid) , waarvan je kunt verwachten dat de overheid de sleutels heeft (goh....).
Maar zolang ze jouw en mijn PRIVATE key niet hebben (RSA: http://nl.wikipedia.org/wiki/RSA_(cryptografie) ) , kom je niet verder dan brute-forcen van onze communicatie. Het enige wat die ondertekening doet, is dat wij bij een derde partij de echtheid van de sleutels kunnen verifieren, niet dat de communicatie via die derde partij verloopt. (lees verder: http://nl.wikipedia.org/wiki/Public_Key_Infrastructure)
Waaruit concludeer jij welke encryptie wordt gebruikt bij comodo? En met toegang tot het root certificate kun je _alles_ ontsleutelen. Meeluisteren is simpeler dan vaak wordt gedacht.Door ej__:
Redelijk naief voorstel. Heb je de tekst op hun site gelezen? Niet aftapbaar door hackers. Er staat nergens dat de keys geheim gehouden worden voor de overheid. Je kunt, als je echt wilt versleutelen, geen door een andere partij ondertekende sleutel gebruiken (oftewel wel een self-signed key/certificate) omdat je niet weet aan wie die sleutel wordt overhandigd.
Redelijk naief voorstel. Heb je de tekst op hun site gelezen? Niet aftapbaar door hackers. Er staat nergens dat de keys geheim gehouden worden voor de overheid. Je kunt, als je echt wilt versleutelen, geen door een andere partij ondertekende sleutel gebruiken (oftewel wel een self-signed key/certificate) omdat je niet weet aan wie die sleutel wordt overhandigd.
Ik geloof dat je dan niet helemaal begrijpt hoe assymetrische encryptie werkt:
Mijn email-sleutels om veilig met jou te kunnen mailen / chatten / vpn-en / whatever, mogen van mij best ondertekend zijn door PKI-overheid (zie http://nl.wikipedia.org/wiki/PKIoverheid) , waarvan je kunt verwachten dat de overheid de sleutels heeft (goh....).
Maar zolang ze jouw en mijn PRIVATE key niet hebben (RSA: http://nl.wikipedia.org/wiki/RSA_(cryptografie) ) , kom je niet verder dan brute-forcen van onze communicatie. Het enige wat die ondertekening doet, is dat wij bij een derde partij de echtheid van de sleutels kunnen verifieren, niet dat de communicatie via die derde partij verloopt. (lees verder: http://nl.wikipedia.org/wiki/Public_Key_Infrastructure)
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.