Hoofdcategorieën
Device Settings

[RSS] [quick] Index » Nieuws » Pro » Internet » Websites & Communities » Hacker claimt Skype-versleuteling te hebben gekraakt

Hacker claimt Skype-versleuteling te hebben gekraakt

Door Dimitri Reijerman, donderdag 8 juli 2010 17:10, views: 24.456

Een hacker claimt de versleuteling van het Skype-protocol door middel van reverse engineering te hebben gekraakt en heeft code vrijgegeven. Skype stelt dat de veiligheid van zijn voip-dienst niet in het geding is en dreigt met juridische stappen.

De hacker stelt dat de versleuteling van het Skype-protocol tien jaar lang veilig is gebleven, maar dat het via reverse engineering uiteindelijk toch is gelukt om het RC4 key expansion-algoritme te kraken. Op een weblog plaatste de hacker onder het pseudoniem Sean O’Neil de vermeende broncode, geschreven in C, vergezeld van een toelichting.

In de broncode is te lezen dat in december op het Chaos Communication Congress meer over de hack wordt bekendgemaakt. Ook zou de code zijn gepubliceerd omdat een deel van de hack al in handen van kwaadaardige hackers zou zijn gekomen. Sean O'Neil claimt ook al eerder contact met Skype te hebben gehad. De site waarop de code is gepubliceerd was op het moment van schrijven onbereikbaar, maar in de broncode staat ook geschreven dat deze niet in commerciële software mag worden gebruikt.

Het is nog onduidelijk welke gevolgen de vermeende hack heeft. Skype laat bij TechCrunch weten dat de publicatie van Sean O'Neil kwade gevolgen kan hebben, omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart. Toch zou de veiligheid niet in het geding zijn, zo claimt het bedrijf. Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.

Volgende 17:48 'VS bouwt systeem om cyberaanvallen te detecteren'
Vorige 16:45 YouTube krijgt 'Leanback'-feature en betere mobiele site
Advertentie

Lees meer over

Gerelateerde content

Gerelateerde jobs

Reacties

Flat modeFlat mode Sorteer aflopendSorteer aflopend Moderatie FAQModfaq
Niveaufilter: -1 Ongewenst: 90 reacties zichtbaar900 Off-topic / Irrelevant: 89 reacties zichtbaar89+1 On-topic: 64 reacties zichtbaar64+2 Informatief: 8 reacties zichtbaar8+3 Spotlight: 0 reacties zichtbaar0
«  1  2  »

Door Gethax, donderdag 8 juli 2010 17:13

Score: 0
Lol een hacker die de code van een skype hacker hackt. Oh ja ze hebben al een deel, laat ik ze de rest dan ook maar geven zeker... Dan is het niet gek dat skype actie onderneemt.

Door djexplo, donderdag 8 juli 2010 17:16

Score: 0
Simpel : "security through obscurity is no security at all" :)

Door Laudor, donderdag 8 juli 2010 17:25

Score: 0
Obscurity kan wel een deel van de security vormen. Zo geef ik mijn PIN aan niemand.

Door GekkePrutser, donderdag 8 juli 2010 17:33

Score: 1
Dat wordt daar niet mee bedoeld. Denk eerder aan een algorithme dat wordt gebruikt om iedereen zijn pincode te berekenen op basis van het rekeningnummer, en dat angstvallig geheim gehouden zou worden omdat bij bekendmaking iedereen zijn pincode bekend is. Zo werkt dat in het echt gelukkig niet maar is een voorbeeld waar die term beter van toepassing is. Dat wordt meestal bedoeld met security through obscurity.

Elke beveiliging maakt gebruik van geheime sleutels, ook goede beveiliging. Er wordt mee bedoeld dat het algorithme dat zich over die sleutels ontfermt, bekend moet zijn zodat specialisten kunnen bepalen of er grote gaten in zitten die de ontwikkelaar over het hoofd heeft gezien.

Door E_E_F, donderdag 8 juli 2010 17:44

Score: 0
obscurity is the essence of security.

Door i-chat, donderdag 8 juli 2010 18:45

Score: 1
das dus niet waar, - je kunt precies weten hoe iets is beveiligd en toch niet in staat zijn het te hacken - DAT is echt veilig, als het wel te hacken is dan is het slechts een kwestie van tijd voor iemand ontdekt hoe dat dan wel mogelijk is, en dan moet je maar hopen dat de ontdekker geen kwaad in de zin heeft want anders kan die gene behoorlijk lang z'n gang gaan voor je iets in de gaten krijgt. de schade daarvan kan desastreus blijken...

Door ncoesel, vrijdag 9 juli 2010 00:17

Score: 1
Dat is ook niet waar. Iedere vorm van beveiliging leunt op vertrouwen of een geheim. In geval van computerbeveiliging draait beveiliging altijd om een geheim. Dit geheim kan een geheim slot zijn of een geheime sleutel. Vaak wordt een geheim slot als 'security by obscurity' beschreven maar eigenlijk maakt het geen moer uit.

Door Ronald, vrijdag 9 juli 2010 05:36

Score: 1
Het maakt zeer zeker wel uit... in dezelfde analogieen....

Van een goed geheim slot kan bekend zijn bij derden dat hij opengemaakt kan worden, zonder dat de fabrikant het weet. Dan is je slot niets waard. -- through obsucurity niets waard, en al je sleutelhouders zijn getroffen
Een goede sleutel is in princiepe alleen bekend bij de sleutelhouder... mocht er iets mee gebeuren, dan is er maar 1 getroffene.

Door mae-t.net, donderdag 8 juli 2010 20:14

Score: 0
Dat is een uitspraak die controversieel genoeg is om even te onderbouwen, dat mis ik nog een beetje in jouw enkele zinnetje, maar ik zou zeggen: doe een gooi.

Door theeck, donderdag 8 juli 2010 19:52

Score: 0
HA HA HA, je wil niet weten hoe vreselijk dicht je bij de waarheid zit. Je pincode wordt namelijk wel degelijk berekend aan de hand van de gegevens op de magneetstrip :-)
LOL.

Door Milt, donderdag 8 juli 2010 20:01

Score: 0
Volgens mij niet. Op die magneetstrip staat je bankrekeningnummer en pasnummer maar niet je pincode. De betalingsterminal (waar je op doelt) stuurt het bankrekeningnummer, pasnummer en ingevoerde pincode naar de bank ter controle.

Als de pincode echt op de magneetstrip zou staan, waarom zouden skimmers dan zo moeilijk moeten doen om iemands pincode te weten te komen ?

Door not3pad, donderdag 8 juli 2010 20:05

Score: 1
En hoe weet mijn "Random Reader" van de Rabobank dan mijn pas te blokkeren als ik 3 keer het verkeerde wachtwoord in toets? Het apparaat zelf staat immers niet in contact met de grote machines bij de bank...

Door mae-t.net, donderdag 8 juli 2010 20:15

Score: 1
De chip op de pas is dan geblokkeerd (de chip zelf controleert de pincode via zijn API, niet de randomreader), maar als het goed is kan je nog gewoon met je magneetstrip betalen en pinnen.

Overigens stelt die chip zelfstandig vast of de pincode klopt, maar dat betekent niet dat de pincode op de chip of op de strip staat. Zo simpel werkt cryptografie niet.

[Reactie gewijzigd door mae-t.net op donderdag 8 juli 2010 20:19]

Door OddesE, donderdag 8 juli 2010 23:21

Score: 1
Tip: one-way encryption, ook wel hashing genoemd.

Het is echt mogelijk voor de chip op je pinpas om je pincode te controleren zonder dat deze op de pas staat.

Door jwstolk, vrijdag 9 juli 2010 14:57

Score: 1
Hash is mooi, maar in de praktijk wat lastiger omdat je maar 13 bits data hebt. Pincodes zijn erg kort, met 100 kaarten en 3 pogingen per kaart heb je al 3% kans om de lotto te winnen...

Door swtimmer, vrijdag 9 juli 2010 00:00

Score: 1
En hoe weet mijn "Random Reader" van de Rabobank dan mijn pas te blokkeren als ik 3 keer het verkeerde wachtwoord in toets? Het apparaat zelf staat immers niet in contact met de grote machines bij de bank...
De chip weet je pincode niet maar weet wel welke hash/antwoord jij zou moeten geven om te matchen. De chip zelf blokkeert zichzelf dus na 3 pogingen.

Door kiersie, vrijdag 9 juli 2010 00:48

Score: 0
Haal je nou wachtwoorden en pincodes door elkaar?

Door johanw910, vrijdag 9 juli 2010 16:59

Score: 1
Die gebruikt de pincode van de chip - die is in principe onafhankelijk van de pincode van de bank, maar in de praktijk zetten alle banken die 2 gelijk.

Door Probbel, donderdag 8 juli 2010 23:51

Score: 1
Skimmers hoeven helemaal geen pincode te hebben!

Slechts een kopie van de magneetstrip is voldoende om met een kopie-pasje in het buitenland geld uit de muur te mogen halen, of rekeningen te betalen zonder pin. Niet alle landen, maar iemand die kwaad van zin is weet uiteraard wel waar het wél gaat.

Daarnaast hoeft niet eens het pasje naar het buitenland te verhuizen, een skim-apparaat leest het uit, de gegevens worden via het internet naar het buitenland gestuurd, en in principe kan je bankrekening al een paar minuten later geplunderd zijn!

Niet dat de banken je dit vertellen uiteraard.. maar vraag het gerust gericht na, zo gebeurt het. Geen pincode nodig.

Door OddesE, vrijdag 9 juli 2010 00:23

Score: 1
Klopt. Vriend van mij is zo 500 euro kwijtgeraakt. Hij was wat laks met blokkeren van zijn verloren pas (dact dat pincode hem zou beschermen). Zelf heb ik ook gehad dat ik in Frankrijk betaalde met mijn pinpas en tot mijn grote verbazing geen pincode in hoefde te voeren. Volgens mij betaal je dan technisch gezien echter niet met PIN maar met VISA of zo...

Door LessRam, vrijdag 9 juli 2010 00:34

Score: 1
In Frankrijk kun je betalen met je PIN-pas zonder je PIN-Code. Gebeurde ons vorig jaar, kassiere van de LIDL haalt PIN pas langs een lezer..... en klaar waren we. Betaald en al. Stonden we met open mond.

Door Mikke8, vrijdag 9 juli 2010 01:45

Score: 0
Hebben juist het zelfde meegemaakt.. Stond ik met m'n famillie..
"Moete we geen code invullen??"

Door it0, vrijdag 9 juli 2010 10:58

Score: 0
In die gevallen moet je als het goed is een handtekening zetten.

Door dgompie, vrijdag 9 juli 2010 20:31

Score: 1
Uh nee, anders zou je je pin niet kunnen veranderen.

Door sirdupre, donderdag 8 juli 2010 17:55

Score: 2
Uiteindelijk gaat het natuurlijk om Kerckhoff's principe: de veiligheid van een systeem zou moeten afhangen van het geheimhouden van de sleutel, niet van het geheimhouden van de werking van het systeem. Je pincode is natuurlijk een sleutel en de "obscurity" slaat dan ook op het systeem.

Voor meer info: http://en.wikipedia.org/wiki/Kerckhoffs%27_principle

[Reactie gewijzigd door sirdupre op donderdag 8 juli 2010 17:55]

Door 2playgames, zaterdag 10 juli 2010 21:46

Score: 0
Inderdaad. Iedereen (nou ja, een groot aantal mensen) weet immers hoe een cilinderslot in elkaar zit.

Door equinoxe, vrijdag 9 juli 2010 00:11

Score: 1
Helaas is het jaren lang mogelijk geweest om in het buitenland te pinnen ZONDER de pin-code in te voeren.
Uit de Franse flappen-tap was het bijvoorbeeld tot een paar jaar terug normaal om met een Nederlandse pas (in ieder geval met de informatie van de magneetstrip van een nederlandse pas) cash uit de muur te krijgen zonder invoeren van je pin..
Je kon je code wel verzwijgen (obscurity) maar dat maakte je niet veiliger ;)

Door The Noid, vrijdag 9 juli 2010 09:51

Score: 1
Je pin code verzwijgen is niet hetzelfde als obscurity. Er is een verschil tussen "obscurity" en "secret".

"Obscurity" is het verhullen van de werking van een systeem, terwijl dat systeem wel gewoon gebruikt wordt en iedereen dus eigenlijk kan zien hoe het werkt. Als iemand eenmaal uit heeft gezocht hoe het systeem werkt is het systeem voor *alle* gebruikers onveilig en nooit meer bruikbaar.

"Secret" is als een gebruiker geheim heeft waarmee hij een systeem kan ontsluiten. Als hij zijn geheim niet geheim houd is alleen hij de dupe, en niet alle andere gebruikers. Daarnaast kan hij eenvoudig een nieuwe geheime code krijgen waarmee het systeem weer veilig is.

Door Terminal13, donderdag 8 juli 2010 17:26

Score: 1
Uhmmm... Volgens mij staat er: er zijn (kwaadaardige) hackers die de hack (lees: code) hebben gestolen van de (goedaardige?) hacker om er hacks (lees: spam) mee te maken :P Duidelijk? Voor mij ook niet...

OnTopic: Op zich erg knap van Skype om het algoritme zo lang onbekend te houden en hulde aan "Sean O'Neil" voor het kraken hiervan.

Door Pesticide, donderdag 8 juli 2010 17:17

Score: 1
ik wil niet weten wat skype tegen de hacker gaat doen, ik wil weten hoe ze hun zaakje beter gaan beveiligen :o

Door mmjjb, donderdag 8 juli 2010 17:27

Score: 1
ik wil weten hoe ze hun zaakje beter gaan beveiligen :o
Waarom?
Het is nog niet eens zeker dat de beveiliging gekraakt is, hij claimt dat hij de versleuteling heeft gekraakt.. maar of het echt zo is is nog niet bekend.

Daarnaast zegt skype dat de veiligheid nog wel goed zit,
ik neig eerder te geloven wat skype zegt dan een of andere 'onbekende' hacker die zegt het te hebben gehackt.

Verder neem ik aan als het daadwerkelijk gekraakt is, dat skype wel met een update komt die de versleuteling weer een graadje op krikt. :)


"deel van de hack al in handen van kwaadaardige hackers zou zijn gekomen"
Hackers die zulke gegevens vrij geven horen zwaar gestraft te worden. 5 jaar cel lijkt mij niet verkeerd.
Inderdaad hij ontdekt het, report het, en geeft het vervolgens waarschijnlijk in verkeerde handen..

[Reactie gewijzigd door mmjjb op donderdag 8 juli 2010 17:34]

Door RoadRunner84, donderdag 8 juli 2010 17:49

Score: 1
ik neig eerder te geloven wat skype zegt dan een of andere 'onbekende' hacker die zegt het te hebben gehackt.

Verder neem ik aan als het daadwerkelijk gekraakt is, dat skype wel met een update komt die de versleuteling weer een graadje op krikt. :)
Uhm... ik neig er naar eerder een klokkenluider te geloven dan een groot commercieel bedrijf dat heel graag wil dat niemand de klokkenluider gelooft... Zeg me anders maar waarom Skype met advokaten gaat zwaaien?

En ja, Skype zal een patch uitbrengen om de beveiliging te verbeteren.... zodra ze dit ontwikkeld hebben.

Door OddesE, donderdag 8 juli 2010 23:25

Score: 1
Zo lang jullie allemaal nog posten over http (niet https) hier op Tweakers.net en je wachtwoord van je -email meermaal daags in plaintext over het netwerk versturen (als je POP gebruikt, wat vrijwel iedereen doet) zou ik me over de encryptie van die Skype berichtjes nog niet zoveel zorgen maken...

Door wumpus, vrijdag 9 juli 2010 10:57

Score: 1
Mwuah, dat valt mee hoor. De meeste internet gebruikers gebruiken tegenwoordig hotmail of gmail, beide zijn gebaseerd op https (gmail voor de hele site, hotmail iig de authenticatie).

Door rvec, donderdag 8 juli 2010 19:06

Score: 1
Doet me denken aan het nieuwsbericht waarin wat stond over hackers die windows-bugs willen gaan publiceren om ervoor te zorgen dat microsoft wat meer zijn best doet.

Lijkt me een goede zaak, anders blijft er een kleine groep hackers die er misbruik van maakt, en een bedrijf wat daar niks aan wil doen omdat de schade voor het bedrijf maar klein is. Zodra zo'n bug openbaar is gemaakt moet het bedrijf het wel gaan oplossen.

Door TWBMS, donderdag 8 juli 2010 17:18

Score: 1
Vraag is of het gebruikt kan worden om al onderschepte gesprekken te kunnen ontcijferen.

[Reactie gewijzigd door TWBMS op donderdag 8 juli 2010 19:32]

Door Incr.Badeend, donderdag 8 juli 2010 20:42

Score: 2
Someone claims to have reverse-engineered the proprietary encryption protocols Skype has put in place to prevent developers from building their own Skype desktop clients or Web-based services based on the company’s in-house technology.
Wordt inderdaad niet echt duidelijk uit het artikel maar dat is dus niet het geval. Het gaat om het protocol dat Skype hanteert om de verbindingen te maken. Ik vroeg me eerder al af waarom er geen andere Skype clients zijn dan de eh.. Skype client. Ze bestaan wel.. maar niet echt een letterlijke vervanger, ik vermoed gebaseerd op de API die waarvoor je eerst toestemming moet krijgen en welke nog in Beta status verkeerd.
The Skype network is not interoperable with most other VoIP networks without proper licensing from Skype. Digium, the main sponsor of Asterisk PBX released a driver licensed by Skype dubbed 'Skype for Asterisk' to interface as a client to the Skype network, however this still remains closed source.[1] Numerous attempts to study and/or reverse engineer the protocol have been undertaken to reveal the protocol, investigate security or to allow unofficial clients.
...
Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.[3]
The Skype client's application programming interface (API) opens the network to software developers. The Skype API allows other programs to use the Skype network to get "white pages" information and manage calls.
Hiermee is je vraag beantwoord, voor zo ver ik weet is AES nog niet gekraakt.. :)

Overigens lijkt het dus vanaf nu wel mogelijk om via thirdparty code aan te melden op een Skype server, vervolgens zelf pakketten te genereren die volgens Skype zijn methode versleuteld worden en vervolgens geaccepteerd worden door een andere client. Op die manier kunnen ze dus veel makkelijker SPAM sturen via Skype.

[Reactie gewijzigd door Incr.Badeend op donderdag 8 juli 2010 20:44]

Door FireDrunk, donderdag 8 juli 2010 22:22

Score: 1
Hoezo? Je moet nog steeds expliciet toestemming geven om gebeld/berichten te ontvangen van iemand?
Dat is hetzelfde als, MSN protocol is gekraakt, nu kan er meer spam verstuurd worden..

Ik heb nooit last van spam op MSN (op wat virussen van vrienden na)

Door Plopeye, donderdag 8 juli 2010 23:47

Score: 0
Je zegt het dus al, op wat virussen van vrienden na... dit kunnen dus ook spam/virus aanvallen zijn die helemaal niet van de computer van vrienden komen maar slechts hun naam gebruiken...

Door Casmo, donderdag 8 juli 2010 17:18

Score: 0
Opzich niet zo'n goed nieuws. Ik dacht dat Skype bekend stond om de encryptie tussen gesprekken van verschillende gebruikers en dus niet afgeluisterd kon worden (wat een goed iets is imo).

Doordat deze versleuteling nu gekraakt is bovenstaande niet meer van toepassing.

Door Kettrick, donderdag 8 juli 2010 17:21

Score: 1
Dat maak je op uit ?
omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart.
Er staat niets over het afluisteren van gesprekken, laten we even afwachten wat er precies gebeurd is ;)

Door SizzLorr, donderdag 8 juli 2010 17:24

Score: 2
Nou de versleuteling iseen deel van het verhaal, bedoel als je het wil oncijferen dan zal het je wel lukken. Zeker met alle middelen die de Amerikanen hebben. Een ander deel van het verhaal is dat Skype een soort van P2P achtig protocol gebruikt om alle gesprekken te versturen, er is dus geen centrale plek waar alle gesprekken doorheen moeten. Hierdoor wordt het moeilijk om alle gesprekken te onderscheppen, zeker omdat het een mobiel protocol is dus je kan overal te wereld inloggen. Al zouden ze het gesprek onderscheppen dan komt de encryptie in het spel.

Door rvdven, donderdag 8 juli 2010 17:54

Score: 1
Hoezo? Als het enkel het protocol is dat gekraakt is, dan is dat toch niet erg?
Bijv. het https protocol is ook algemeen bekend en toch is het mogelijk er een beveiligde verbinding mee op te zetten.
We moeten de resultaten dus nog even afwachten... ;)

Door SizzLorr, donderdag 8 juli 2010 18:15

Score: 2
De SSL techniek in het algemeen houdt nog goed zijn voeten in de grond al is het nu bijna een decennia oud, er is ook nooit een algemene crack geweest. Wat er wel is geweest dat iemand ooit rootcertificaten in handen kreeg waardoor h/zij weer fake certificaten kon uitgeven en het is ook gebeurd dat men de oudere certificate die met een MD5 hash werkte kon faken. Alleen het probleem was dat in de tijd dat dit bekend werd meeste certificate providers al over waren gestapt naar de SHA-1 versleuteling. Alleen RapidSSL had dat niet gedaan en dus was RapidSSL ook een van de weinigen (samen met een paar andere kleinere bedrijven) die gevoelig waren voor zo'n aanval. Meeste zichzelf respecterende bedrijven hebben hier helemaal geen last van gehad.

Door Pogostokje, vrijdag 9 juli 2010 01:09

Score: 1
Nou, eind vorig jaar was SSL anders nog behoorlijk in opspraak vanwege een flow in het design van SSL die het toestaat een reeds beveiligde verbinding door een andere host te laten voortzetten, met als gevolg bijvoorbeeld dat een ander verder kan communiceren met "jouw" beveiligde verbinding.

http://www.sslshopper.com/article-ssl-and-tls-renegotiation-vulnerability-discovered.html

Door SizzLorr, vrijdag 9 juli 2010 05:36

Score: 1
Mwah, in dat artikel klinkt het allemaal zo dramatische maar het was lang niet zo erg als dat jij en dat artikel wil doen geloven. Het IETF heeft regelmatig vergaderingen om de laatste hacks te bespreken en ze nemen ook elke vorm van misbruik van het SSL protocol zeer serieus, dus ook deze.

Het is niet echt een hack of een gat te noemen, het is misbruik van een feature in het protocol welke je moet gebruiken samen met een andere aanval. Pas als je een bepaalde niveau van toegang hebt dan pas kun je deze uitvoeren.
the attacks were hard to pull off in the real world, in large part because they appeared to target a rarely used technology known as client certificate authentication.
Fijn dat het IETF dan toch elke probleem zeer serieus neemt en toch probeert er een vorm van een oplossing voor te vinden.

Maar ik denk dat je een paar dingen door de war haalt. De ophef was niet vanwege dit probleem, dit probleem was maar minimaal. Het probleem was dat er een gat was gevonden in het OCS protocol waardoor ingetrokken certificaten als geldig konden voor doen. Dat was echt een probleem.

Door kimborntobewild, maandag 12 juli 2010 01:08

Score: 1
Fijn dat het IETF dan toch elke probleem zeer serieus neemt en toch probeert er een vorm van een oplossing voor te vinden.
Het woordje 'toch' is hier misplaatst. Alsof een oplossing voor dat probleem niet nodig zou zijn. Het feit dat iets weinig gebruikt wordt, is helemaal geen enkele reden om er dan geen oplossing voor te vinden als 't onveilig is.

Door woutjedude, donderdag 8 juli 2010 17:20

Score: 0
Na RC4 komt nu het RC5 algoritme voor betere HD video en nog beter geluid *kuch kuch*.

Door plankhorst, donderdag 8 juli 2010 17:21

Score: 1
Hackers die zulke gegevens vrij geven horen zwaar gestraft te worden. 5 jaar cel lijkt mij niet verkeerd. :/

Door svenk91, donderdag 8 juli 2010 17:23

Score: 1
Liever dit dan dat ze het geheim binnen de hackergemeenschap houden ofzo. Nou kan er wat aan gedaan worden!

Door DirkZzZ, donderdag 8 juli 2010 17:24

Score: 1
Ik heb liever dat het zo gebeurt dan dat alles gewoon in de doofpot word gestopt.
Nu moeten ze er wel iets aan doen.

Door TGEN, donderdag 8 juli 2010 17:26

Score: 1
Hoezo? Dit is in feite niets anders dan het oplossen van een complex stel vergelijkingen.

Door -AzErTy-, donderdag 8 juli 2010 17:35

Score: 1
Kan je dat ook onderbouwen?
Hetgeen de hacker doet is niets anders dan het oplossen van een (ingewikkeld) wiskundig probleem. Hijzelf doet er niks mee maar brengt het juist onder de aandacht in de hoop dat Skype stappen onderneemt om zijn users beter te beveiligen.

Door blouweKip, donderdag 8 juli 2010 19:34

Score: 1
maw: je steekt liever je kop in het zand?

Door OddesE, donderdag 8 juli 2010 23:35

Score: 1
5 jaar cel lijkt mij niet verkeerd
Gelukkig bestaat er nog zoiets als vrijheid van meningsuiting. Of moet ik gewoon zeggen: Vrijheid?

De techniek die Skype gebruikt om zijn netwerkverkeer te versleutelen is nou niet bepaald een staatsgeheim of zo. Het is niet alsof deze hacker voor de russen spioneert. Wat hij heeft gedaan is uitgezocht hoe Skype doet wat het doet en zelf een eigen implementatie gebouwd die hetzelfde doet, zodat deze compatible is. Dit heet 'reverse engineering' en is bijvoorbeeld de reden dat wij allemaal vandaag de dag kunnen werken op PC's die niet gemaakt zijn door IBM.

Dat willen verbieden gaat héél erg ver imho.

Door wumpus, vrijdag 9 juli 2010 11:00

Score: 1
Hij heeft het protocol gereverse-engineered. Dit kan je doen zonder ook maar op 1 PC in te breken. Je hebt de programmacode immers gedownload en je hoeft alleen in het geheugen van je EIGEN pc te kijken. Het is een hoop werk en er is aardig wat specialistische kennis voor nodig, maar het verdient de naam 'hacker' eigenlijk niet eens. Laat staan een gevangenisstraf...

Nu heeft hij de kennis om eigen Skype clients te bouwen, wat interoperabiliteit bevorderd en het toestaat Skype clients te maken voor allelei operating systems waar tot nu toe geen officiele Skype voor was. Of om Skype te integreren in programma's die meerdere protocols voor VOIP ondersteunen. Met beveiliging kraken heeft dit niets te maken!

[Reactie gewijzigd door wumpus op vrijdag 9 juli 2010 11:02]

Door computerjunky, donderdag 8 juli 2010 17:22

Score: 1
Skype stelt dat de veiligheid van zijn voip-dienst niet in het geding is en dreigt met juridische stappen.

als het er niet minder veilig van word waarom dan dreigen met juridische stappen ?
wees blij dat iemand heefd aangetoond dat je systeem te hacken valt dan kan je er wat aan doen.
als ik skype was zou ik hem een zakje geld geven om te bedenken hoe het niet meer mogelijk is.

[Reactie gewijzigd door computerjunky op donderdag 8 juli 2010 17:23]

Door 247pro, donderdag 8 juli 2010 17:31

Score: 1
als het er niet minder veilig van word waarom dan dreigen met juridische stappen ?
Misbruik van hun software/diensten ?

Door OddesE, donderdag 8 juli 2010 23:40

Score: 1
Zie het zo: Deze software stelt waarschijnlijk programmeurs in staat een Skype client te bouwen die zich kan aanmelden bij het Skype netwerk en als een reguliere client mee kan draaien. Om er dan gesprekken mee te voeren heb je nog steeds een account nodig en je gesprekken worden ook nog steeds versleuteld.

Oftewel de privacy loopt geen gevaar want de gesprekken zijn nog steeds niet af te luisteren... maar Skype verliest wel het monopolie op het Skype netwerk en kan niet makkelijk meer voorkomen dat ook anderen clients bouwen. Dit breekt de markt open voor andere software leveranciers, net zoals reverse engineering van het BIOS de markt voor IBM-compatible PC's openbrak. Daar zijn ze niet blij mee en dus dreigen ze met juridische stappen... die waarschijnlijk niet gaan werken...

Door DRaakje, donderdag 8 juli 2010 17:22

Score: 1
Als ik hem was had ik toch even bij de NSA aangeklopt. Blijkbaar een flinke prestatie...

NSA offers billions for skype pwnage

Door HotDoggie, donderdag 8 juli 2010 19:00

Score: 0
Misschien zijn dat wel die kwaadaardige "hackers" waar hij het over had... :X

[Reactie gewijzigd door HotDoggie op donderdag 8 juli 2010 19:01]

Door wizzkizz, donderdag 8 juli 2010 20:23

Score: 1
Die beloning kan natuurlijk ook juist een lokkertje zijn: criminelen zijn dan geneigd om Skype te blijven gebruiken en blijven in de waan niet afgeluisterd te kunnen, terwijl ze dat stiekem wel worden. Als ze denken veilig te communiceren, zullen ze minder snel in code communiceren en is het voor de NSA gemakkelijker om hun echte boodschap te onderscheppen.

Door D.oomah, donderdag 8 juli 2010 23:17

Score: 0
Zo, heeft er ook iemand dat boek van Dan Brown gelezen. "Ja, we maken een nieuw veiligheid protocol wat niet te hacken is, zelfs niet door brute force, maar stiekem wel een backdoor heeft wat alleen het NSA weet" :Y)

Door OddesE, donderdag 8 juli 2010 23:45

Score: 1
De encryptie protocollen die Skype gebruikt om het netwerkverkeer te encrypten zijn nog niet gekraakt (daarover zijn zowel de hacker als Skype het eens, dus wie zijn wij om er over te twijfelen?), het gaat om het opzetten van de verbinding.

Net zoals het feit dat iedereen een browser kan bouwen met SSL beveiliging er in (die https sites beveiligt) nog niet betekent dat iedereen nu de communicatie met die sites zomaar af kan luisteren.

De NSA en andere partijen zullen er aan moeten wennen dat afluisteren steeds moeilijker, zo niet onmogelijk wordt. Daarom moet je ook tegen meer vrijheid voor de politie m.b.t telefoontaps e.d. zijn. Echte criminelen kunnen volledig encrypted hun gang gaan en normale burgers worden afgeluisterd.

Door mvdejong, donderdag 8 juli 2010 17:23

Score: 0
Skype laat bij TechCrunch weten dat de publicatie van Sean O'Neil kwade gevolgen kan hebben, omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart.
Toch zou de veiligheid niet in het geding zijn, zo claimt het bedrijf.
Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.
OMFG. De klassieke reactie van een bedrijf dat het bord stevig voor de kop heeft gespijkerd.
Ontkenning en symptoom-bestrijding.

Door Pliskin, donderdag 8 juli 2010 17:35

Score: 1
Ja. Drie keer raden waarom?

Denk je eens in wat er zou gebeuren als Skype nu met een persbericht naar buiten zou komen met de melding dat Skype niet meer veilig is en afgeluisterd kan worden.

Onherstelbare reputatieschade heet dat.

Door DarkForce, donderdag 8 juli 2010 18:47

Score: 1
Die schade heeft Skype natuurlijk zelf in de hand. Ik ben helaas nergens in het bericht tegengekomen wanneer de hacker(s) dit voor elkaar kregen en gemeld hebben. Ik kan mij voorstellen dat men Skype enige tijd de tijd gegeven heeft dit uit te zoeken en hierna besloten heeft dit naar buiten te brengen omdat Skype wellicht geen gepaste maatregelen genomen heeft.

Resultaat, code wordt naar buiten gebracht en Skype wordt op de knieën gedwongen nu dus letterlijk iets te doen aan de beveiliging wilt men erger voorkomen.

Daarnaast, het als bedrijf zelf naar buiten brengen dat e.e.a. lek is en gefixt wordt (of is) is nog altijd gezonder dan dat een pik (hacker) de code naar buiten brengt. Een bedrijf dat applicaties ontwikkeld en zelf haar fouten naar buiten brengt en direct oplost is nog altijd betrouwbaarder dan een bedrijf die dit in de doofpot mietert... Een beetje vergelijkbaar met de google methode zegmaar, wellicht had google claims gehad tot in de miljoenen, nu zou het duizenden kunnen blijven doordat het eerlijkheidshalve al e.e.a. naar buiten bracht. Het feit wordt er niet minder om, de eerlijkheid wel en dat kost c.q. levert nogal meer op.

Door OddesE, donderdag 8 juli 2010 23:50

Score: 2
Jullie snappen het niet. Lees de source code dan, die heeft hij gewoon online gezet hoor!!

Alles wat dit is is een encryption/decryption functie. Je hebt gewoon nog een encryption key nodig hoor (de PIN code die hierboven genoemd werd)

En van wie krijg je die key? Juist, van de persoon aan de andere kant van de lijn als die jouw binnenkomende gesprek accepteert.

En wie heeft die key dus niet, en heeft dus helemaal niks aan deze functie? Juist, mensen die proberen af te luisteren.

Deze hacker heeft een mooie prestatie geleverd, maar ook hij beweert in zijn blog post (cached versie, origineel is down) helemaal niet dat je Skype gesprekken nu kunt afluisteren. Hierover zijn hij en Skype het dus gewoon eens.

typisch verhaal van klok en klepel dit... |:(

Door Sorcerer, donderdag 8 juli 2010 17:28

Score: 1
Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.
Waarom is het ondernemen van juridische stappen altijd de hoogste prioriteit voor een bedrijf. In plaats van zich hier mee bezig te houden, zouden ze het probleem moeten oplossen en werken aan een update die de vermeende exploit fixed.

Een tweede prioriteit zou het implementeren van een andere en betere versleuteling moeten zijn. Op deze manier moeten ze er in het vervolg achter zo'n lek komen door misbruik van mensen met verkeerde bedoelingen. Het is beter dat iemand de klok luid ipv dat hun klanten op voorhand de dupe zijn of kunnen worden van Skype's fouten.

[Reactie gewijzigd door Sorcerer op donderdag 8 juli 2010 17:30]

Door Pliskin, donderdag 8 juli 2010 17:36

Score: 0
Skype is een eenmansbedrijf. Kan maar 1 ding tegelijk.

(moet ik echt <sarcasm> tags toevoegen?)

[Reactie gewijzigd door Pliskin op donderdag 8 juli 2010 17:37]

Door Team-RiNo, donderdag 8 juli 2010 17:52

Score: 1
Omdat het kraken op zich strafbaar is. Staat minimaal gelijk aan inbraak.

Had deze hacker het nou alleen bekend gemaakt aan Skype zelf dan was het waarschijnlijk anders afgelopen, maar hij koos ervoor om het bekend te maken inclusief werkende hack wat ten koste gaat van de veiligheid van alle Skype gebruikers.

Door blouweKip, donderdag 8 juli 2010 19:35

Score: 0
Hangt ervanaf waar het gedaan is, niet alle landen hebben achterlijke wetgeving mbt dit soort zaken.

Door falconhunter, donderdag 8 juli 2010 17:55

Score: 2
Het is beter dat iemand de klok luid ipv dat hun klanten op voorhand de dupe zijn of kunnen worden van Skype's fouten.
Koste me wat tijd om deze zin te ontcijferen ("klanten die op voorhand de dupe kunnen worden") maar je zegt dus feitelijk dat als er een versleuteling gekraakt word (moet het nog zien hoor, allemaal veel geblaat over weinig info) de maker ervan een fout maakt. Dat is onzin. Encryptie is net als alle beveiliging een ongoing process.

Maar als je denkt dat de hoogste prioriteit van Skype het dreigen met juridische stappen is past het allemaal wel in het plaatje. Ga AUB nooit in beveiliging werken, of als je het wel doet laat het ons even weten zodat we dit bedrijf kunnen vermijden.

Door kimborntobewild, maandag 12 juli 2010 01:31

Score: 0
Dat is onzin.
Wellicht wat te zwart-wit, maar om 't als onzin te bestempelen vind ik ook weer onzin. Ten eerste is er al winst te boeken de code in de communicy te gooien voordat 't gebruikt gaat worden. Dan zullen zoveel mensen naar de code kijken, dat de lekken wel gevonden zullen worden.
Weinig mensen zullen de tijd nemen om te reverse-engineeren. Moet je nagaan hoe snel de fout gevonden zou worden als veel meer mensen dat deden/konden. Beter is dus: vooraf de te gebruiken code al openbaar maken.
Natuurlijk levert dat minder geld op - immers, dan heb je geen monopolie meer. En daar zit 'm dus de kneep: puur voor 't geld, wordt onnodig onveilige code gebruikt.

Door OddesE, vrijdag 9 juli 2010 00:01

Score: 2
Is het überhaupt mogelijk om dit dicht te zetten?

Iedereen die DRM bestudeert heeft snapt het probleem: Je wil voorkomen dat de ontvanger van de informatie deze lekt... maar hoe sterk de encryptie ook is, je moet altijd de sleutel geven aan de ontvanger van de informatie... dus deze kan die gewoon decrypten. Waarom zou die persoon anders betalen voor een film, muziek of spel?

Dit kan je het probleem van het geheim noemen. Als je het geheim verklapt ben je de controle erover kwijt. Je kunt onmogelijk voorkomen dat degene aan wie je het hebt verklapt het doorvertelt. In de woorden van Daan Quakernaat: "Information wants to be free".

Terugkomend op Skype: Hoe kan Skype clients ter download aanbieden en tegelijkertijd voorkomen dat andere bedrijven gelijksoortige clients kunnen bouwen? Hoe kan Skype zijn netwerk zo dichtzetten dat alleen zijn eigen clients er gebruik van kunnen maken? Volgens mij is dit technisch niet mogelijk. Hun huidige implementatie maakt het gewoon heel lastig, meer niet. Net zoals DRM.
«  1  2  »

Op dit item kan niet meer gereageerd worden.

Volgende 17:48 'VS bouwt systeem om cyberaanvallen te detecteren'
Vorige 16:45 YouTube krijgt 'Leanback'-feature en betere mobiele site
VNU Media logo Hosted by True

© 1998 - 2012 Tweakers.net B.V. - Alle rechten voorbehouden - Contact - Jouw privacy - Algemene Voorwaarden

Uitgever van:

Website van het jaar 2011