Skype licht uitlezen bios en serienummer toe

Enige dagen geleden ontstond er beroering toen bleek dat het populaire voip-programma Skype het bios en het serienummer van het moederbord uitleest. Skype heeft bij monde van zijn chief security officer Kurt Sauer gereageerd.

Skype logo Het uitlezen van het serienummer gebeurt volgens Sauer niet door Skype zelf, maar door een stukje software van derden. Een nieuwe feature van Skype is de zogenaamde 'Extras Gallery', een verzameling plugins die in het programma gebruikt kunnen worden. Om deze plugins binnen Skype te kunnen beheren wordt er gebruik gemaakt van een plugin-framework van Easybits Software. De software van Easybits gebruikt een bepaalde vorm van drm om het illegaal gebruik van commerciële plugins tegen te gaan. Om dit te kunnen doen identificeert de software op welke computer het draait. De eenvoudigste manier om dit te doen is het uitlezen van het serienummer van het moederbord via het bios, zo schrijft Sauer. De nieuwste release van Skype bevat een bijgewerkte versie van de Easybits software, welke niet langer probeert het bios uit te lezen.

Reacties (92)

Sentry23 9 februari 2007 09:59

Ik vraag me alleen af welke privacy gevoelige gegevens er nu in je BIOS staan... (als reactie op een aantal mensen hier).

Als jij serieus Skype gebruikt heb je ze al je naam/adres/IP gegevens en je bankrekening nummer.

Het enige dat ze uit de BIOS kunnen halen is een unieke identifier van je systeem. Of dit nu de beste manier is om dat te doen is een andere zaak, maar de discussie lijkt wel erg ver af te dwalen.

Bor Coördinator Frontpage Admins / FP Powermod @Sentry23 • 9 februari 2007 10:14

Ik vraag me alleen af welke privacy gevoelige gegevens er nu in je BIOS staan... (als reactie op een aantal mensen hier).

In principe is de info in jouw bios niet direct privacy gevoelig natuurlijk. Dit word het echter wel wanneer deze unieke info (zoals het serial) word gebruik voor het tracken van gegevensstromen, achterhalen van geinstalleerde software, bijhouden van bezoeken aan pagina's etc.

Inderdaad. Tegenwoordig wordt er wel heel paranoia gereageerd op bepaalde software features. Temeer omdat -zoals Sentry23 al aangeeft- het hier om triviale informatie gaat.

Je begrijpt het probleem niet wat KAN worden veroorzaakt hierdoor -> tracking van persoonlijke acties op internet die direct naar jouw pc terug te herleiden zijn (wat in geval van een IP adres lang niet altijd zo is daar een IP adres dynamisch is van aard (zelfs bij een vast ingesteld IP). Een IP kan namelijk ten alle tijde worden veranderd.

Jaco69 @Bor • 9 februari 2007 10:51

Wat maakt het uit als ze acties kunnen terug herleiden tot het PC serienummer van de computer die je op dat moment gebruikt als ze al je identiteit hebben?

abot13 @Jaco69 • 9 februari 2007 14:15

stel dat de RIAA die info krijgt en zo kan bewijzen dat de pc met serienummer XXX activiteiten heeft gedaan die ze niet bevallen.

Verwijderd @Sentry23 • 9 februari 2007 10:33

Ik denk zelf dat het gebruik van het BIOS serienummer analoog is aan het PIII PSN (Processor Serial Number)

Zie hiervoor de volgende links, voor argumenten:
http://www.cdt.org/privacy/issues/pentium3/
http://www.cdt.org/privac...90226intelcomplaint.shtml

Cameleon73 @Sentry23 • 9 februari 2007 10:09

Inderdaad. Tegenwoordig wordt er wel heel paranoia gereageerd op bepaalde software features. Temeer omdat -zoals Sentry23 al aangeeft- het hier om triviale informatie gaat.

Begrijp me niet verkeerd: de huidige opzet van DRM zuigt en privacy is belangrijk... maar kunnen we nu weer even normaal reageren?

Het enige aparte is wel -zoals Rune hierboven zegt- dat het gelijk eruit gehaald is. Je vraagt je af waar ze bang voor zijn... (waarschijnlijk voor de heftige paranoia die dit heeft opgeroepen)

a.prinsen @Cameleon73 • 9 februari 2007 10:54

Je bios is een statisch gegeven (tot je van PC veranderd)
Hierdoor kan je Bios gelinkt worden aan je skype account. Je skype account is veelal gelinkt met een creditcard (indentificatie).

Nu kan je dus je Bios linken aan een persoon. Database er achter klaar.. overal waar dit Bios nummer verschijnt is dus "deze" persoon bezig geweest.

Nu weet je wat hij aan doen is + wie het is kan je de data gebruiken voor commerciele doeleinde. Of zelfs spionage doeleinde of whatever you feel like.. (boeiend of niet het kan misbruikt worden)

Bovendien is er ook een principieele kwestie hier.

arieleks @a.prinsen • 9 februari 2007 11:22

Huh? 'Ze' hebben dus de bios gelinkt aan een persoon. En dan? Hoe helpt dat om verdere info over die persoon te verzamelen? Je weet dan toch alleen dat die persoon aan het skypen is op zijn eigen pc?
Maar 'ze' hebben, zoals jij stelde, toch al de creditcard gegevens (naam, geboortedatum, adres, enz.). Ik denk dat de bios informatie daarmee vergeleken bijzonder oninteressant is.

Verwijderd @a.prinsen • 9 februari 2007 11:28

@arieleks

Ik kan merken dat jij nog niet geesteziek genoeg bent om mogelijke koppelingen te leggen.

De CIA, FBI, AIVD, MOSSAD, etc... kunnen dit wel en reken er maar op dat ze het gebruiken.

Hoe meer info er van jou is, hoe beter het voor de zieke geesten is.

Lekker zo'n paranoia mode

mashell @a.prinsen • 9 februari 2007 12:01

Jij belt zeker nog in omdat je dan een veel dynamischer IP adres hebt...

a.prinsen @a.prinsen • 9 februari 2007 12:34

@arieleks
nee maar de Database zou verkocht kunnen worden
andere programma's of zelfs virussen, trojans of whatever die ook je bios uitlezen en ook over de database beschikken zouden zo je identiteit kunnen achthalen.

P2p programa's bijvoorbeeld.. stel ik verspreid een trojanachtig MP3 om biossen van illegale downloaders te spotten (bijvoorbeeld programmas downloaden is WEL illegaal integenstelling tot muziek) . dit geeft me de Bios nummer terug.. 2 weken later heb ik een BON in de bus .. lekker ^^

Dit kan ook gebruiken worden om de identiteit van gehackte PC's te achterhalen en Blackmailen ..
Het probleem is de mogelijkheden zijn eindeloos

bastiaank @Sentry23 • 9 februari 2007 12:05

@sentry23:
Mee eens.
En het leuke van Skype is dat je kan inloggen vanaf iedere PC.
Dus je BIOS gegevens zijn niet erg bruikbaar voor databases. Voor hetzelfde geld zit er de volgende keer iemand anders met dit BIOS te Skypen.

Dat het gerelateerd is aan een licentie systeem van een plugin platform is best aannemelijk.
Dat dit niet logisch is in de context van Skype (want niet aan een pc gebonden) verklaard misschien ook waarom het er zo makkelijk uit gehaald kan worden nu er klachten over komen.

KiLLerS 9 februari 2007 09:35

achja was te verwachten dit, over niet al te lange tijd zal waarschijnlijk ieder bedrijf dat plugins in het programma verwerkt hierop moeten gaan controleren op deze vorm van malware. (niet dat ik denk ik nog ooit gebruik van plugins ga gebruiken... dadelijk bouwe ze dit in de msn spelletjes

)

het is wel belachelijk dat ze nu je prive gegevens via een illigale manier gaan halen. niet dat hij iets uitmaakt als ze er op deze manier achter moeten komen of ik illigale software heb... aanklagen mogen ze me dan toch niet

op illigale manier bewijs vergaren is verboden in de nederlandse wet

kozue @KiLLerS • 9 februari 2007 09:40

waaruit trek je de conclusie dat het uitlezen van een serienummer iets illegaals is? als het zomaar toegelaten wordt door het OS mag het dus blijkbaar wel, anders zou windows je wel tegenhouden. op linux mag je die gegevens namelijk niet zomaar uitlezen zonder root-rechten...

a.prinsen @kozue • 9 februari 2007 10:49

Ik heb er niets op tegen dat een programma mijn BIOS uitleest.
Ik heb er iets op tegen dat een programma mijn bios gegevens doorverstuurd naar een derde waar ik geen weet op heb! Laat staan dat ik weet wat met de gegevens gebeurd..
Dat mijn Bios nummer binnen het sleutel algoritme wordt gebruikt zal niemand deren!

Bloodshot @kozue • 9 februari 2007 11:27

Dit is een non-argument.
Windows staat het ook toe om virussen te installeren en trojans uit te voeren. Daardoor ook om DDOS-aanvallen uit te voeren. Al deze dingen zijn IMHO toch echt illegaal.

IceQb @Bloodshot • 12 februari 2007 20:26

om nog maar te zwijgen over het feit dat windows mij toelaat om de nieuwe vista te downloaden zonder ervoor te betalen. Dit maakt het niet legaal... toch?

Tees @kozue • 9 februari 2007 09:50

Voor zover ik weet is Spyware ook illegaal. En dit ruikt toch verdomde veel naar spyware...

dangerpaki 9 februari 2007 09:29

wat een onzin uitleg. ten minste of ik begrijp het niet goed.
maar als je skype gewoon kan downloaden en gebruiken op je pc. wat gewoon vrij verkrijgbaar is. dan heeft het toch geen nut om bios etc uit te lezen.
ik begrijp dat de situatie bij betaalde plugins anders zou zijn.

maar nu kan opeens de DRM eraf begrijp ik?! want het is in de nieuwe versie eruit. dus die plugins zijn nu niet beveiligd met DRM?!?

dat zouden ze nooit doen. er is dus heus wel een andere weg.

TD-er

@dangerpaki • 9 februari 2007 09:36

maar nu kan opeens de DRM eraf begrijp ik?! want het is in de nieuwe versie eruit. dus die plugins zijn nu niet beveiligd met DRM?!?

dat zouden ze nooit doen. er is dus heus wel een andere weg.

Mischien lezen ze nu wel het MAC-adres uit

VisionMaster @TD-er • 9 februari 2007 10:09

Ik hoop dat ze serieus niet zo stom zijn om het MAC adres uit te willen lezen

Want dat slaat helemaal nergens op.

CherandarGuard 9 februari 2007 09:27

Ok, wat doet het 'stukje software' nu dan in plaats daarvan om mijn privacy te ondermijnen?

Adion

@CherandarGuard • 9 februari 2007 09:57

Ik snap ook niet goed hoe je bios-serienummer uitlezen je privacy zou ondermijnen.
Het enige wat je ermee zou kunnen doen (maar waar het in dit geval niet voor gebruikt word) is van je acties/surfgedrag/... te linken aan 1 persoon.
Echter, als je skype gebruikt, log je toch al in met een bepaalde login die ook al je acties aan jou zou kunnen linken.

Verwijderd @Adion • 9 februari 2007 12:28

En hoe wordt die username&password dan aan jou gekoppeld? Behalve als je in het profiel van de user allerlei persoonlijke informatie hebt opgenomen is de username niks anders dan een reeks letters. Door het uitlezen van het BIOS wordt een specifieke machine gekoppeld aan een verder vrij anonieme gebruikersnaam. Ze hebben dan natuurlijk niet opeens inzicht in je bankrekening of je sexuele voorkeuren, maar het is weer een stukje in de puzzel.

Voor mij persoonlijk maakt die BIOS informatie niet zoveel uit, wat mij wel uitmaakt is dat een stuk software op mijn machine dingen doet waar ik niet om gevraagd hebt. Het ongevraagd doorspelen van informatie, hoe onschuldig dan ook, hoort gewoon niet IMHO.

Verwijderd @Verwijderd • 9 februari 2007 15:56

Mensen maken graag van een mug een olifant, sensatiezucht, hyping... noem het hoe je wil maar het stelt geen ruk voor

Verwijderd @Adion • 9 februari 2007 15:02

soif, ik gebruik skype vanop een vijftal verschillende computers, en op de meesten ben ik niet de enige skype'er. Dus de hele strategie is wat raar... waarom drm op een gratis programma?

Verwijderd @Verwijderd • 9 februari 2007 15:38

Omdat, ook al geef je het gratis weg, je eigenaar blijft van dat programma. Met alle rechten en plichten vandien.

Verwijderd @CherandarGuard • 9 februari 2007 10:03

CherandarGuard ik ben het helemaal eens met je opmerking over privacy. Ik hecht hier ook waarde aan.

Op zich vindt ik het wel vreemd dat internet privacy belangrijker gevonden wordt dan persoonlijke privacy in het dagelijkse leven. (Ik heb toch niets te verbergen is het algemeen gehoorde antwoord) Is dit niet het geval op het internet?

Verwijderd @Verwijderd • 9 februari 2007 10:23

Op zich vindt ik het wel vreemd dat internet privacy belangrijker gevonden wordt dan persoonlijke privacy in het dagelijkse leven.

Via internet gedrag kan je VEEL meer over een persoon te weten komen dan als je op straat loopt en gevolgd wordt.

(Ik heb toch niets te verbergen is het algemeen gehoorde antwoord) Is dit niet het geval op het internet?

Dat je niks te verbergen hebt is een absurd argument. Dat betekent toch nog niet dat je je webcam de hele dag hebt aanstaat die wereldwijd via internet te bekijken is? Is hier natuurlijk niet het geval. Maar als je niets fout hebt gedaan betekent niet automatisch dat je alle controles maar moet accepteren.

garagaholic @Verwijderd • 9 februari 2007 11:19

@ mike_mike
Wellicht wordt er bedoeld dat men, zonder al te veel moeite, irl naam, adres telefoonnummer et cetera opgeeft voor van alles en nog wat. Terwijl men anderzijds al klaagt wanneer een stuk software je BIOSserienr uitleest...

Het is maar wat je belangrijker vind, en wat iemand kan vinden over jou op het internet ligt bovenal aan wat jij zelf publiceert op het internet. Als jij @ t.net in je profiel allerlei gegevens plaatst, dan kunnen deze natuurlijk via google worden gevonden. Als je dit niet doet, en je doet dit nergens anders, kan 't ook niet zo gemakkelijk worden gevonden.

Verwijderd @Verwijderd • 9 februari 2007 16:00

Ja tuurlijk hecht ik ook waarde aan privacy... maar als jij op de ring A10 Amsterdam rijdt, en arie met z'n busje zit achter jou en ziet jouw kenteken.... dan komt hij zo aan je naam, en je telefoonnummer en je adres.... dat maakt je dan weer niet uit.

Privacy vind ik heel belangrijk, belangrijker dan je denkt maar het SERIENUMMER van je moederbord, ik bedoel, komop man.... who the fuck cares

Molybdenum @Verwijderd • 9 februari 2007 10:53

kuba? is dat meervoud van kubus?

ik denk dat je heel erg moet oppassen met dingen prijsgeven. het gaat elke keer een klein stapje verder en je komt uiteindelijk op een punt dat ze echt alles weten.

aval0ne @Molybdenum • 9 februari 2007 11:56

Kan niet, dat zou dan kubi of kubus zijn. Kuba als meervoud van kubum misschien?

nexhil @Verwijderd • 9 februari 2007 10:53

Serieus Kuba?

Verwijderd @Verwijderd • 9 februari 2007 11:21

Blijkbaar nog nooit gehoord van datamining.

Heel leuk werk, vooral als ze een heleboel gegevens van je hebben.

Verwijderd @CherandarGuard • 9 februari 2007 10:19

Waarschijnlijk nog steeds de bios uitlezen, maar dan met een windows-64bit compatible call zodat het niet meer opvalt.

Verwijderd @CherandarGuard • 9 februari 2007 09:30

De software van Easybits gebruikt een bepaalde vorm van drm om het illegaal gebruik van commerciële plugins tegen te gaan. Om dit te kunnen doen identificeert de software op welke computer het draait.

dit dus

edit: dit deed het, wat het nu doet...
ouderwets drm licenties checken?

EricJFKleijssen 9 februari 2007 09:29

...om het illegaal gebruik van commerciële plugins tegen te gaan

illegaal gebruik van uw en mijn privé-gegevens mag dan kennelijk wel....

edit: sorry dubbelpost: CherandarGuard was me net voor

0rbit @EricJFKleijssen • 9 februari 2007 10:57

Sinds wanneer is het serienummer in jouw moederbord een privé-gegeven?

Ik vind de paniek omtrent deze zaak een beetje onzinnig. Voor hetzelfde geld nemen ze je MAC address uit je netwerkkaart! Die wordt sowieso met ieder netwerkpakketje meegestuurd!

Bloodshot @0rbit • 9 februari 2007 11:26

Het serienummer van *MIJN* BIOS is van MIJ.
Als mijn lokale software dat wil weten heb ik daar geen probleem mee. Als die *persoonlijke* informatie naar anderen gaat, wil ik op zijn minst daar NEE tegen kunnen zeggen.

Zarc.oh @0rbit • 9 februari 2007 13:55

Wat dacht je er van als je een nieuw PC / mobo koopt en dan bij het starten van Skype ineens een scherm te zien krijgt: "U heeft een nieuw PC / mobo gekocht, vul nu een enquête in!" En die pop-up krijg je iedere keer totdat je de enquête hebt ingevuld.
Stel je voor dat ze je MAC-adres ook uitlezen en nog meer ID's en je krijg constant pop-up, waarom heb je geen nieuwe dit en geen nieuwe dat gekocht?
Leuke he?
Of nog erger: Skype maakt een cookie aan en biedt adverterende partijen aan deze cookie uit te lezen via hun website? Zit je op een website, krijg je ineens een banner voor je snufferd met daarin jouw volledige hardwareconfiguratie en hun mening dat je wel heel erg drastisch toe bent aan een upgrade.
Leuk he?

Tevens de opmerking m.b.t. je MAC-adres, die wordt meegestuurd tot aan jouw volgende hop, daarna niet meer. ARP-pakketten worden niet gerouteerd. Als er een pakketje terug moet, wordt dat gerouteerd naar jouw volgende hop en die weet welk MAC-adres bij het IP-adres hoort en stuurt het vervolgens daarheen.

memphis @EricJFKleijssen • 9 februari 2007 13:36

Als je het uitlezen BIOS en processor serienummers een inbreuk op je privacy vind

Blijkbaar worden die gegevens vastgelegd in de plugin en iedere keer gecontroleerd als dat stukje software nog steeds op dezelfde machine draait, niet mis mee....

Verwijderd 9 februari 2007 09:40

Hum... een beter klinked excuus zou geweest zijn dat het serienummer als encryptie key gebruikt zou worden.

Op zich klinkt het niet zo vreemd dat dat ding een serienummer gebruikt voor een of ander drm dingetje.. Wat ik wel een beetje vreemd vindt is dat het uitlezen van het nummer GELIJK eruit wordt gehaald zodra het aan het licht komt.

-R-

Rinzwind @Verwijderd • 9 februari 2007 10:06

Waarom eruit gehaald? Om imagoschade te voorkomen natuurlijk aangezien er genoeg blaters zijn die gelijk privacy dit en dat gaan schreeuwen zonder zich erin te verdiepen terwijl er legio andere zaken zijn waarbij ze veel makkelijker hun "privacy" opgeven in het dagelijks leven.

RIP-airco 9 februari 2007 09:29

Man wat een waardeloze reactie is dit. Als consument heb ik er geen zaken mee dat Skype componenten van een ander bedrijf gebruikt.

Ze moeten zelf de werkingen van een bepaald component controleren ipv het af te schuiven op een leverancier.

In deze uitleg wordt het gebruik van privacy gegevens (zonder toestemming) goed gepraat om illegale software tegen te gaan.

Zulke reputaties bijzonder nefast en wat mij betreft voldoende op Skype in de ban te doen

Verwijderd 9 februari 2007 09:46

Kan me echt niet voorstellen dat je zo iedere gebruiker uniek wilt of kunt identificeren: het serienummer van mijn asus moederbord is 123456789000
En dat stond er al in toen die afgeleverd werd.

-- toevoeging:
[code]
DMI BIOS Leverancier Phoenix Technologies, LTD
DMI Systeem Fabrikant ASUS
DMI systeem Versie 1.XX
DMI Systeem Serienummer 123456789000
DMI System UUID 11111111-11111111-11111111-11111111
DMI Moederbordfabrikant ASUSTek Computer INC.
DMI Moederbordversie 1.XX
DMI Moederbord Serienummer 123456789000
DMI chassisserienummer EVAL
DMI chassiskenteken 123456789000
[/code]

Franckey @Verwijderd • 9 februari 2007 21:56

Misschien is er iets mis met het programma waarmee jij het uitleest?

Verwijderd 9 februari 2007 10:19

Ik geloof er weinig van.

Dit zou betekenen dat je plug-in dus maar op 1 machine zou werken en na een crash/upgrade het niet meer zou werken.

Om te controleren of maar 1 persoon je plug-in gebruikt, gebruik je toch gewoon de Skype ID waarmee die persoon inlogged?

a.prinsen @Verwijderd • 9 februari 2007 10:56

hij kan op deze manier bijvoorbeeld checken dat je niet tegelijkertijd op 2 pcs de plugin aan gebruiken bent terwijl je maar 1 licentie hebt! ?

Plugins zullen niet gelinkt zijn aan skype accounts.

Dit zal een check net als de "quake-registratie" keys..

Verwijderd @a.prinsen • 9 februari 2007 12:28

Je mag toch best je gekochte plug-in op twee machines gebruiken, zolang je maar op 1 tegelijk gebruikt? (bijv. PC thuis, notebook onderweg?)

Je kan ook niet tegelijk vanaf twee machines met 1 Skype ID inloggen...

Het is gewoon onnodig en onlogisch om serienummers ervoor te gebruiken...

kodak @Verwijderd • 9 februari 2007 20:20

3x raden waarom ze nu dus wel een plugin kunnen laten gebruiken die geen gebruik meer maakt van de betreffende gegevens. Vast niet alleen omdat gebruikers verontwaardig reageren op de manier waarop de plugin van hun identificerende gegevens gebruik maakt.

SuperDre 9 februari 2007 09:38

Wat een onzin om je hier druk over te maken zeg... Sommige mensen maken zich zo druk over privacy, maar gaan wel overal pinnen en mailen/posten wel veel op het internet..

ddt3 @SuperDre • 9 februari 2007 09:44

Volgens mij is dat iets anders: bij mailen en pinnen weet ik wat ik doe en welke privacy ik "opgeef".

Je verwacht zoiets bij het installeren van skype niet. Temeer omdat ze aangeven NO SPYWARE.

KiLLerS @SuperDre • 9 februari 2007 09:45

dat zal dan niet de gemiddelde tweaker zijn.

en die zal waarschijnlijk dit bericht niet meekrijgen,

het enige dat dit bericht zegt is dat ze ongeveer wanhopig moeten gaan voelen wat betreft het illigale gebruik van commerciele plugins. (wat waarschijnlijk snel uitgebreid wordt naar meer software)

Op dit item kan niet meer gereageerd worden.

Skype licht uitlezen bios en serienummer toe

Lees meer

Reacties (92)

Sorteer op:

Weergave: