Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 36 reacties
Submitter: T.Rijkers

Een Chinese editie van Skype zoekt tijdens chatgesprekken naar censuurwoorden. Als deze gevonden worden, wordt het chatlog inclusief persoonlijke gegevens naar een onbeveiligde server gestuurd, aldus Canadese onderzoekers.

Skype logo (90 pix)Berichten die via de Chinese Tom-Skype-software worden verstuurd, worden automatisch langs een lijstje met censuurwoorden gelegd. Op het moment dat er een match gevonden wordt, verschijnt het chatbericht niet bij de ontvanger en worden sommige persoonlijke gegevens, waaronder ip-adres, datum, tijd, chatlog en Skype-gebruikersnaam, versleuteld naar de Tom-Skype-servers gestuurd.

Tom-Skype beheert acht van dit soort servers. De meeste communicatie van de voip-software met de servers is onschuldig en nodig om de Skype-diensten aan te bieden. De servers zijn vanuit de buitenwereld bereikbaar, bemerkten de Canadese onderzoekers, en op een van de servers was de publieke beveiligingssleutel te vinden die de versleutelde Tom-Skype-logbestanden weer toegankelijk maakte.

Een analyse van deze bestanden door de onderzoekers liet verschillende zaken zien. Zo kon een graaf gegenereerd worden die laat zien hoe het relatienetwerk van een gebruiker er uitziet. Daarnaast kon inzichtelijk gemaakt worden op welke woorden de meeste filtering plaatsvond, te weten 'communist', 'Communist Party', 'Falun', 'Hu Jintao' en 'Taiwan independence'. Ook 'Sars' en 'milk powder' zijn in de filterlijst te vinden.

In de logbestanden waren overigens ook chatberichten te vinden die woorden bevatten als ':)' en 'bye bye'. Volgens de onderzoekers laat dit zien dat de software weliswaar primair bedoeld is om bepaalde steekwoorden te filteren, maar dat hij ook gebruikt kan worden om het Tom-Skype-gedrag van individuele gebruikers te volgen.

Volgens de onderzoekers laat hun onderzoek zien dat het onvoldoende is om op de kracht en bekendheid van het Skype-merk te vertrouwen als het op veiligheid en privacy aankomt. Het is volgens hen belangrijk dat er sprake is van transparantie en verantwoordelijkheid bij de aanbieders van communicatietechnologieën. Tom-Skype en Skype moeten op dit punt verbeterslagen maken, zo stellen de onderzoekers, en duidelijk en inzichtelijk maken hoe ze zich verhouden tot het Chinese censuurbeleid.

Skype-ceo Josh Silverman heeft via zijn weblog laten weten dat Skype en Tom-Skype al in april 2006 bekend hebben gemaakt dat er gefilterd wordt en welke consequenties er zijn voor gefilterde berichten. Silverman zegt echter niet te hebben geweten dat chatlogs en persoonlijke gegevens naar de Tom-Skype-servers verstuurd worden. Skype is inmiddels begonnen met het nemen van maatregelen hiertegen.

Skype China keywords

Gerelateerde content

Alle gerelateerde content (23)
Moderatie-faq Wijzig weergave

Reacties (36)

En terecht. Zeker als je werknemers het allemaal los gaan installeren.
Misschien dat je nog iets zelf in de hand hebt als je een applicatie uitrolt op bedrijfsniveau, maar als al je werknemers zelf dingen gaa installeren is de boot los natuurlijk.

Een werknemer installeert van een 'louche' site, een andere gebruikt plugins die lekken met zich meebrengen, daarnaast vertraagt het de computers, die toch vooral bedoeld zijn om aan te werken ;) Nu hebben de meeste bedrijven wel de policy dat er geen eigen software geinstalleerd mag worden, juist om dit soort redenen, maar dan nog blijft het zaak goed op te letten wat er gebeurd met applicaties die wel bedrijfsbreed worden geinstalleerd. Je ziet maar, dat lang niet alles is als het lijkt.. 'een simpel voip-programma'
De enige betrouwbare manier om privaat te communiceren is endpoint to endpoint encryptie met open source software die te checken is. En dan nog moet je oppassen voor man in the middle attacks of subtiele implementatiefouten (zoals bv. in de randomgenerator voor pgp 5.0 voor Unix zat).
Als je met PGP en een 2048bit key werkt dan ben je aardig zeker dat niemand er tussenin nog de boel kan decoderen, in ieder geval niet door brute-force. Alleen jammer dat in sommige landen (Zoals de USA) het gebruik van meer dan 128bit encryptie aan banden is gelegd, omdat zelfs de NSA het dan moeilijk heeft om te kraken. Maarja, aan de andere kant: Je hebt die encryptie grappen alleen nodig als je zeer gevoelige corporate data wil bespreken of gewoon een crimineel bent. Het gespreksverkeer tussen mij en mijn vrienden op MSN of Skype zal echt geen enkele overheid ook maar ene ruk interesseren denk ik zo.

[Reactie gewijzigd door Escovan op 3 oktober 2008 14:56]

Als je closed source pgp/ssl implementaties gebruikt, zoals bv wat je in windows krijgt meegelevert, kun je niet weten of het wel of niet te kraken is. Het kan namelijk best zijn dat er expres een systeem in het generen van de keys zit, waardoor zo'n key door bepaalde partijen (NSA?) binnen 1 seconde te kraken is. Kan ook zijn dat het niet zo is, maar te bewijzen is het niet, dus de enige manier om zeker te zijn is met open source software.

Overigens vind ik helemaal niet dat je alleen encryptie nodig hebt als je crimineel bent, of met gevoelige data werkt. Ik heb ook "niks te verbergen", waar je hier naar lijkt te refereren, maar dat geeft anderen nog niet het recht om al mijn netwerk verkeer in te zien. Ik haal dan ook altijd mijn mail op via IMAP-SSL, gebruik ssl verbindingen op IRC servers die het ondersteunen, gebruik alleen SSH voor shells (geen telnet of andere plain text protocollen), heb mijn torrent client op encryptie staan en heb https op mijn web server ingesteld, zodat ik er altijd pagina's via ssl af kan halen. Niet omdat mijn communicatie zo interessant is voor anderen, maar omdat het ze geen flikker aan gaat wat ik op het netwerk doe.
Als je met PGP en een 2048bit key werkt dan ben je aardig zeker dat niemand er tussenin nog de boel kan decoderen, in ieder geval niet door brute-force
Tenminste, zolang de implementatie foutloos is. Bij pgp 5 voor Unix is dus een blunder gemaakt waardoor de uitvoer van de random number generator te voorspellen was, keys aangemaakt met die versie kun je beter opnieuw maken in een betere versie.
Alleen jammer dat in sommige landen (Zoals de USA) het gebruik van meer dan 128bit encryptie
Je gooit 2 dingen door elkaar: de USA heeft exportrestricties gehad op alles sterker dan 40 bit symmetrische encryptie. Die zijn nu opgeheven behalve voor een paar landen als Iran, Cuba en Noord Korea. Amerikanen mochten het in de USA altijd gewoon gebruiken.

En symmetrische algorithmen zijn met veel minder bits al veilig dan asymetrische als RSA en ElGamal. 2048 bits RSA is vergelijkbaar met 128 bits AES, IDEA e.d.. Bij symmetrische algorithmen verdubbeld de keyspace met elke bit, bij asymetrische loopt dat veel minder snel.
moet je toch even beter uitzoeken.
Asymmetrische encryptie is veiliger dan symmetrische.

Public key algorithms known thus far are relatively computationally costly compared with most symmetric key algorithms of apparently equivalent security. The difference factor is typically quite large. This has important implications for their practical use.

Bovendien bij asymetrische encryptie gecombineerd met symmetrische ga je bij elke sessie een andere (symmetrische) key gaan gebruiken. Wat op zich ook weer veiliger is.
Ik weet niet hoe je aan die 128 bit komt die de NSA zou kunnen kraken, maar lees ter informatie even deze twee links:

http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#co
http://www.samsimpson.com/static/pgpfaq#SubSymmHard

Bovendien kan ik GnuPG zonder restricties downloaden in Nederland en ondersteunt deze: Cipher: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH. Daar staan drie bij die langer zijn als 128 bits. Je wil beweren dat een Amerikaan geen GnuPG mag gebruiken?!
Wel... NSA heeft namelijk AES ontwikkeld :)

Daarnaast zijn alle encryptie boeren verplicht een backdoor te maken. Als je dat niet doet, dan mag je het product (AES) niet in USA verkopen.
AES aka Rijndael is een Belgisch algoritme en GnuPG en PGP zijn open source, dus wat backdoor?

[Reactie gewijzigd door tjboschl op 3 oktober 2008 18:04]

Fout gedacht. Nooit gehoord van profilering en datamining?
En het blijft gewoon principieel dat niemand wat te doen heeft met de relatie tussen jou en je vriendin ofzo.

Niet te spreken over waar die hele big brother machine allemaal nog meer voor gebruikt kan worden dan die hele hordes terroristen en pedofielen opsporen als hij nu eenmaal gebouwd en geplaatst is...
Maarja, aan de andere kant: Je hebt die encryptie grappen alleen nodig als je zeer gevoelige corporate data wil bespreken of gewoon een crimineel bent. Het gespreksverkeer tussen mij en mijn vrienden op MSN of Skype zal echt geen enkele overheid ook maar ene ruk interesseren denk ik zo.
Dat geldt dan wel voor de Westerse landen, in China interesseert het de overheid veel meer en kun je als je bepaalde uitlatingen in een vriendenkring doet wel opgepakt worden als de overheid daar lucht van krijgt. Ze zijn daar niet zo erg met de mensenrechten begaan als hier in het Westen.

Als ik als in China zat en wilde chatten dan zou het mij dan ook niet slecht uitkomen als je dat sterk en betrouwbaar kan beveiligen.

[Reactie gewijzigd door martinx76 op 3 oktober 2008 15:23]

DIt soort berichten kan de doodsteek zijn voor programma's als Skype.
Nu is het dus uitgelekt dat dit soort spionage praktijken met de Chinese variant gedaan worden, terwijl Skype zelf dus ook op de hoogte was dat er wat gedaan werd.
Kortom Skype zelf gaat ook niet vrijuit en dan vraag je je af wat ze met de 'westerse' versie doen.
En het is niet geheel toevallig dat de founder van Skype "Niklas Zennström" is. De maker van KaZaa en Joost die allebei hele onaardige progjes zijn voor je PC :)

Ik ben geen paranoïde maar vanaf nu af aan vertrouw ik de hele vent niet meer. En ja ik weet dat Skype opgekocht is door eBay.

[Reactie gewijzigd door Huuskes op 3 oktober 2008 14:09]

wat voor een belachelijke insinuatie is me dat nu ?? zennström heeft enorme goede inzichten en ideeën die achteraf meestal verkeerd worden geïnterpretteerd/behandeld door anderen (vaak nadat zijn bedrijf is verkocht)
en dan vraag je je af wat ze met de 'westerse' versie doen
De Duitse justitie roept heel hard dat ze Skype niet kunnen ontcijferen. Misschien is dat ook wel gewoon een truc om mnensen gerust te stellen.
Al die corporate programma's met "onkraakbare" encryptie hebben in de regel een backdoor. Ik zoek voor goed beveiligde communicatie liever in de open spurce hoek. Denk aan Pidgin met de OTR plugin.
Pidgin: http://pidgin.im/
OTR: http://www.cypherpunks.ca/otr/
De duitse variant roept heel hard dat de gesprekken niet te ontcijferen zijn. Wat er met de chat-logs gebeurd is dan nog maar de vraag. Overigens snap ik niet geheel waar deze verontwaardiging vandaan komt. Wij Westerlingen zijn toch wel nummer 1 wat dat betreft het enigste verontrustende is hooguit dat het op een onbeveiligde server gedoponeerd wordt. Beetje een onvolkomenheid zou ik eerder zeggen wat wel te verbeteren valt.
Ook het gevolg ervan is imo vrij betrekkelijk. In China kom je in een werkkamp bij verkeerde uitlatingen, in NL net zo goed. Jammer genoeg is het zoals altijd makkelijker kritiek te uiten naar een land ver weg dan eens te kijken naar onze eigen situatie.
---edit---
@kuzoe, in Nederland word je zonder vragen uitgeleverd aan de US. Of de US komt je persoonlijk ophalen voor een vakantiereisje naar Cuba. En de kogel riskeren voor foute uitlatingen, gemiddeld volgens AI executeerd China net zoveel mensen als de US. Dus tenzij de US ook politiekelingen executeerd zal dit nog wel meevallen.

[Reactie gewijzigd door n4m3l355 op 3 oktober 2008 15:02]

In China kom je in een werkkamp bij verkeerde uitlatingen, in NL net zo goed.
In nederland krijg je een boete of iets dergelijks, in china een kogel...
Wil jij je leven riskeren voor een programma als Skype?
In NL slepen ze je al uit bed met een heel arrestatie-team wanneer je wat tekeningen maakt, dus NL gaat ook niet helemaal vrijuit wat betreft vrijheid van meningsuiting.
Tevens heeft de overheid met de zaak Fred Spijkers ook wel laten zien dat ze je leven behoorlijk kunnen verzieken als je dingen doet of zegt die de overheid niet aan staan.
Zijn dat nou chinese karakters汉字 waarop gefilterd werd of gewoon deze engelse woorden :?
Het zijn de Chinese karakters waarop gefilterd wordt, maar voor het onderzoek zijn deze vertaald naar het Engels, zodat ook alle niet-Chinezen deze kunnen begrijpen.
Hebben de Chinezen geluk. In USA en in Europa in sommige landen wordt al het internet verkeer gelogd en voor langere tijd opgeslagen.
Maar alleen de communicatiegegevens worden gelogd, niet de inhoud. Dat zou fysiek niet haalbaar zijn.
Echelon bedoel je?
Niettegenstaande ik zelf ook terk geloof dat er héél veel gelogd en gemonitord wordt, is er slechts heel weinig van te staven.
Ik ben dan ook heel benieuwd naar de bronnen van je statement?
Niet Echelon, gewoon al je TCP/IP headers worden opgeslagen.

Daar komt bij dat de grote chatdiensten als MSN en Yahoo ook loggen en niet moeilijk doen als iemand met een mooie brief om logs vraagd.
Maar om deze "feature" te hebben had je dus een Chinese Skype moeten installeren als ik het goed begrijp? Of is iedere gebruiker met skype in China gescreend?

Wel apart dat bij een grote multinational waar ik zit op de ICT pagina afgeraden wordt skype te gebruiken omdat het onduidelijk is wat er met alle gegevens gebeurt, blijkbaar dus niet voor niets :-)
Bij ons op kantoor is het gebruik, en zelfs installeren van peer2peer programma's verboden, en daar valt Skype bij ons ook onder. Als je Skype installeert op een bedrijfslaptop zal de security software de afdeling systeembeheer er van op de hoogte stellen en mag je het zelf asap verwijderen, of anders doen hun het voor je ;)
Vind ik niet zo gek ook, als je hoort wat skype af en toe allemaal uit vreet (zoals dit uit china, of het meehelpen aan aftappen in duitsland).
Westerse bedrijven zouden in het westen bestraft moeten kunnen worden voor dit soort zaken. (in dit geval, diefstal van persoonsgegevens)

Het is overigens al heel lang bekend dat Skype samen werkt met de Chinese regering. (zie wiki)
Ik vind het wel schunnig dat er dus kennelijk zonder veel moeite gelogd én gefilterd kan worden, zonder dat iemand (buiten skype?) daar weet van heeft.

Erger nog is dat de mensen die het wél weten, er niets aan doen, en nu zo hard mogelijk proberen om een ander de schuld te geven. Zoals Langzaam ook al aangeeft, is het kennelijk helemaal niet lastig om je van heel veel gegevens te ontdoen, zonder dat je daar weet van hebt.

Voor mij een reden om nog voorzichtiger te worden met dit soort programma's.
Zowel bij mijn huidige als vorige werkgever is het gebruik van programma's als Skype voor corporate communicatie strikt verboden.

Sowieso mag je geen software installeren maar met name Skype werd gezien als een security issue.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True