Chinese Skype logt onversleuteld chat- en persoonsgegevens

Een Chinese editie van Skype zoekt tijdens chatgesprekken naar censuurwoorden. Als deze gevonden worden, wordt het chatlog inclusief persoonlijke gegevens naar een onbeveiligde server gestuurd, aldus Canadese onderzoekers.

Skype logo (90 pix)Berichten die via de Chinese Tom-Skype-software worden verstuurd, worden automatisch langs een lijstje met censuurwoorden gelegd. Op het moment dat er een match gevonden wordt, verschijnt het chatbericht niet bij de ontvanger en worden sommige persoonlijke gegevens, waaronder ip-adres, datum, tijd, chatlog en Skype-gebruikersnaam, versleuteld naar de Tom-Skype-servers gestuurd.

Tom-Skype beheert acht van dit soort servers. De meeste communicatie van de voip-software met de servers is onschuldig en nodig om de Skype-diensten aan te bieden. De servers zijn vanuit de buitenwereld bereikbaar, bemerkten de Canadese onderzoekers, en op een van de servers was de publieke beveiligingssleutel te vinden die de versleutelde Tom-Skype-logbestanden weer toegankelijk maakte.

Een analyse van deze bestanden door de onderzoekers liet verschillende zaken zien. Zo kon een graaf gegenereerd worden die laat zien hoe het relatienetwerk van een gebruiker er uitziet. Daarnaast kon inzichtelijk gemaakt worden op welke woorden de meeste filtering plaatsvond, te weten 'communist', 'Communist Party', 'Falun', 'Hu Jintao' en 'Taiwan independence'. Ook 'Sars' en 'milk powder' zijn in de filterlijst te vinden.

In de logbestanden waren overigens ook chatberichten te vinden die woorden bevatten als ':)' en 'bye bye'. Volgens de onderzoekers laat dit zien dat de software weliswaar primair bedoeld is om bepaalde steekwoorden te filteren, maar dat hij ook gebruikt kan worden om het Tom-Skype-gedrag van individuele gebruikers te volgen.

Volgens de onderzoekers laat hun onderzoek zien dat het onvoldoende is om op de kracht en bekendheid van het Skype-merk te vertrouwen als het op veiligheid en privacy aankomt. Het is volgens hen belangrijk dat er sprake is van transparantie en verantwoordelijkheid bij de aanbieders van communicatietechnologieën. Tom-Skype en Skype moeten op dit punt verbeterslagen maken, zo stellen de onderzoekers, en duidelijk en inzichtelijk maken hoe ze zich verhouden tot het Chinese censuurbeleid.

Skype-ceo Josh Silverman heeft via zijn weblog laten weten dat Skype en Tom-Skype al in april 2006 bekend hebben gemaakt dat er gefilterd wordt en welke consequenties er zijn voor gefilterde berichten. Silverman zegt echter niet te hebben geweten dat chatlogs en persoonlijke gegevens naar de Tom-Skype-servers verstuurd worden. Skype is inmiddels begonnen met het nemen van maatregelen hiertegen.

Skype China keywords

Door Harm Hilvers

Freelance nieuwsposter

Feedback • 03-10-2008 13:49
36 • submitter: T.Rijkers

03-10-2008 • 13:49

36

Submitter: T.Rijkers

Lees meer

'Skype verstrekte gebruikersdata zonder vordering'
'Skype verstrekte gebruikersdata zonder vordering' Nieuws van 4 november 2012
Rusland wil voip-bedrijven aan banden leggen
Rusland wil voip-bedrijven aan banden leggen Nieuws van 26 juli 2009
Microsoft: Chinees webfilter mag alleen pornosites blokkeren
Microsoft: Chinees webfilter mag alleen pornosites blokkeren Nieuws van 9 juni 2009
Skype-oprichters willen voip-dienst terugkopen van eBay
Skype-oprichters willen voip-dienst terugkopen van eBay Nieuws van 11 april 2009
T-Mobile Duitsland dreigt Skype-gebruikers met afsluiting
T-Mobile Duitsland dreigt Skype-gebruikers met afsluiting Nieuws van 3 april 2009
Italië krijgt Europese steun voor aftapmogelijkheid Skype
Italië krijgt Europese steun voor aftapmogelijkheid Skype Nieuws van 22 februari 2009
China: ook MSN en dertien andere sites tonen vulgaire content
China: ook MSN en dertien andere sites tonen vulgaire content Nieuws van 9 januari 2009
Microsoft: MD5-aanval vormt geen groot gevaar
Microsoft: MD5-aanval vormt geen groot gevaar Nieuws van 31 december 2008
Hackers vinden manier om valide certificaten te genereren
Hackers vinden manier om valide certificaten te genereren Nieuws van 30 december 2008
Secunia haalt gratis scantool uit testfase
Secunia haalt gratis scantool uit testfase Nieuws van 26 november 2008
China laat tien video- en p2p-sites sluiten
China laat tien video- en p2p-sites sluiten Nieuws van 2 november 2008
Europa start onderzoek naar internetcensuur
Europa start onderzoek naar internetcensuur Nieuws van 24 oktober 2008
China gaat alle bezoekers van internetcafés fotograferen
China gaat alle bezoekers van internetcafés fotograferen Nieuws van 17 oktober 2008
T-mobile opnieuw geconfronteerd met gat in beveiliging persoonsgegevens
T-mobile opnieuw geconfronteerd met gat in beveiliging persoonsgegevens Nieuws van 13 oktober 2008
Onderzoeker vindt beveiligingslek in versleutelde backups van afbeeldingen
Onderzoeker vindt beveiligingslek in versleutelde backups van afbeeldingen Nieuws van 5 oktober 2008
Toch internetcensuur in China voor sportjournalisten
Toch internetcensuur in China voor sportjournalisten Nieuws van 30 juli 2008
China zet BBC-website en Youtube open
China zet BBC-website en Youtube open Nieuws van 25 maart 2008
China gaat videosites censureren
China gaat videosites censureren Nieuws van 5 januari 2008
Chinese vuurmuur blokkeert nu ook rss-feeds
Chinese vuurmuur blokkeert nu ook rss-feeds Nieuws van 7 oktober 2007
Engelstalige Wikipedia weer bereikbaar in China
Engelstalige Wikipedia weer bereikbaar in China Nieuws van 18 juni 2007
Hoeveelheid censuur op internet groeit
Hoeveelheid censuur op internet groeit Nieuws van 20 mei 2007
Chinees bedrijf claimt Skype-protocol gekraakt te hebben
Chinees bedrijf claimt Skype-protocol gekraakt te hebben Nieuws van 15 juli 2006
Skype klimt over Chinese Muur
Skype klimt over Chinese Muur Nieuws van 6 september 2005
Meer producten en artikelen
Smartphones Privacy Skype China Voip

Reacties (36)

-Moderatie-faq
36
31
13
3
0
0
Wijzig sortering
Pixeltje 3 oktober 2008 15:46
En terecht. Zeker als je werknemers het allemaal los gaan installeren.
Misschien dat je nog iets zelf in de hand hebt als je een applicatie uitrolt op bedrijfsniveau, maar als al je werknemers zelf dingen gaa installeren is de boot los natuurlijk.

Een werknemer installeert van een 'louche' site, een andere gebruikt plugins die lekken met zich meebrengen, daarnaast vertraagt het de computers, die toch vooral bedoeld zijn om aan te werken ;) Nu hebben de meeste bedrijven wel de policy dat er geen eigen software geinstalleerd mag worden, juist om dit soort redenen, maar dan nog blijft het zaak goed op te letten wat er gebeurd met applicaties die wel bedrijfsbreed worden geinstalleerd. Je ziet maar, dat lang niet alles is als het lijkt.. 'een simpel voip-programma'
Anoniem: 46304 3 oktober 2008 14:09
De enige betrouwbare manier om privaat te communiceren is endpoint to endpoint encryptie met open source software die te checken is. En dan nog moet je oppassen voor man in the middle attacks of subtiele implementatiefouten (zoals bv. in de randomgenerator voor pgp 5.0 voor Unix zat).
Ulysses @Anoniem: 463043 oktober 2008 14:26
Als je met PGP en een 2048bit key werkt dan ben je aardig zeker dat niemand er tussenin nog de boel kan decoderen, in ieder geval niet door brute-force. Alleen jammer dat in sommige landen (Zoals de USA) het gebruik van meer dan 128bit encryptie aan banden is gelegd, omdat zelfs de NSA het dan moeilijk heeft om te kraken. Maarja, aan de andere kant: Je hebt die encryptie grappen alleen nodig als je zeer gevoelige corporate data wil bespreken of gewoon een crimineel bent. Het gespreksverkeer tussen mij en mijn vrienden op MSN of Skype zal echt geen enkele overheid ook maar ene ruk interesseren denk ik zo.

[Reactie gewijzigd door Ulysses op 23 juli 2024 05:11]

kozue
@Ulysses3 oktober 2008 14:54
Als je closed source pgp/ssl implementaties gebruikt, zoals bv wat je in windows krijgt meegelevert, kun je niet weten of het wel of niet te kraken is. Het kan namelijk best zijn dat er expres een systeem in het generen van de keys zit, waardoor zo'n key door bepaalde partijen (NSA?) binnen 1 seconde te kraken is. Kan ook zijn dat het niet zo is, maar te bewijzen is het niet, dus de enige manier om zeker te zijn is met open source software.

Overigens vind ik helemaal niet dat je alleen encryptie nodig hebt als je crimineel bent, of met gevoelige data werkt. Ik heb ook "niks te verbergen", waar je hier naar lijkt te refereren, maar dat geeft anderen nog niet het recht om al mijn netwerk verkeer in te zien. Ik haal dan ook altijd mijn mail op via IMAP-SSL, gebruik ssl verbindingen op IRC servers die het ondersteunen, gebruik alleen SSH voor shells (geen telnet of andere plain text protocollen), heb mijn torrent client op encryptie staan en heb https op mijn web server ingesteld, zodat ik er altijd pagina's via ssl af kan halen. Niet omdat mijn communicatie zo interessant is voor anderen, maar omdat het ze geen flikker aan gaat wat ik op het netwerk doe.
Anoniem: 46304 @Ulysses3 oktober 2008 23:18
Als je met PGP en een 2048bit key werkt dan ben je aardig zeker dat niemand er tussenin nog de boel kan decoderen, in ieder geval niet door brute-force
Tenminste, zolang de implementatie foutloos is. Bij pgp 5 voor Unix is dus een blunder gemaakt waardoor de uitvoer van de random number generator te voorspellen was, keys aangemaakt met die versie kun je beter opnieuw maken in een betere versie.
Alleen jammer dat in sommige landen (Zoals de USA) het gebruik van meer dan 128bit encryptie
Je gooit 2 dingen door elkaar: de USA heeft exportrestricties gehad op alles sterker dan 40 bit symmetrische encryptie. Die zijn nu opgeheven behalve voor een paar landen als Iran, Cuba en Noord Korea. Amerikanen mochten het in de USA altijd gewoon gebruiken.

En symmetrische algorithmen zijn met veel minder bits al veilig dan asymetrische als RSA en ElGamal. 2048 bits RSA is vergelijkbaar met 128 bits AES, IDEA e.d.. Bij symmetrische algorithmen verdubbeld de keyspace met elke bit, bij asymetrische loopt dat veel minder snel.
jGS @Anoniem: 463046 oktober 2008 09:22
moet je toch even beter uitzoeken.
Asymmetrische encryptie is veiliger dan symmetrische.

Public key algorithms known thus far are relatively computationally costly compared with most symmetric key algorithms of apparently equivalent security. The difference factor is typically quite large. This has important implications for their practical use.

Bovendien bij asymetrische encryptie gecombineerd met symmetrische ga je bij elke sessie een andere (symmetrische) key gaan gebruiken. Wat op zich ook weer veiliger is.
Anoniem: 231952 @Ulysses3 oktober 2008 15:13
Ik weet niet hoe je aan die 128 bit komt die de NSA zou kunnen kraken, maar lees ter informatie even deze twee links:

http://rechten.uvt.nl/koops/cryptolaw/cls2.htm#co
http://www.samsimpson.com/static/pgpfaq#SubSymmHard

Bovendien kan ik GnuPG zonder restricties downloaden in Nederland en ondersteunt deze: Cipher: 3DES, CAST5, BLOWFISH, AES, AES192, AES256, TWOFISH. Daar staan drie bij die langer zijn als 128 bits. Je wil beweren dat een Amerikaan geen GnuPG mag gebruiken?!
Fermion @Anoniem: 2319523 oktober 2008 16:55
Wel... NSA heeft namelijk AES ontwikkeld :)

Daarnaast zijn alle encryptie boeren verplicht een backdoor te maken. Als je dat niet doet, dan mag je het product (AES) niet in USA verkopen.
Anoniem: 231952 @Fermion3 oktober 2008 17:11
AES aka Rijndael is een Belgisch algoritme en GnuPG en PGP zijn open source, dus wat backdoor?

[Reactie gewijzigd door Anoniem: 231952 op 23 juli 2024 05:11]

merethan @Ulysses3 oktober 2008 14:54
Fout gedacht. Nooit gehoord van profilering en datamining?
En het blijft gewoon principieel dat niemand wat te doen heeft met de relatie tussen jou en je vriendin ofzo.

Niet te spreken over waar die hele big brother machine allemaal nog meer voor gebruikt kan worden dan die hele hordes terroristen en pedofielen opsporen als hij nu eenmaal gebouwd en geplaatst is...
martinx76 @Ulysses3 oktober 2008 15:22
Maarja, aan de andere kant: Je hebt die encryptie grappen alleen nodig als je zeer gevoelige corporate data wil bespreken of gewoon een crimineel bent. Het gespreksverkeer tussen mij en mijn vrienden op MSN of Skype zal echt geen enkele overheid ook maar ene ruk interesseren denk ik zo.
Dat geldt dan wel voor de Westerse landen, in China interesseert het de overheid veel meer en kun je als je bepaalde uitlatingen in een vriendenkring doet wel opgepakt worden als de overheid daar lucht van krijgt. Ze zijn daar niet zo erg met de mensenrechten begaan als hier in het Westen.

Als ik als in China zat en wilde chatten dan zou het mij dan ook niet slecht uitkomen als je dat sterk en betrouwbaar kan beveiligen.

[Reactie gewijzigd door martinx76 op 23 juli 2024 05:11]

TD-er 3 oktober 2008 13:57
DIt soort berichten kan de doodsteek zijn voor programma's als Skype.
Nu is het dus uitgelekt dat dit soort spionage praktijken met de Chinese variant gedaan worden, terwijl Skype zelf dus ook op de hoogte was dat er wat gedaan werd.
Kortom Skype zelf gaat ook niet vrijuit en dan vraag je je af wat ze met de 'westerse' versie doen.
Huuskes @TD-er3 oktober 2008 14:05
En het is niet geheel toevallig dat de founder van Skype "Niklas Zennström" is. De maker van KaZaa en Joost die allebei hele onaardige progjes zijn voor je PC :)

Ik ben geen paranoïde maar vanaf nu af aan vertrouw ik de hele vent niet meer. En ja ik weet dat Skype opgekocht is door eBay.

[Reactie gewijzigd door Huuskes op 23 juli 2024 05:11]

dasiro @Huuskes3 oktober 2008 18:12
wat voor een belachelijke insinuatie is me dat nu ?? zennström heeft enorme goede inzichten en ideeën die achteraf meestal verkeerd worden geïnterpretteerd/behandeld door anderen (vaak nadat zijn bedrijf is verkocht)
Anoniem: 46304 @TD-er3 oktober 2008 14:07
en dan vraag je je af wat ze met de 'westerse' versie doen
De Duitse justitie roept heel hard dat ze Skype niet kunnen ontcijferen. Misschien is dat ook wel gewoon een truc om mnensen gerust te stellen.
merethan @Anoniem: 463043 oktober 2008 14:44
Al die corporate programma's met "onkraakbare" encryptie hebben in de regel een backdoor. Ik zoek voor goed beveiligde communicatie liever in de open spurce hoek. Denk aan Pidgin met de OTR plugin.
Pidgin: http://pidgin.im/
OTR: http://www.cypherpunks.ca/otr/
n4m3l355
@Anoniem: 463043 oktober 2008 14:27
De duitse variant roept heel hard dat de gesprekken niet te ontcijferen zijn. Wat er met de chat-logs gebeurd is dan nog maar de vraag. Overigens snap ik niet geheel waar deze verontwaardiging vandaan komt. Wij Westerlingen zijn toch wel nummer 1 wat dat betreft het enigste verontrustende is hooguit dat het op een onbeveiligde server gedoponeerd wordt. Beetje een onvolkomenheid zou ik eerder zeggen wat wel te verbeteren valt.
Ook het gevolg ervan is imo vrij betrekkelijk. In China kom je in een werkkamp bij verkeerde uitlatingen, in NL net zo goed. Jammer genoeg is het zoals altijd makkelijker kritiek te uiten naar een land ver weg dan eens te kijken naar onze eigen situatie.
---edit---
@kuzoe, in Nederland word je zonder vragen uitgeleverd aan de US. Of de US komt je persoonlijk ophalen voor een vakantiereisje naar Cuba. En de kogel riskeren voor foute uitlatingen, gemiddeld volgens AI executeerd China net zoveel mensen als de US. Dus tenzij de US ook politiekelingen executeerd zal dit nog wel meevallen.

[Reactie gewijzigd door n4m3l355 op 23 juli 2024 05:11]

kozue
@n4m3l3553 oktober 2008 14:43
In China kom je in een werkkamp bij verkeerde uitlatingen, in NL net zo goed.
In nederland krijg je een boete of iets dergelijks, in china een kogel...
Wil jij je leven riskeren voor een programma als Skype?
TD-er @kozue3 oktober 2008 14:57
In NL slepen ze je al uit bed met een heel arrestatie-team wanneer je wat tekeningen maakt, dus NL gaat ook niet helemaal vrijuit wat betreft vrijheid van meningsuiting.
Tevens heeft de overheid met de zaak Fred Spijkers ook wel laten zien dat ze je leven behoorlijk kunnen verzieken als je dingen doet of zegt die de overheid niet aan staan.
Ketho 3 oktober 2008 13:57
Zijn dat nou chinese karakters汉字 waarop gefilterd werd of gewoon deze engelse woorden :?
AuteurHarm @Ketho3 oktober 2008 14:07
Het zijn de Chinese karakters waarop gefilterd wordt, maar voor het onderzoek zijn deze vertaald naar het Engels, zodat ook alle niet-Chinezen deze kunnen begrijpen.
langzaam 3 oktober 2008 14:04
Hebben de Chinezen geluk. In USA en in Europa in sommige landen wordt al het internet verkeer gelogd en voor langere tijd opgeslagen.
Anoniem: 46304 @langzaam3 oktober 2008 14:06
Maar alleen de communicatiegegevens worden gelogd, niet de inhoud. Dat zou fysiek niet haalbaar zijn.
the_stickie @langzaam3 oktober 2008 14:09
Echelon bedoel je?
Niettegenstaande ik zelf ook terk geloof dat er héél veel gelogd en gemonitord wordt, is er slechts heel weinig van te staven.
Ik ben dan ook heel benieuwd naar de bronnen van je statement?
langzaam @the_stickie3 oktober 2008 14:15
http://tweakers.net/nieuw...sterprogramma-nsa-in.html
http://tweakers.net/nieuw...nverkeer-afluisteren.html
http://www.nu.nl/news/726...ppen_internetverkeer.html
http://blog.wired.com/27b...8/01/feds-must-exami.html

Dit is maar een kleine greep.

[Reactie gewijzigd door langzaam op 23 juli 2024 05:11]

merethan @the_stickie3 oktober 2008 14:47
Niet Echelon, gewoon al je TCP/IP headers worden opgeslagen.

Daar komt bij dat de grote chatdiensten als MSN en Yahoo ook loggen en niet moeilijk doen als iemand met een mooie brief om logs vraagd.
swtimmer 3 oktober 2008 13:59
Maar om deze "feature" te hebben had je dus een Chinese Skype moeten installeren als ik het goed begrijp? Of is iedere gebruiker met skype in China gescreend?

Wel apart dat bij een grote multinational waar ik zit op de ICT pagina afgeraden wordt skype te gebruiken omdat het onduidelijk is wat er met alle gegevens gebeurt, blijkbaar dus niet voor niets :-)
kozue
@swtimmer3 oktober 2008 14:45
Bij ons op kantoor is het gebruik, en zelfs installeren van peer2peer programma's verboden, en daar valt Skype bij ons ook onder. Als je Skype installeert op een bedrijfslaptop zal de security software de afdeling systeembeheer er van op de hoogte stellen en mag je het zelf asap verwijderen, of anders doen hun het voor je ;)
Vind ik niet zo gek ook, als je hoort wat skype af en toe allemaal uit vreet (zoals dit uit china, of het meehelpen aan aftappen in duitsland).
Anoniem: 185882 3 oktober 2008 14:09
Westerse bedrijven zouden in het westen bestraft moeten kunnen worden voor dit soort zaken. (in dit geval, diefstal van persoonsgegevens)

Het is overigens al heel lang bekend dat Skype samen werkt met de Chinese regering. (zie wiki)
Pixeltje 3 oktober 2008 14:55
Ik vind het wel schunnig dat er dus kennelijk zonder veel moeite gelogd én gefilterd kan worden, zonder dat iemand (buiten skype?) daar weet van heeft.

Erger nog is dat de mensen die het wél weten, er niets aan doen, en nu zo hard mogelijk proberen om een ander de schuld te geven. Zoals Langzaam ook al aangeeft, is het kennelijk helemaal niet lastig om je van heel veel gegevens te ontdoen, zonder dat je daar weet van hebt.

Voor mij een reden om nog voorzichtiger te worden met dit soort programma's.
Indoubt 3 oktober 2008 15:23
Zowel bij mijn huidige als vorige werkgever is het gebruik van programma's als Skype voor corporate communicatie strikt verboden.

Sowieso mag je geen software installeren maar met name Skype werd gezien als een security issue.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq