Hacker claimt Skype-versleuteling te hebben gekraakt

Een hacker claimt de versleuteling van het Skype-protocol door middel van reverse engineering te hebben gekraakt en heeft code vrijgegeven. Skype stelt dat de veiligheid van zijn voip-dienst niet in het geding is en dreigt met juridische stappen.

De hacker stelt dat de versleuteling van het Skype-protocol tien jaar lang veilig is gebleven, maar dat het via reverse engineering uiteindelijk toch is gelukt om het RC4 key expansion-algoritme te kraken. Op een weblog plaatste de hacker onder het pseudoniem Sean O’Neil de vermeende broncode, geschreven in C, vergezeld van een toelichting.

In de broncode is te lezen dat in december op het Chaos Communication Congress meer over de hack wordt bekendgemaakt. Ook zou de code zijn gepubliceerd omdat een deel van de hack al in handen van kwaadaardige hackers zou zijn gekomen. Sean O'Neil claimt ook al eerder contact met Skype te hebben gehad. De site waarop de code is gepubliceerd was op het moment van schrijven onbereikbaar, maar in de broncode staat ook geschreven dat deze niet in commerciële software mag worden gebruikt.

Het is nog onduidelijk welke gevolgen de vermeende hack heeft. Skype laat bij TechCrunch weten dat de publicatie van Sean O'Neil kwade gevolgen kan hebben, omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart. Toch zou de veiligheid niet in het geding zijn, zo claimt het bedrijf. Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.

IT-banen

Reacties (90)

Verwijderd 8 juli 2010 17:28

Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.

Waarom is het ondernemen van juridische stappen altijd de hoogste prioriteit voor een bedrijf. In plaats van zich hier mee bezig te houden, zouden ze het probleem moeten oplossen en werken aan een update die de vermeende exploit fixed.

Een tweede prioriteit zou het implementeren van een andere en betere versleuteling moeten zijn. Op deze manier moeten ze er in het vervolg achter zo'n lek komen door misbruik van mensen met verkeerde bedoelingen. Het is beter dat iemand de klok luid ipv dat hun klanten op voorhand de dupe zijn of kunnen worden van Skype's fouten.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:51]

Verwijderd @Verwijderd • 8 juli 2010 17:55

Het is beter dat iemand de klok luid ipv dat hun klanten op voorhand de dupe zijn of kunnen worden van Skype's fouten.

Koste me wat tijd om deze zin te ontcijferen ("klanten die op voorhand de dupe kunnen worden") maar je zegt dus feitelijk dat als er een versleuteling gekraakt word (moet het nog zien hoor, allemaal veel geblaat over weinig info) de maker ervan een fout maakt. Dat is onzin. Encryptie is net als alle beveiliging een ongoing process.

Maar als je denkt dat de hoogste prioriteit van Skype het dreigen met juridische stappen is past het allemaal wel in het plaatje. Ga AUB nooit in beveiliging werken, of als je het wel doet laat het ons even weten zodat we dit bedrijf kunnen vermijden.

kimborntobewild @Verwijderd • 12 juli 2010 01:31

Dat is onzin.

Wellicht wat te zwart-wit, maar om 't als onzin te bestempelen vind ik ook weer onzin. Ten eerste is er al winst te boeken de code in de communicy te gooien voordat 't gebruikt gaat worden. Dan zullen zoveel mensen naar de code kijken, dat de lekken wel gevonden zullen worden.
Weinig mensen zullen de tijd nemen om te reverse-engineeren. Moet je nagaan hoe snel de fout gevonden zou worden als veel meer mensen dat deden/konden. Beter is dus: vooraf de te gebruiken code al openbaar maken.
Natuurlijk levert dat minder geld op - immers, dan heb je geen monopolie meer. En daar zit 'm dus de kneep: puur voor 't geld, wordt onnodig onveilige code gebruikt.

OddesE @Verwijderd • 9 juli 2010 00:01

Is het überhaupt mogelijk om dit dicht te zetten?

Iedereen die DRM bestudeert heeft snapt het probleem: Je wil voorkomen dat de ontvanger van de informatie deze lekt... maar hoe sterk de encryptie ook is, je moet altijd de sleutel geven aan de ontvanger van de informatie... dus deze kan die gewoon decrypten. Waarom zou die persoon anders betalen voor een film, muziek of spel?

Dit kan je het probleem van het geheim noemen. Als je het geheim verklapt ben je de controle erover kwijt. Je kunt onmogelijk voorkomen dat degene aan wie je het hebt verklapt het doorvertelt. In de woorden van Daan Quakernaat: "Information wants to be free".

Terugkomend op Skype: Hoe kan Skype clients ter download aanbieden en tegelijkertijd voorkomen dat andere bedrijven gelijksoortige clients kunnen bouwen? Hoe kan Skype zijn netwerk zo dichtzetten dat alleen zijn eigen clients er gebruik van kunnen maken? Volgens mij is dit technisch niet mogelijk. Hun huidige implementatie maakt het gewoon heel lastig, meer niet. Net zoals DRM.

Team-RiNo

@Verwijderd • 8 juli 2010 17:52

Omdat het kraken op zich strafbaar is. Staat minimaal gelijk aan inbraak.

Had deze hacker het nou alleen bekend gemaakt aan Skype zelf dan was het waarschijnlijk anders afgelopen, maar hij koos ervoor om het bekend te maken inclusief werkende hack wat ten koste gaat van de veiligheid van alle Skype gebruikers.

blouweKip @Team-RiNo • 8 juli 2010 19:35

Hangt ervanaf waar het gedaan is, niet alle landen hebben achterlijke wetgeving mbt dit soort zaken.

Verwijderd @Verwijderd • 8 juli 2010 17:36

Skype is een eenmansbedrijf. Kan maar 1 ding tegelijk.

_{(moet ik echt <sarcasm> tags toevoegen?)}

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:51]

Casmo 8 juli 2010 17:18

Opzich niet zo'n goed nieuws. Ik dacht dat Skype bekend stond om de encryptie tussen gesprekken van verschillende gebruikers en dus niet afgeluisterd kon worden (wat een goed iets is imo).

Doordat deze versleuteling nu gekraakt is bovenstaande niet meer van toepassing.

Verwijderd @Casmo • 8 juli 2010 17:24

Nou de versleuteling iseen deel van het verhaal, bedoel als je het wil oncijferen dan zal het je wel lukken. Zeker met alle middelen die de Amerikanen hebben. Een ander deel van het verhaal is dat Skype een soort van P2P achtig protocol gebruikt om alle gesprekken te versturen, er is dus geen centrale plek waar alle gesprekken doorheen moeten. Hierdoor wordt het moeilijk om alle gesprekken te onderscheppen, zeker omdat het een mobiel protocol is dus je kan overal te wereld inloggen. Al zouden ze het gesprek onderscheppen dan komt de encryptie in het spel.

rvdven @Casmo • 8 juli 2010 17:54

Hoezo? Als het enkel het protocol is dat gekraakt is, dan is dat toch niet erg?
Bijv. het https protocol is ook algemeen bekend en toch is het mogelijk er een beveiligde verbinding mee op te zetten.
We moeten de resultaten dus nog even afwachten...

Verwijderd @rvdven • 8 juli 2010 18:15

De SSL techniek in het algemeen houdt nog goed zijn voeten in de grond al is het nu bijna een decennia oud, er is ook nooit een algemene crack geweest. Wat er wel is geweest dat iemand ooit rootcertificaten in handen kreeg waardoor h/zij weer fake certificaten kon uitgeven en het is ook gebeurd dat men de oudere certificate die met een MD5 hash werkte kon faken. Alleen het probleem was dat in de tijd dat dit bekend werd meeste certificate providers al over waren gestapt naar de SHA-1 versleuteling. Alleen RapidSSL had dat niet gedaan en dus was RapidSSL ook een van de weinigen (samen met een paar andere kleinere bedrijven) die gevoelig waren voor zo'n aanval. Meeste zichzelf respecterende bedrijven hebben hier helemaal geen last van gehad.

Pogostokje @Verwijderd • 9 juli 2010 01:09

Nou, eind vorig jaar was SSL anders nog behoorlijk in opspraak vanwege een flow in het design van SSL die het toestaat een reeds beveiligde verbinding door een andere host te laten voortzetten, met als gevolg bijvoorbeeld dat een ander verder kan communiceren met "jouw" beveiligde verbinding.

http://www.sslshopper.com/article-ssl-and-tls-renegotiation-vulnerability-discovered.html

Verwijderd @Pogostokje • 9 juli 2010 05:36

Mwah, in dat artikel klinkt het allemaal zo dramatische maar het was lang niet zo erg als dat jij en dat artikel wil doen geloven. Het IETF heeft regelmatig vergaderingen om de laatste hacks te bespreken en ze nemen ook elke vorm van misbruik van het SSL protocol zeer serieus, dus ook deze.

Het is niet echt een hack of een gat te noemen, het is misbruik van een feature in het protocol welke je moet gebruiken samen met een andere aanval. Pas als je een bepaalde niveau van toegang hebt dan pas kun je deze uitvoeren.

the attacks were hard to pull off in the real world, in large part because they appeared to target a rarely used technology known as client certificate authentication.

Fijn dat het IETF dan toch elke probleem zeer serieus neemt en toch probeert er een vorm van een oplossing voor te vinden.

Maar ik denk dat je een paar dingen door de war haalt. De ophef was niet vanwege dit probleem, dit probleem was maar minimaal. Het probleem was dat er een gat was gevonden in het OCS protocol waardoor ingetrokken certificaten als geldig konden voor doen. Dat was echt een probleem.

kimborntobewild @Verwijderd • 12 juli 2010 01:08

Fijn dat het IETF dan toch elke probleem zeer serieus neemt en toch probeert er een vorm van een oplossing voor te vinden.

Het woordje 'toch' is hier misplaatst. Alsof een oplossing voor dat probleem niet nodig zou zijn. Het feit dat iets weinig gebruikt wordt, is helemaal geen enkele reden om er dan geen oplossing voor te vinden als 't onveilig is.

Kettrick @Casmo • 8 juli 2010 17:21

Dat maak je op uit ?

omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart.

Er staat niets over het afluisteren van gesprekken, laten we even afwachten wat er precies gebeurd is

i7x 8 juli 2010 19:22

Skype stelt dat de veiligheid van zijn voip-dienst niet in het geding is en dreigt met juridische stappen.

O ja, dat klinkt echt heel logisch.

Goede actie overigens van de hacker om dit openbaar te maken. Als hij het kan kunnen andere (wellicht kwaadwillende) personen dit ongetwijfeld ook en dat wil je toch echt niet hebben wanneer je onder de indruk bent dat Skype juist veilig is. Uitermate triest weer van Skype om direct te gaan procederen. Volgens mij is het nog altijd Skype die een onvoldoende beveiligd product beschikbaar stelt. Zorg liever dat het goed komt met die beveiliging ipv centjes proberen te vangen voor een fout die ze voledig aan zichzelf te danken hebben.

OddesE @i7x • 9 juli 2010 00:11

O ja, dat klinkt echt heel logisch.

Ja, het is ook logisch, als je het bron artikel zou lezen.

Bijvoorbeeld:

De monopolist die als enige ter wereld verkeerslichten kan maken stelt dat nu zijn verkeerslichten nagemaakt kunnen worden de veiligheid in het verkeer niet in het geding komt, maar dreigt wel met juridische acties.

De maker van Kevlar, en enige leverancier van kogelvrije vesten, stelt dat nu zijn kogelwerende stof nagemaakt kan worden, de veiligheid van de dragers niet in gevaar komt, maar dreigt met juridische acties.

De maker van Tamiflu stelt, dat nu zijn medicijn tegen de Mexicaanse griep ook door andere fabrikanten gefabriceerd kan worden, de veiligheid van patiënten niet in gevaar komt, maar overweegt juridische acties.

... Moet ik doorgaan of snap je het nu?

Verwijderd @OddesE • 9 juli 2010 01:23

Je hebt het over fysieke veiligheid. Het zou wel apart zijn dat een Skype hack fysieke schade op zou leveren, vind je niet?

mvdejong 8 juli 2010 17:23

Skype laat bij TechCrunch weten dat de publicatie van Sean O'Neil kwade gevolgen kan hebben, omdat er spamaanvallen op Skype-gebruikers mee kunnen worden gestart.
Toch zou de veiligheid niet in het geding zijn, zo claimt het bedrijf.
Daarnaast zou Skype nagaan welke juridische stappen het eventueel tegen de hacker kan ondernemen.

OMFG. De klassieke reactie van een bedrijf dat het bord stevig voor de kop heeft gespijkerd.
Ontkenning en symptoom-bestrijding.

OddesE @mvdejong • 8 juli 2010 23:50

Jullie snappen het niet. Lees de source code dan, die heeft hij gewoon online gezet hoor!!

Alles wat dit is is een encryption/decryption functie. Je hebt gewoon nog een encryption key nodig hoor (de PIN code die hierboven genoemd werd)

En van wie krijg je die key? Juist, van de persoon aan de andere kant van de lijn als die jouw binnenkomende gesprek accepteert.

En wie heeft die key dus niet, en heeft dus helemaal niks aan deze functie? Juist, mensen die proberen af te luisteren.

Deze hacker heeft een mooie prestatie geleverd, maar ook hij beweert in zijn blog post (cached versie, origineel is down) helemaal niet dat je Skype gesprekken nu kunt afluisteren. Hierover zijn hij en Skype het dus gewoon eens.

typisch verhaal van klok en klepel dit...

Verwijderd @mvdejong • 8 juli 2010 17:35

Ja. Drie keer raden waarom?

Denk je eens in wat er zou gebeuren als Skype nu met een persbericht naar buiten zou komen met de melding dat Skype niet meer veilig is en afgeluisterd kan worden.

Onherstelbare reputatieschade heet dat.

Verwijderd @Verwijderd • 8 juli 2010 18:47

Die schade heeft Skype natuurlijk zelf in de hand. Ik ben helaas nergens in het bericht tegengekomen wanneer de hacker(s) dit voor elkaar kregen en gemeld hebben. Ik kan mij voorstellen dat men Skype enige tijd de tijd gegeven heeft dit uit te zoeken en hierna besloten heeft dit naar buiten te brengen omdat Skype wellicht geen gepaste maatregelen genomen heeft.

Resultaat, code wordt naar buiten gebracht en Skype wordt op de knieën gedwongen nu dus letterlijk iets te doen aan de beveiliging wilt men erger voorkomen.

Daarnaast, het als bedrijf zelf naar buiten brengen dat e.e.a. lek is en gefixt wordt (of is) is nog altijd gezonder dan dat een pik (hacker) de code naar buiten brengt. Een bedrijf dat applicaties ontwikkeld en zelf haar fouten naar buiten brengt en direct oplost is nog altijd betrouwbaarder dan een bedrijf die dit in de doofpot mietert... Een beetje vergelijkbaar met de google methode zegmaar, wellicht had google claims gehad tot in de miljoenen, nu zou het duizenden kunnen blijven doordat het eerlijkheidshalve al e.e.a. naar buiten bracht. Het feit wordt er niet minder om, de eerlijkheid wel en dat kost c.q. levert nogal meer op.

TWBMS 8 juli 2010 17:18

Vraag is of het gebruikt kan worden om al onderschepte gesprekken te kunnen ontcijferen.

[Reactie gewijzigd door TWBMS op 22 juli 2024 23:51]

Verwijderd @TWBMS • 8 juli 2010 20:42

quote: http://techcrunch.com/201...to-be-reverse-engineered/
Someone claims to have reverse-engineered the proprietary encryption protocols Skype has put in place to prevent developers from building their own Skype desktop clients or Web-based services based on the company’s in-house technology.

Wordt inderdaad niet echt duidelijk uit het artikel maar dat is dus niet het geval. Het gaat om het protocol dat Skype hanteert om de verbindingen te maken. Ik vroeg me eerder al af waarom er geen andere Skype clients zijn dan de eh.. Skype client. Ze bestaan wel.. maar niet echt een letterlijke vervanger, ik vermoed gebaseerd op de API die waarvoor je eerst toestemming moet krijgen en welke nog in Beta status verkeerd.

quote: http://en.wikipedia.org/wiki/Skype_protocol
The Skype network is not interoperable with most other VoIP networks without proper licensing from Skype. Digium, the main sponsor of Asterisk PBX released a driver licensed by Skype dubbed 'Skype for Asterisk' to interface as a client to the Skype network, however this still remains closed source.[1] Numerous attempts to study and/or reverse engineer the protocol have been undertaken to reveal the protocol, investigate security or to allow unofficial clients.
...
Signaling is encrypted using RC4; however, the method only obfuscates the traffic as the key can be recovered from the packet. Voice data is encrypted with AES.[3]
The Skype client's application programming interface (API) opens the network to software developers. The Skype API allows other programs to use the Skype network to get "white pages" information and manage calls.

Hiermee is je vraag beantwoord, voor zo ver ik weet is AES nog niet gekraakt..

Overigens lijkt het dus vanaf nu wel mogelijk om via thirdparty code aan te melden op een Skype server, vervolgens zelf pakketten te genereren die volgens Skype zijn methode versleuteld worden en vervolgens geaccepteerd worden door een andere client. Op die manier kunnen ze dus veel makkelijker SPAM sturen via Skype.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:51]

FireDrunk

@Verwijderd • 8 juli 2010 22:22

Hoezo? Je moet nog steeds expliciet toestemming geven om gebeld/berichten te ontvangen van iemand?
Dat is hetzelfde als, MSN protocol is gekraakt, nu kan er meer spam verstuurd worden..

Ik heb nooit last van spam op MSN (op wat virussen van vrienden na)

Plopeye @FireDrunk • 8 juli 2010 23:47

Je zegt het dus al, op wat virussen van vrienden na... dit kunnen dus ook spam/virus aanvallen zijn die helemaal niet van de computer van vrienden komen maar slechts hun naam gebruiken...

plankhorst 8 juli 2010 17:21

Hackers die zulke gegevens vrij geven horen zwaar gestraft te worden. 5 jaar cel lijkt mij niet verkeerd.

svenk91 @plankhorst • 8 juli 2010 17:23

Liever dit dan dat ze het geheim binnen de hackergemeenschap houden ofzo. Nou kan er wat aan gedaan worden!

DirkZzZ @plankhorst • 8 juli 2010 17:24

Ik heb liever dat het zo gebeurt dan dat alles gewoon in de doofpot word gestopt.
Nu moeten ze er wel iets aan doen.

TGEN @plankhorst • 8 juli 2010 17:26

Hoezo? Dit is in feite niets anders dan het oplossen van een complex stel vergelijkingen.

-AzErTy- @plankhorst • 8 juli 2010 17:35

Kan je dat ook onderbouwen?
Hetgeen de hacker doet is niets anders dan het oplossen van een (ingewikkeld) wiskundig probleem. Hijzelf doet er niks mee maar brengt het juist onder de aandacht in de hoop dat Skype stappen onderneemt om zijn users beter te beveiligen.

blouweKip @plankhorst • 8 juli 2010 19:34

maw: je steekt liever je kop in het zand?

OddesE @plankhorst • 8 juli 2010 23:35

5 jaar cel lijkt mij niet verkeerd

Gelukkig bestaat er nog zoiets als vrijheid van meningsuiting. Of moet ik gewoon zeggen: Vrijheid?

De techniek die Skype gebruikt om zijn netwerkverkeer te versleutelen is nou niet bepaald een staatsgeheim of zo. Het is niet alsof deze hacker voor de russen spioneert. Wat hij heeft gedaan is uitgezocht hoe Skype doet wat het doet en zelf een eigen implementatie gebouwd die hetzelfde doet, zodat deze compatible is. Dit heet 'reverse engineering' en is bijvoorbeeld de reden dat wij allemaal vandaag de dag kunnen werken op PC's die niet gemaakt zijn door IBM.

Dat willen verbieden gaat héél erg ver imho.

Verwijderd @plankhorst • 9 juli 2010 11:00

Hij heeft het protocol gereverse-engineered. Dit kan je doen zonder ook maar op 1 PC in te breken. Je hebt de programmacode immers gedownload en je hoeft alleen in het geheugen van je EIGEN pc te kijken. Het is een hoop werk en er is aardig wat specialistische kennis voor nodig, maar het verdient de naam 'hacker' eigenlijk niet eens. Laat staan een gevangenisstraf...

Nu heeft hij de kennis om eigen Skype clients te bouwen, wat interoperabiliteit bevorderd en het toestaat Skype clients te maken voor allelei operating systems waar tot nu toe geen officiele Skype voor was. Of om Skype te integreren in programma's die meerdere protocols voor VOIP ondersteunen. Met beveiliging kraken heeft dit niets te maken!

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:51]

computerjunky 8 juli 2010 17:22

Skype stelt dat de veiligheid van zijn voip-dienst niet in het geding is en dreigt met juridische stappen.

als het er niet minder veilig van word waarom dan dreigen met juridische stappen ?
wees blij dat iemand heefd aangetoond dat je systeem te hacken valt dan kan je er wat aan doen.
als ik skype was zou ik hem een zakje geld geven om te bedenken hoe het niet meer mogelijk is.

[Reactie gewijzigd door computerjunky op 22 juli 2024 23:51]

Verwijderd @computerjunky • 8 juli 2010 17:31

als het er niet minder veilig van word waarom dan dreigen met juridische stappen ?

Misbruik van hun software/diensten ?

OddesE @computerjunky • 8 juli 2010 23:40

Zie het zo: Deze software stelt waarschijnlijk programmeurs in staat een Skype client te bouwen die zich kan aanmelden bij het Skype netwerk en als een reguliere client mee kan draaien. Om er dan gesprekken mee te voeren heb je nog steeds een account nodig en je gesprekken worden ook nog steeds versleuteld.

Oftewel de privacy loopt geen gevaar want de gesprekken zijn nog steeds niet af te luisteren... maar Skype verliest wel het monopolie op het Skype netwerk en kan niet makkelijk meer voorkomen dat ook anderen clients bouwen. Dit breekt de markt open voor andere software leveranciers, net zoals reverse engineering van het BIOS de markt voor IBM-compatible PC's openbrak. Daar zijn ze niet blij mee en dus dreigen ze met juridische stappen... die waarschijnlijk niet gaan werken...

DRaakje 8 juli 2010 17:22

Als ik hem was had ik toch even bij de NSA aangeklopt. Blijkbaar een flinke prestatie...

NSA offers billions for skype pwnage

wizzkizz @DRaakje • 8 juli 2010 20:23

Die beloning kan natuurlijk ook juist een lokkertje zijn: criminelen zijn dan geneigd om Skype te blijven gebruiken en blijven in de waan niet afgeluisterd te kunnen, terwijl ze dat stiekem wel worden. Als ze denken veilig te communiceren, zullen ze minder snel in code communiceren en is het voor de NSA gemakkelijker om hun echte boodschap te onderscheppen.

D.oomah @wizzkizz • 8 juli 2010 23:17

Zo, heeft er ook iemand dat boek van Dan Brown gelezen. "Ja, we maken een nieuw veiligheid protocol wat niet te hacken is, zelfs niet door brute force, maar stiekem wel een backdoor heeft wat alleen het NSA weet"

OddesE @DRaakje • 8 juli 2010 23:45

De encryptie protocollen die Skype gebruikt om het netwerkverkeer te encrypten zijn nog niet gekraakt (daarover zijn zowel de hacker als Skype het eens, dus wie zijn wij om er over te twijfelen?), het gaat om het opzetten van de verbinding.

Net zoals het feit dat iedereen een browser kan bouwen met SSL beveiliging er in (die https sites beveiligt) nog niet betekent dat iedereen nu de communicatie met die sites zomaar af kan luisteren.

De NSA en andere partijen zullen er aan moeten wennen dat afluisteren steeds moeilijker, zo niet onmogelijk wordt. Daarom moet je ook tegen meer vrijheid voor de politie m.b.t telefoontaps e.d. zijn. Echte criminelen kunnen volledig encrypted hun gang gaan en normale burgers worden afgeluisterd.

Verwijderd @DRaakje • 8 juli 2010 19:00

Misschien zijn dat wel die kwaadaardige "hackers" waar hij het over had...

[Reactie gewijzigd door Verwijderd op 22 juli 2024 23:51]

Pesticide 8 juli 2010 17:17

ik wil niet weten wat skype tegen de hacker gaat doen, ik wil weten hoe ze hun zaakje beter gaan beveiligen

mmjjb @Pesticide • 8 juli 2010 17:27

ik wil weten hoe ze hun zaakje beter gaan beveiligen

Waarom?
Het is nog niet eens zeker dat de beveiliging gekraakt is, hij claimt dat hij de versleuteling heeft gekraakt.. maar of het echt zo is is nog niet bekend.

Daarnaast zegt skype dat de veiligheid nog wel goed zit,
ik neig eerder te geloven wat skype zegt dan een of andere 'onbekende' hacker die zegt het te hebben gehackt.

Verder neem ik aan als het daadwerkelijk gekraakt is, dat skype wel met een update komt die de versleuteling weer een graadje op krikt.

"deel van de hack al in handen van kwaadaardige hackers zou zijn gekomen"

Hackers die zulke gegevens vrij geven horen zwaar gestraft te worden. 5 jaar cel lijkt mij niet verkeerd.

Inderdaad hij ontdekt het, report het, en geeft het vervolgens waarschijnlijk in verkeerde handen..

[Reactie gewijzigd door mmjjb op 22 juli 2024 23:51]

Verwijderd @mmjjb • 8 juli 2010 17:49

ik neig eerder te geloven wat skype zegt dan een of andere 'onbekende' hacker die zegt het te hebben gehackt.

Verder neem ik aan als het daadwerkelijk gekraakt is, dat skype wel met een update komt die de versleuteling weer een graadje op krikt.

Uhm... ik neig er naar eerder een klokkenluider te geloven dan een groot commercieel bedrijf dat heel graag wil dat niemand de klokkenluider gelooft... Zeg me anders maar waarom Skype met advokaten gaat zwaaien?

En ja, Skype zal een patch uitbrengen om de beveiliging te verbeteren.... zodra ze dit ontwikkeld hebben.

OddesE @Verwijderd • 8 juli 2010 23:25

Zo lang jullie allemaal nog posten over http (niet https) hier op Tweakers.net en je wachtwoord van je -email meermaal daags in plaintext over het netwerk versturen (als je POP gebruikt, wat vrijwel iedereen doet) zou ik me over de encryptie van die Skype berichtjes nog niet zoveel zorgen maken...

Verwijderd @OddesE • 9 juli 2010 10:57

Mwuah, dat valt mee hoor. De meeste internet gebruikers gebruiken tegenwoordig hotmail of gmail, beide zijn gebaseerd op https (gmail voor de hele site, hotmail iig de authenticatie).

rvec @mmjjb • 8 juli 2010 19:06

Doet me denken aan het nieuwsbericht waarin wat stond over hackers die windows-bugs willen gaan publiceren om ervoor te zorgen dat microsoft wat meer zijn best doet.

Lijkt me een goede zaak, anders blijft er een kleine groep hackers die er misbruik van maakt, en een bedrijf wat daar niks aan wil doen omdat de schade voor het bedrijf maar klein is. Zodra zo'n bug openbaar is gemaakt moet het bedrijf het wel gaan oplossen.

engelbertus 8 juli 2010 23:51

de veiligheid is dus dat de gesprekken nog steeds goed versleuteld zijn. misschien dat juist de clientside gereverse engineerd is, zodat de server denkt dat de client een gewone officiele skype client is, met een geldige account, en dat dus zodoende met een valse account spam of fishingberichten kunnen worden verstuurd, of dat rechtstreekse verbindingen met clients kunnen worden gelegd, doordat de hack juist een server van skype "simuleert" en dat je dus meer last van spam en ongewenste berichten kunt krijgen.

daar wordt de communicatie dan niet minder veilig op. maar door social engineering kunnen en phishingtechnieken kunnen ze we slachtoffers in de val lokken.

kaaas @engelbertus • 9 juli 2010 04:36

Je kan met social engeenering nu ook al mensen in de val lokken.
Je geeft zelf al het voorbeeld van phishing.

Op dit item kan niet meer gereageerd worden.

Hacker claimt Skype-versleuteling te hebben gekraakt

Lees meer

IT-banen

Reacties (90)

Sorteer op:

Weergave: