Reverse-engineeringproject wil Skype 'open' maken

De Russische programmeur Efim Bushmanov is bezig om Skype te 'reverse engineeren' om het, naar eigen zeggen, opensource te maken. Met het eerste vrijgegeven resultaat is nog geen verbinding met het huidige netwerk mogelijk.

De reverse engineering betreft oude versies van Skype, namelijk 1.x/3.x en 4.x. "Je hebt een unieke kans om een blik op Skypes interne protocol en encryptie te werpen", aldus de ontwikkelaar op zijn blog. Hij geeft echter ook toe dat het nog om testcode gaat, die alleen werkt met Skype 1.4 en via een omweg met 3.x en 4.x, maar die geen verbinding kan maken met supernodes van het huidige 5.x-netwerk.

De broncode van Skype is notoir gesloten en diverse landen hebben bij het bedrijf aangeklopt om hun veiligheidsdiensten toegang te geven en afluisteren mogelijk te maken. Ook zijn er al jaren geruchten over backdoors die de fabrikant ingebouwd zou hebben voor de Amerikaanse veiligheidsdienst.

Bushmanovs doel is om Skype 'opensource te maken'. Zoals verschillende ontwikkelaars echter al constateerden, maakt hij gebruik van aangepaste Skype-binarybestanden en eerdere reverse-engineeringprojecten als Vanilla Skype en Vests Corporations werk. De kans lijkt dan ook groot dat de software niet opensource kan worden volgens de geaccepteerde definitie van de term, schrijft H-Online. Ook zal het publiceren van de code waarschijnlijk tot gevolg hebben dat de Rus binnenkort bericht krijgt van de advocaten van Skype en van Microsoft, dat Skype heeft overgenomen.

Reacties (96)

mard0 4 juni 2011 04:54

http://www.phoronix.com/s...?page=news_item&px=OTUyNg
Sype zelf is er in ieder geval flink op tegen

cyberstalker @mard0 • 4 juni 2011 08:32

Interessant dat Skype het in dat bericht heeft over spamming en fishing, terwijl dit daar volgens mij helemaal niets mee te maken heeft.

Verwijderd @cyberstalker • 4 juni 2011 13:39

Jah inderdaad de reactie van Skype lijkt min of meer irrelevant tot het nieuwsbericht

simplicidad @mard0 • 4 juni 2011 13:53

Bedrijven ik snap ze soms niet. Door te zeggen dat het niet mag zullen ze het omgekeerde bekomen en dat zeker met een community die niet echt ms minded is.

Abbu-kun 3 juni 2011 18:04

Ik zag her en der staan dat mensen denken dat er niks/weinig over het Skype protocol bekend is. Maar hier is wel degelijk eerder onderzoek naar gedaan.

Een groot gedeelte van van het Skype protocol bestond uit geëncrypte data niet voor privacy maar voor obfuscation. (Er zit ook een encryptie laag in voor privacy natuurlijk). Een probleem met Skype (was) dat hij iedereen vertrouwt die Skype spreekt, en zo kon je de sleutels voor de encrypte bemachtigen.

PDF Alert: A Silver Needle In The Skype

Hier werd vooral gekeken naar het protocol. Het verder reverse-engineeren van de client lijkt me een goede zaak ivm met eerder genoemde mogelijkheid voor achterdeuren.

[Reactie gewijzigd door Abbu-kun op 28 juli 2024 16:11]

junkchaser 3 juni 2011 16:36

Is dat niet illegaal ?

Verwijderd @junkchaser • 3 juni 2011 16:37

Inderdaad
Zal vast wel iets over in de EULA van skype staan
EDIT:Gevonden:

2.3 No Modifications: You will not undertake, cause, permit or authorize the modification, creation of derivative works, translation, reverse engineering, decompiling, disassembling or hacking of the Skype Software or any part thereof except to the extent permitted by law.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 16:11]

Booster @Verwijderd • 3 juni 2011 16:42

except to the extent permitted by law

Dit is natuurlijk het belangrijkste stuk.

http://en.wikipedia.org/wiki/Reverse_engineering

Over RE in de EU:

Article 6 of the 1991 EU Computer Programs Directive allows reverse engineering for the purposes of interoperability, but prohibits it for the purposes of creating a competing product, and also prohibits the public release of information obtained through reverse engineering of software.

Met dit stuk alleen al, kun je advocaten jarenlang bezig houden.

phonixor @Booster • 3 juni 2011 17:58

mmmh omdat het onzin is... hoe kun je interoperabiliteit hebben zonder communicatie?
"the public" is ook een onzin term in een opensource gemeenschap... dat kan iedereen en niemand zijn...
en competing product... als het gratis word... kan het nog wel competing zijn... ik kan me niet echt voorstellen dat je iets anders wilt met het skype protocol dan ook bellen... dus daar mag het weer niet... al zijn er rechter uitspraken die hier een winstoogmerk belangrijk vinden...

sypie @phonixor • 3 juni 2011 18:03

Voor de grootte van Skype is weinig meer competing. Mocht het vrijgegeven worden dan gaat echt niet de hele Skype community het gebruiken, dus niet competing genoeg om Skype zelf van de troon te stoten over hun eigen protocol.

wica @sypie • 3 juni 2011 20:52

Zodra er te veel reclame, en dan voor de grote massa irritante reclame. Dan zal deze massa wel om zich geen kijken. Net zoals met MSN.

Verwijderd @wica • 5 juni 2011 12:19

De grote massa zal het een worst wezen. De grote massa kijkt ook nog en masse tv ondanks die verachtelijke hoeveelheid reclame om over de geluidskracht maar niet te spreken.
Zo zal het ook gaan met skype. Als de grote massa z'n ding kan doen zonder daarbij gehinderd te worden, dan lopen ze echt niet zomaar weg.

Verwijderd @Verwijderd • 6 juni 2011 10:35

Ja is mooi die hogere/hardere tonen in reclame. Kan je je geluid gelijk weer halveren.

kimborntobewild @Verwijderd • 10 juni 2011 07:21

@Vorax:
Op de decibel-schaal zal je zo'n 20 decibel naar beneden moeten, om een gelijkaardige geluidsdruk te hebben als de film die je daarvoor net zag. Dat is niet halveren, maar een factor 100 naar beneden

humbug @phonixor • 3 juni 2011 21:26

Een product kan met een ander product moeten communiceren. Simpel voorbeeld een email client en server. Als je het protocol van de server reverse engineert om er een compatibele client voor te schrijven, is dat legaal. Maak je een alternatieve server dus niet. Hoe dat in de P2P wereld uitpakt is voor mij een vraagteken maar het lijkt me dat een alternatieve Skype client niet aan de voorwaarden van niet concurreren voldoet.

Elk product wat een ander product kan vervangen concurreert ongeacht de prijs (en ja gratis is ook een prijs)

--Andre-- @phonixor • 4 juni 2011 15:55

En daarnaast, hoezo concurerend. Van skype naar skype bellen is gratis, maar van skype naar telefoonnummer bellen kost geld, nietwaar?

En als een andere client ook de feature ondersteund naar telefoonnummers te bellen vangt skype microsoft toch nog steeds geld. Met andere woorden, meer kansen om geld te vangen voor de eigenaar van skype.

highmastdon @Verwijderd • 4 juni 2011 00:00

Eula is niet bindend in een rechtzaak. Sterker nog: de wet staat boven elke overeenkomst.

Arnoud Engelfriet @highmastdon • 4 juni 2011 10:20

In zulke algemene termen is je opmerking onjuist. EULA's kunnen prima rechtsgeldig overeengekomen worden, en zijn dan bindend tussen partijen. De wet zegt verrassend weinig over softwarelicenties. Een EULA die zegt "beperkt aansprakelijk en op 3 pc's te gebruiken" is niet aan te vechten, bijvoorbeeld.

Specifiek voor reverse engineeren is er wel een clausule, maar die is zó zwak dat je er feitelijk weinig aan hebt. Je mag kijken hoe de software werkt (met handjes op de rug naar een netwerksniffer staren), en je mag voor interoperabiliteit software uit elkaar pluizen maar géén kloon maken met wat je ontdekt. En klonen is nou net wat je eigenlijk wil na reverse engineeren.

Verwijderd @Arnoud Engelfriet • 4 juni 2011 20:49

Aangezien deze persoon blijkbaar in Rusland zit is natuurlijk wel de Russische wetgeving van toepassing. Iemand enig idee hoe ze daar over reverse engineering denken (ik meen me van een eerdere zaak te herinneren dat daar veel meer toegestaan is)?

kimborntobewild @Verwijderd • 10 juni 2011 07:59

Als je als Rus iets met USA software doet, dan is natuurlijk niet alleen de Russische wetgeving van toepassing, maar ook die van de USA.

kimborntobewild @Arnoud Engelfriet • 10 juni 2011 07:58

Een EULA die zegt "beperkt aansprakelijk en op 3 pc's te gebruiken" is niet aan te vechten, bijvoorbeeld.

Maar in dat geval is 't gewoon een EULA die zich aan de wetten houdt, en is DAT de reden dat 't geen zin heeft zo'n EULA aan te vechten. Volgens mij geldt nog steeds wat highmastdon zegt: de wet kan een EULA altijd overrulen.
Zelfs hetgene wat jij noemt: want wat is een PC precies? Een combinatie van een bepaald moederbord met een bepaald OS? Etc. Kan eindeloos over worden gediscussieerd. Gewoon iets dus waar een rechter een uitspraak over zal kunnen doen, en niet bij voorbaat de rechtzaak afwijzen.

coptician @Verwijderd • 3 juni 2011 16:41

"Extent premitted by law."

Van wiki:

"In the United States even if an artifact or process is protected by trade secrets, reverse-engineering the artifact or process is often lawful as long as it is obtained legitimately."

Bron:

http://en.wikipedia.org/wiki/Reverse_engineering

Dus dit project is niet per definitie in strijd met de wet of wetten.

Verwijderd @coptician • 3 juni 2011 17:16

Volgens mij mag dit gewoon, reverse engineering.

Zo is ook Samba gemaakt, en hebben toen der tijd diverse bedrijfjes ook een Exchange kloon gemaakt.

Met samba was het nog een beetje een apart verhaal, omdat er op een gegeven moment MS wat specificaties had vrijgegeven en er werd vanuit de samba community expliciet opdracht gegeven om NIET naar de specificaties te kijken, dit ivm licentie problemen met de huidige community en sourcecode.

Verwijderd @Verwijderd • 3 juni 2011 16:40

Welke voorwaarden? Reverse engineeren is in de USA expliciet toegestaan als je een compatibele implementatie wilt maken, en in Rusland zal hij meer te duchten hebben van de staatsveiligheidsdiensten dan van MS als hij eventuele achterdeurtjes zou ontdekken en eruit slopen.

Garyu @Verwijderd • 3 juni 2011 16:41

Europees recht staat dan weer wel een bepaalde vorm van reverse engineering toe, als het daarbij gaat om het interoperabel maken van software met andere software. Dus misschien dat dat te gebruiken is?

El_ByteMaster @Verwijderd • 4 juni 2011 00:49

Uiteraard zal Efim zeggen dat hij deze licentie nooit gezien heeft, laat staan geaccepteerd.

Dit was een van de argumenten van GeoHot m.b.t. PSN, daarom moest Sony zich door allerlei bochten wringen om aan te tonen dat GeoHot wel de PSN EULA geaccepteerd had. Door de schikking is dit nooit uitgevochten.

Verwijderd @Verwijderd • 4 juni 2011 02:31

Ik kan me hier gigantisch in vergissen. Maar zou hij niet in theorie de software moeten installeren om tot het punt te komen waarin hij deze overeenkomst moet accepteren? Als hij de software nooit installeert heeft hij dus geen overeenkomst met ze, waarbij het dus moeilijk wordt om hem aan de End Users License Agreement te houden, hij is immers geen End User.

Booster 3 juni 2011 16:38

Ik vraag me af of het nuttig is om specifiek deze versies van het netwerk te reverse-engineren. Als het doel echt is om Skype open-source te 'maken', waarom dan niet heel specifiek concentreren op de laatst beschikbare versie? Zo creëer je wellicht wat momentum door de vooruitzichten van een werkende 'open' client.

Nu is het èn niet onmiddelijk nuttige data èn krijg je toch een leger advocaten over je heen.

Icekiller2k6 @Booster • 3 juni 2011 16:47

voor progress of development. klinkt misschien raar als non developper..

maar het idee is
versie 1 bevat basis idee
versie 2 verbetering van probs etc
versie 3 dingen toevoegen
versie 4 features

etc.. als je bij versie 4 zou beginnen zou je dus alles in 1 keer moeten doen..
terwijl als je begint bij 1 je de basis hebt (iets wat werkt) waar je op voort kunt.. dit is ook veel beter voor "motivatie".. als je 3 - 4 maanden moet bezig zijn eer je iets ziet dat het werkt en je goed op weg bent tegen 1 maand .. Ik ken dit soort projecten heb me bezig gehouden met clean room reversing van een GPS chip voor software te schrijven hiervoor..

Eerst uitgezocht "hoe" ze denken.. dan gezocht van hoe ze de 1ste stap van initialisatie doen en zo door.. Als ik meteen ging beginnen met _alles_ te reversen met elke extra "parameter" voor het programma te starten.. dan was ik waarschijnlijk veel minder gemotiveerd.

Verwijderd @Icekiller2k6 • 3 juni 2011 23:47

lol...ik dacht het "clean room design" was en "reverse enginering" (bijv. cyrix vs intel cpu)

Clean room reverse is dan weer nieuw voor mij

[Reactie gewijzigd door Verwijderd op 28 juli 2024 16:11]

Verwijderd @Booster • 3 juni 2011 16:44

Volgens mij zijn er van alle versies nog supernodes beschikbaar, dus zal je toch ergens moeten beginnen.

Joseph 3 juni 2011 16:48

Wat dit heeft voor nut? Microsoft zal het protocol en encryptie protocol waarschijnlijk compleet op de schop gooien. Dan werkt het sowieso niet meer.

Dan worden direct Mac en Linux users eruit gegooit, en Windows gebruikers krijgen een nieuwe WLM via Windows Update, die een ingebakken Skype client heeft. Vervolgens zullen Linux en Mac users een andere manier van communiceren moeten vinden

(Nu ga ik er wel uit dat MS wel iets voor Mac gaat doen, Linux gebruikers kunnen het denk ik zeker shaken. De Linux client zit nog op versie 2.1)

humbug @Joseph • 3 juni 2011 21:31

Waarom zou Microsoft het product wat men net gekocht heeft vernietigen? Net zoals er een microsoft office voor de mac bestaat zal men Skype ook op andere OSen blijven ondersteunen.

Verwijderd @humbug • 4 juni 2011 07:33

Om van de concurrentie af te komen.

cyberstalker @Joseph • 3 juni 2011 16:59

Compleet op de schop gooien zie ik op heel korte termijn eigenlijk niet gebeuren. Dit zou betekenen dat iedereen *moet* updaten en anders geen verbinding meer kan maken.

Jan-Kees met zijn twee linkerhanden snapt daar natuurlijk helemaal niets van en zal besluiten dat Skype 'kapot' is en vervolgens een alternatief zoeken.

De linux client zit overigens sinds korte tijd op versie 2.2, hoewel ik die nooit betrouwbaar aan de praat heb kunnen krijgen.

Verwijderd @Joseph • 4 juni 2011 02:37

Als dit lukt heb je een goeie basis om een nieuwe voip dienst op te zetten. Misschien wel verbinden met een eigen smaak supernodes. Sure, microsoft gooit alles op de schop, maar de opensource community zou het kunnen omarmen en verbeteren, waarna het zijn eigen weg gaat en misschien zelfs de skype wordt die we wilden maar nu langzaam door onze neus geboord krijgen.

--Andre-- @Joseph • 4 juni 2011 15:56

Daar ben ik eigenlijk wel blij om. De hogere versienummers hebben een hoog bloat gehalte.

Lukse @Joseph • 3 juni 2011 16:53

Mijn gedacht idd.
Microsoft kennende, integreren ze Skype volledig in hun eigen producten en houdt Skype, zoals we het nu kennen, gewoon op te bestaan.

HerrPino @Lukse • 4 juni 2011 23:31

Lijkt me een erg domme zet van Microsoft. Skype wordt veel door bedrijven gebruikt en de meeste grote bedrijven gebruiken een mix van verschillende platformen. Als Microsoft de support van OSX en Linux dropped dan droppen wij (bedrijf van >30000 werknemers wereldwijd) Skype.

Ik ben wel bang dat de Linux versie (als dat zou kunnen), op een nog lager pitje komt te staan. En dat begint binnen ons bedrijf een probleem te vormen.

Aham brahmasmi @Lukse • 3 juni 2011 21:35

Microsoft kennende, integreren ze Skype volledig in hun eigen producten en houdt Skype, zoals we het nu kennen, gewoon op te bestaan.

Onwaarschijnlijk dat ze de hele branding van Skype zomaar in de prullenbak zouden gooien.

BeefHazard 3 juni 2011 16:31

Is dit wel handig? Straks moeten we al oppassen als we Skype downloaden, voor een fake. Om van te leren, leuk. Maar ik denk eigenlijk dat mensen dit gaan gebruiken om een skype-looking virus te maken.

Bonez0r @BeefHazard • 3 juni 2011 23:56

Dan download je toch gewoon vanaf microsoft.com of zo? Ik denk niet dat je je dan zorgen hoeft te maken dat het een fake versie is (al kan natuurlijk elke site gekraakt worden).

Verwijderd @BeefHazard • 3 juni 2011 16:37

Onzin het wordt gewoon net als pidgin alleen dan speciaal voor skype.
Dit project zal ook wel een andere naam krijgen aangezien ze de naam Skype niet eens mogen gebruiken.

bbob

Skype

@Verwijderd • 3 juni 2011 18:53

Als het open is, is de kans idd groot dat je malware krijgt in allerlei vormen.

De naam mogen ze niet gebruiken het het protocol ook niet. Meen me zelf te herinneren dat ebay die skype kocht niet de rechten op het protocol had en dat later heeft moeten kopen.

Daarnaast zal ms er alles aan doen om het gesloten te houden en zeker ook mensen aanpakken die er open source van maken. Dan is er nog de mogelijkheid dat ze de software updaten naar nieuwere stand die niet met de oude werkt en daardoor het spel van voren moet beginnen.

El_ByteMaster @bbob • 4 juni 2011 00:42

De naam mogen ze niet gebruiken het het protocol ook niet.

De naam Skype heeft uiteraard dezelfde bescherming als andere handelsmerken, maar enige vorm van 'bescherming' voor het protocol lijkt me toch sterk. Skype's eigen implementatie valt onder het auteursrecht, maar een eigen implementatie niet. Het enige waar je nog aan kan denken is patenten, maar die moeten dan wel in Rusland geldig zijn. Wie dit importeert is zelf verantwoordelijk voor het voldoen aan locale wetten.

mae-t.net @bbob • 4 juni 2011 19:29

Is die kans wel zo groot? Ben je ooit malwareversies tegengekomen van MSN of ICQ, of van wat voor andere open software dan ook?

Overigens is reverse-engineering met interoperabiliteit als doel onder de meeste copyrightwetgevingen gewoon toegestaan, zij het met genoemde restricties zoals het clean-room gebeuren. En terecht, lijkt me zo.

[Reactie gewijzigd door mae-t.net op 28 juli 2024 16:11]

defixje @Verwijderd • 3 juni 2011 20:42

Dan zit ik gelijk met de vraag. Waarom mag Pidgin en andere SIP clients wel op het Skype netwerk en zou deze reverse engineer versie dan niet mogen?

Blijft toch zijn eigen code?

thegve @defixje • 3 juni 2011 20:46

SIP clients op het skype netwerk? Skype heeft zijn eigen gesloten protocol ( zo ongeveer het onderwerp van dit bericht ), daar kan Pidgin echt niet op.
Ik heb wel eens iets vernomen (maar ben geen Windows gebruiker), dat er op Windows wel eens iets gedaan is met een Skype DLL gebruiken en daarmee verbinden. Maar dat is gewoon de originele Skype DLL in dat geval, dan heb je nog steeds geen inzicht in het protocol.

analog_ @thegve • 3 juni 2011 21:17

Klopt, je pidgin start een Skype app/dll op de achtergrond en leest feitelijk je skype instance uit en relayt die naar je pidgin.

sypie @Verwijderd • 3 juni 2011 18:01

Dan moet Microsoft eerst aan de voorwaarde gaan voldoen dat ze zelf geen stukken code kopiëren. Volgens mij kan dat nog even duren.

humbug @sypie • 3 juni 2011 21:17

En welke stukken code gebruikt Microsoft dan illegaal?

Verwijderd @humbug • 3 juni 2011 23:42

als er reverse enginering gepleegd wordt (net als MS ook deed en doet) wat is DAAR dan illegaal aan?

kidde

Open source

@Verwijderd • 4 juni 2011 02:54

Hangt eraf of het 'cleanroom reverse engineering' is of niet, en onder welk land de jurisdictie valt.

In bepaalde regio's waaronder de VS is 'reverse engineering' verboden, dus dat je én onderzoek doet en daarmee protocollen omschrijft, én je eigen onderzoek gebruikt om een nieuw programma te maken.

Vandaar de 'cleanroom' aanpak: 1 team doet onderzoek en omschrijft / documenteert de standaard, 1 ander team gebruikt die documentatie voor het schrijven van programma's. Dit is o.a. succesvol toegepast door het Samba-team voor het reverse engineeren van Microsoft's SMB protocol.

Verder is in de VS dikwijls cryptografisch onderzoek van DRM-schema's verboden; o.a. de DRM van het RTSP-protocol mag je simpelweg niet onderzoeken.

[Reactie gewijzigd door kidde op 28 juli 2024 16:11]

Abbu-kun @sypie • 3 juni 2011 18:11

Microsoft speelt misschien ook niet altijd volgens de spelregels. Maar "oog omg oog tand om tand" of "ja maar hij doet het ook!" zijn niet echt sterke argumenten in een rechtzaak.

Een goede opmerking over wat wel of niet kan bij reverse engineering staat al hieronder.

NjitsSs @BeefHazard • 3 juni 2011 16:33

Of nog veel irritanter: Bots die automatisch mensen kunnen opbellen over het Skype netwerk en zo spamberichten verspreiden...

Bender @NjitsSs • 3 juni 2011 20:45

Dat kan natuurlijk allang, je hoeft niet persee een apart programma er voor te schrijven want je kunt ook gewoon software schrijven welke skype zelf bestuurd, Skype is dan zelf nagenoeg de API. Vele malen makkelijker en sneller.

Xorifelse @Bender • 5 juni 2011 18:07

Maar met zo'n API kan er maar 1 instructie worden gegeven in plaats dat er duizenden mensen worden opgebeld door 1 computer tegelijkertijd.

Paul C 3 juni 2011 16:33

Hopen dat hij er in slaagt om met behulp van die aangepaste binairies het protocol te beschrijven. Dan kan er op basis van deze beschrijving hopelijk een opensource implementatie gemaakt worden.

Het is eigenlijk raar dat er zo massaal gebruikt wordt gemaakt van een protocol waar we zo weinig vanaf weten. Heel cruciaal werk dit. Ik hoop maar de door skype toegepaste encryptie geen roet in het eten gaat gooien.

kwaakvaak_v2 @Paul C • 3 juni 2011 16:49

Dat is vooral in tweaker land raar, de rest van de wereld zal het een worst zijn, als ze maar verbinding krijgen met de persoon die ze willen skypen

Sir Isaac @kwaakvaak_v2 • 3 juni 2011 23:48

Omdat protocol en encryptie onbekend zijn is skype niet geschikt voor een vergadering over meer locaties waarbij mogelijk geheime zaken worden besproken. Daarmee is skype ongeschikt voor een groot deel van het bedrijfsleven. Voor vertrouwelijke communicatie wil je gewoon weten dat de vertrouwelijkheid gegarandeerd wordt door een sleutel die je alleen zelf hebt.
Of skype binnen bedrijven gebruikt wordt als er geheime zaken worden besproken is een tweede.

supersnathan94

Smartphones

@Sir Isaac • 4 juni 2011 01:06

ehm volgens mij mis ik iets, maar is skype niet zo veilig gemaakt dat ze zelf niet eens je gesprekken kunnen hercoderen? er zijn tientallen veiligheidsdiensten naar skype gerent toen bekend was dat de encryptie zo goed was dat het voor criminele doeleinden perfect is. een kennis van mij gebruikt het voor zijn werk om gratis naar china te bellen. nu heeft hij wel niet de informatie die steve jobs heeft zeg maar, maar om nou te zeggen dat het onbetrouwbaar is doordat je code niet weet? hoeveel bedrijven gebruiken wel geen RSA tokens? daarvan weten we ook niet hoe ze werken en dat maakt ze juist zo veilig voor enterprise applicaties

ILUsion @supersnathan94 • 5 juni 2011 12:45

Zo werkt het dus niet in de cryptografiewereld. Als je écht veiligheid wilt bieden, geef je alles vrij behalve de sleutels (private of symmetrische, maakt weinig uit).

Dat noemt men het principe van Kerckhoffs en is zowat het omgekeerde van wat je vaak (en terecht) hier wel eens hoort terugkomen als "security through obscurity". Op het moment dat je niet weet wat er gebeurt, weet je eigenlijk ook niet hoe sterk het is, welke achterliggende assumpties gemaakt geweest zijn en hoe valide die op dit moment nog zijn.

RSA tokens zijn inderdaad voor zover ik weet begonnen als geheel gesloten systemen, maar ondertussen zijn er wel projecten die er goed in slagen om de output te genereren van zo'n token; op voorwaarde dat je de achterliggende key hebt. Om maar te zeggen: het feit dat het algoritme eerst niet open was, biedt geen noemenswaardige extra veiligheid, het kost wat extra tijd om te breken, maar dat is en blijft een eenmalig probleem en dus kan je net zo goed het algoritme open maken: je krijgt dan ook feedback van de community die zal proberen om je algoritme onder vuur te nemen. Een beetje hetzelfde argument als in de open-source gebruikt wordt: "given enough eyeballs, all bugs are shallow". Je hebt (vanuit veiligheidsstandpunt) immers liever dat je voordat je het algoritme gaat gebruiken, je weet dat het algoritme zichzelf toch al wat bewezen heeft. Die achterliggende assumptie is wel dat je veronderstelt dat onderzoekers maar al te graag je algoritme onderuit willen halen en dat als er problemen gevonden worden, die ook openbaar gemaakt worden.

mae-t.net @supersnathan94 • 5 juni 2011 13:54

Wat ILUsion zegt, en bovendien: Je zegt nou wel dat Skype zo veilig is, maar wie kan dat nagaan behalve Skyp zelf? Niemand, voor zover ik weet. Dan moet je ervan uitgaan dat het onveilig is. Jij zal er zelf nooit achterdeuren in kunnen vinden maar ook nooit kunnen aantonen dat ze er niet inzitten. Dat de maker zegt dat ze er niet inzitten, zegt in de beveiligingswereld natuurlijk niets.

kimborntobewild @supersnathan94 • 10 juni 2011 07:01

ehm volgens mij mis ik iets, maar is skype niet zo veilig gemaakt dat ze zelf niet eens je gesprekken kunnen hercoderen?

Dan heb je inderdaad iets gemist - want Skype zelf dan de gesprekken wel decrypten.
Natuurlijk zullen ze dat niet aan de grote klok hangen (dat 't kán), en zullen ze berichten die beweren dat ze 't niet kunnen, erg graag met rust laten.

Er zal ook best op de site van Skype kunnen staan dat medewerkers van Skype de boel niet kunnen decrypten. Maar dat is dan misleiding (als dat er werkelijk staat), want dan hebben ze 't over personeel wat niet bij de digitale sleutels kan. En dat is natuurlijk de overgrote meerderheid van de medewerkers.

[Reactie gewijzigd door kimborntobewild op 28 juli 2024 16:11]

Bonez0r 4 juni 2011 00:02

Waarom reverse engineeren? Waarom niet een complete opensource voip applicatie van begin tot eind zelf schrijven? Zoiets als Mumble en dan p2p. Zo moeilijk kan het toch niet zijn, of zie ik iets over het hoofd?

Verwijderd @Bonez0r • 4 juni 2011 07:35

Skype heeft miljoenen gebruikers. Daar gaat het om, niet om het protocol...

anoko 4 juni 2011 10:14

Als je in het Vanilla Skype project leest wat Skype wel niet allemaal doet om hun protocol/broncode te beschermen krijg ik overigens wel een beetje argwaan... Checksum detecties op de binary, controlleren op drivers van standaard debuggers (e.g. soft ice), codeobfuscatie, codeencryptie en zelfs timing-controles om te controleren of Skype ge-debugged wordt

. Ze hebben volgens mij een heel anti-debugging platform geschreven om dit voor elkaar te krijgen. Dat nog niemand het echt goed gelukt is om het te reverse-engineren betekent ook wel dat ze er erg veel moeite in gestopt hebben om het te voorkomen.

Ik vraag me wel af of ze daarmee alleen het protocol willen afschermen of dat er nog meer dingen gebeuren die het daglicht niet kunnen verdragen

. Nou is bekend dat het protocol willekeurige gebruikers "supernode" kan maken, dus misschien is dat een reden om de implementatie goed af te schermen (immers, iemand die supernode is, is gelijk "man in the middle"). Toch wel een beetje suspicious.

Marzman

Voip

@anoko • 4 juni 2011 13:42

Met al de clients die er zijn zit er vast wel een zwakke schakel. Ik zou niet de Windows Client gaan reverse engineren maar beginnen met die voor mobieltjes.

Maar als je ziet dat het via dingen als Fring ook al mogelijk is (of was) om in te loggen op Skype en voicecalls te maken dan is het ergens toch al gekraakt?

cyuen 3 juni 2011 16:37

Lijkt me eerder iemand die Skype aan het hacken om open source te maken...

Op dit item kan niet meer gereageerd worden.

Reverse-engineeringproject wil Skype 'open' maken

Lees meer

Reacties (96)

Sorteer op:

Weergave: