Skype werkte zelf aan aftapmogelijkheid voor voip-gesprekken

Een kleine groep ontwikkelaars van Skype heeft nog voor de overname door Microsoft gewerkt aan een aftapmogelijkheid voor voip-gesprekken. Het bedrijf heeft publiekelijk juist lange tijd verkondigd dat Skype-gesprekken niet af te tappen waren.

Skype In een artikel van The New York Times, waarin de nauwe banden tussen Amerikaanse it-bedrijven en de inlichtingendiensten wordt beschreven, is te lezen dat een kleine groep developers bij Skype circa vijf jaar geleden besloot een aftapmogelijkheid in zijn voip-software op te nemen. Het project zou intern bekend zijn onder codenaam Chess en onder druk van Amerikaanse inlichtingendiensten zijn gestart.

Skype, dat inmiddels 250 miljoen gebruikers zou hebben, verkondigde lange tijd publiekelijk dat zijn voip-software niet was af te tappen doordat hij gebruik maakte van encryptie en eigen protocollen gebruikte. Het bedrijf werd in 2011 door Microsoft gekocht voor een bedrag van 8,5 miljard dollar nadat eBay Skype in de etalage had gezet.

Over de aftapmogelijkheden van de huidige Skype-implementatie, waarbij door Microsoft onder de motorkap de nodige technische wijzigingen zijn aangebracht door uitsluitend zogeheten supernodes als toegangspunt in te zetten, is niets bekend. Desondanks ontkende Skype vorig jaar nog in een blogposting dat het gesprekken van gebruikers opneemt. Desondanks wordt het bedrijf, samen met Microsoft, genoemd in de gepubliceerde NSA-slides van het Prism-project.

IT-banen

Reacties (71)

Anoniem: 16328 20 juni 2013 18:40

Eigenlijk is dit oud nieuws want in dit stukje tekst van 2011 (http://yro.slashdot.org/s...dd-Eavesdropping-To-Skype) wordt verwezen naar een patent van Microsoft voor 'The recording agent is then able to silently record the communication.' Klinkt handig in deze situatie maar ook bij de nieuwe XBOX One.

Abstract
Aspects of the subject matter described herein relate to silently recording communications. In aspects, data associated with a request to establish a communication is modified to cause the communication to be established via a path that includes a recording agent. Modification may include, for example, adding, changing, and/or deleting data within the data. The data as modified is then passed to a protocol entity that uses the data to establish a communication session. Because of the way in which the data has been modified, the protocol entity selects a path that includes the recording agent. The recording agent is then able to silently record the communication.
_{bron: http://appft1.uspto.gov/n...10153809RS=DN/20110153809}

_{Zie ook bijvoorbeeld:

http://www.theregister.co.uk/2011/06/29/microsoft_skype/

http://www.forbes.com/sit...-make-it-easier-to-snoop/}

[Reactie gewijzigd door Anoniem: 16328 op 23 juli 2024 03:00]

Eloy 20 juni 2013 18:59

Kunnen we uberhoupt nog Closed Source dat aan internet is gekoppeld vertrouwen?!

edit: Hier een mooi lijstje met Open Source software als alternatief: http://prism-break.org

[Reactie gewijzigd door Eloy op 23 juli 2024 03:00]

sumac @Eloy • 20 juni 2013 20:02

Kun je Open Source helemaal vertrouwen? Misschien meer dan closed source, maar wie zegt dat de NSA niet her en der medewerkers heeft zitten die op geniale wijze backdoors inbouwen? OK, het is waarschijnlijk een stuk lastiger, maar toch. En het argument dat je zelf de code kunt controleren houdt geen stand, niet voor 99,99% van de bevolking althans. Degenen die daartoe in staat zijn, en die ook nog eens de tijd hebben, plus te vertrouwen zijn - hoeveel zijn er dat? Dat zijn feitelijk alleen de developers van de software zelf. Neem een OS als Ubuntu of Fedora, zie dat maar eens helemaal na te lopen.

hackerhater @sumac • 21 juni 2013 09:36

Hoe wil je als medewerker dat doen zonder dat de andere devs het zien? Het is niet alsof je er code in kan zetten zonder dat het te zien valt. Juist omdat git decentraal is zijn alle commits en merges door alle gebruikers te zien.

Anoniem: 368883 @hackerhater • 21 juni 2013 11:02

Zelfs de meest ervaren developer kan al eens over een buffer overflow, of een "off by 1" bug heen kijken.

Een backdoor introduceren in een open source project zal nooit lukken, maar een subtiele bug er in steken die nadien ge-exploit kan worden is perfect mogelijk...

Zels het verkeerd casten van een variable is al genoeg om een security issue te genereren (zoals de beroemde MySQL root-exploit van vorig jaar). En deze fouten zijn moeilijk te spotten, en bijgevolg ook makkelijk te introduceren door iemand met slechte bedoelingen.

Anoniem: 145867 @sumac • 20 juni 2013 22:13

Je kunt heel veel delen van een OS waarschijnlijk wel afbakenen met MD5 hashes zodat je weet dat er niet mee gerommeld is.

Anoniem: 614 @Anoniem: 145867 • 20 juni 2013 22:40

Niet alles. Dus? Het is zoals eerder gezegd: het is standaard beschikbaar voor de instanties.

Anoniem: 514006 @Eloy • 20 juni 2013 19:35

Inderdaad, dit is exact de gedachte die ook in mij opkwam.

Echter, ik vraag mij af of dit nieuws nou echt ''nieuws'' is. Je kunt het toch wel op je vingers natellen dat er een aftapmogelijkheid zit in software die op grote schaal gebruikt word door zowel particulieren als enterprises?

Het zou me niets verbazen dat er ook een mogelijkheid tot aftappen zit in server- en desktopbesturingssystemen van Microsoft. Nu moeten we niet te veel kijken naar Microsoft, aangezien smartphones ook erg leuk zijn om na te checken.

De enige mogelijkheid om anonimiteit te verkrijgen is zo veel mogelijk gebruik te maken van VPN-oplossingen, wat het aftappen van internetverkeer betreft. TOR is ook een uitstekend middel.

[Reactie gewijzigd door Anoniem: 514006 op 23 juli 2024 03:00]

freaky @Eloy • 20 juni 2013 19:25

Heb je dat ooit gekund dan? Bij closed source/proprietary moet je je af vragen of je de maker kan vertrouwen.

En makers hebben, net als alle anderen daar niet van, alleen interesse in hun eigen dingen.

Anoniem: 145867 @freaky • 20 juni 2013 22:11

Dan weet jij niet hoe het proces gaat in de opensource wereld. Ook daar is structuur. Niet iederee kan maar code implementeren in een nieuwe update.

Als je code schrijft...mag jij het niet implementeren vaak. Je hebt daarvoor mensen die de code gaan valideren en het is een soort democratisch opgezet systeem waar mensen op mensen stemmen die mogen valideren.

En ga zo maar door.. ze zijn echt niet dom hoor in de opensource wereld.

[Reactie gewijzigd door Anoniem: 145867 op 23 juli 2024 03:00]

Anoniem: 399807 @Anoniem: 145867 • 21 juni 2013 09:30

Ik wist dat allemaal niet. Betekent dit dat NSA mensen werkzaam kunnen zijn in de OpenSource wereld en meestemmen?

hackerhater @Anoniem: 399807 • 21 juni 2013 09:33

Theoretisch ja, maar er iets in krijgen zonder dat anderen het opmerken is redelijk onmogelijk.

En zelfs als je directe commit rechten hebt zit je nog met de git log die je niet kan faken.

[Reactie gewijzigd door hackerhater op 23 juli 2024 03:00]

johnkeates 20 juni 2013 18:16

Tsja.. blackbox software, onderdeel van een bedrijf dat uit Amerika komt. Natuurlijk zorgt de overheid daar er voor dat ze kunnen tappen.

Behalve als je zelf de software kan controleren, of een partij die je vertrouwt de software kan controleren, kan je er gewoon niet van uit gaan dat wat op de 'verpakking' staat klopt.

Daarnaast heb je natuurlijk wel een ander probleem. Stel dat er wel software is die niet af te luisteren gesprekken mogelijk maakt, hoe zorg je er dan voor dat 'terroristen' wel afgeluisterd kunnen worden?

sharkwouter @johnkeates • 20 juni 2013 18:38

Sinds wanneer is iedereen crimineel tot het tegendeel bewezen is? En waarom moeten mensen altijd te term terroristen naar boven halen? Terrorist is een benaming die altijd maar vanuit de ogen van een kant "klopt", een protest organizeren zou je bijvoorbeeld kunnen zien als een terroristische aanslag als jij degene bent waartegen geprotesteerd wordt. Die ene gek of dat kleine groepje mensen dat ook echt van plan is om een grote groep mensen van hun leven te beroven om een statement te maken zal dit toch niet overleggen in een skype call, hier zijn namelijk vele alternativen voor.

MaienM @johnkeates • 21 juni 2013 15:37

Maar daarnaast is het totaal niet wenselijk dat de 9.999.900 mensen uit die groep die zulke plannen niet hebben ook afgeluisterd worden. Misschien ook leuk eens rekening te houden met die groep (de overgrote meerderheid).

Daarnaast is het idee dat je "met zekerheid kan zeggen dat je iedereen kan beschermen" sowieso een grote facade. Als je iemand aan wilt vallen hoef je dat totaal niet met anderen bespreken, dat kun je gewoon doen. Dus dan wordt de privacy van 10 miljoen man teniet gedaan, om niks.

Soldaatje @johnkeates • 20 juni 2013 18:40

Ik heb er nog wel vertrouwen in dat een encrypted Voip-gesprek niet af te luisteren is, maar dan niet Skype maar dat was al langer duidelijk. Zie Wikipedia: Skype security.
Als je echt terroristen op het oog hebt moet je iets anders verzinnen, de woning inbreken en buggen, of de PC/router proberen te hacken, volgen met telelenzen, je kent het wel uit die leuke films.
Als je de software kan lezen dan heb je met opensource goede kans backdoor-vrije software te hebben.
Hier een lijstje met Skype alternatieven.

[Reactie gewijzigd door Soldaatje op 23 juli 2024 03:00]

Anoniem: 16328 @Soldaatje • 20 juni 2013 19:39

Sommige Amerikaanse VOIP diensten/producten moeten voldoen aan de Communications Assistance for Law Enforcement Act (CALEA) wat een aftap wet is in de VS, dit betekent dat opsporingsdiensten toegang moeten kunnen krijgen tot die data. Nu is men bezig met CALEA-II om nog meer bevoegdheden te geven aan opsporingsdiensten. Diensten als Dropbox, Skype en GMail worden daarbij genoemd. Zie bijvoorbeeld: http://www.schneier.com/b...06/the_problems_wi_3.html en https://www.eff.org/deeplinks/2013/05/caleatwo

[Reactie gewijzigd door Anoniem: 16328 op 23 juli 2024 03:00]

cyberstalker @Anoniem: 16328 • 21 juni 2013 06:18

Wet of geen wet, peer-to-peer, open-source software wordt natuurlijk erg lastig te bespioneren voor de overheid. Er is dan namelijk geen entitieit die ze kunnen verplichten mee te werken.

Anoniem: 428562 20 juni 2013 18:26

Vraag me af wat voor tegenprestatie MS krijgt van NSA voor kopen van Skype en vervolgens protocollen zo aan te passen dat de NSA makkelijk kan tappen.

bjp @Anoniem: 428562 • 20 juni 2013 18:29

belastingskorting?

Amanoo @bjp • 20 juni 2013 21:38

Het zou inderdaad niet voor het eerst zijn dat de VS zijn eigen bedrijven graag bevoordeeld, ook soms waar het eigenlijk niet zou mogen (er zijn ook wel oneerlijke rechtszaken te vinden).

Daniel_Elessar 20 juni 2013 18:59

Verbaast me niks meer.

En ik denk dat het inderdaad wel meevalt voor de normale gebruiker. Maar dat ze dus, zoals ze ergens beschreven staat, iemand die terrorist ís zijn netwerk kunnen achterhalen door alle nummers in te voeren en zo alles in kaart te brengen. Op zich wil ik wel weten hoe de techniek erachter zit.

En hetzelfde geldt voor het nu uitgekomen Skype gebeuren. Gemengd gevoel over om eerlijk te zijn.
Echt geheime dingen bespreek je ergens tussen 2 personen en niet via een of andere technisch vlak.

Anoniem: 390981 @Daniel_Elessar • 20 juni 2013 20:37

Het kan nu wel mee vallen voor de normale gerbuiker maar in de toekomst ?

Er komt nooit meer oorlog in Nederland. Geloof je dat ?
Tuurlijk niet. Die komt er. En wie komen er dan aan de macht ?
Misschien wel de communisten. Die gaan dan door alle data heen en lichten iedereen die ooit maar iets tegen communisme had van hun bed.
Misschien wel de Taliban. Iedereen die ooit iets tegen de islam of mohammed heeft geschreven wordt opgepakt.
Maar het meest waarschijnlijk is dat bedrijven de macht overnemen.
Een NWO is al in de maak http://www.zerohedge.com/...hands-sovereignty-our-cou.

Anoniem: 16328 20 juni 2013 18:15

Het bedrijf heeft publiekelijk juist lange tijd verkondigd dat Skype-gesprekken niet af te tappen waren.

Dat is een goede strategie in het afvangen van interessante informatie. Als een bepaalde dienst eenmaal bekend staat als niet af te luisteren maar dat ondertussen wel is ja dat is een jackpot.

Anoniem: 16328 20 juni 2013 18:28

De lijst van spionage door Microsoft wordt met de dag langer:
http://www.heise.de/tp/artikel/5/5263/1.html (1999 Windows NSA backdoor)
nieuws: PRISM
nieuws: 'Geheime diensten gebruikten bug-info Microsoft voor spionage'
nieuws: Skype werkte zelf aan aftapmogelijkheid voor voip-gesprekken

Wie vult het lijstje aan?

[Reactie gewijzigd door Anoniem: 16328 op 23 juli 2024 03:00]

Anoniem: 291608 @Anoniem: 16328 • 20 juni 2013 18:37

Spionage door Microsoft? Of door een andere instantie is wel een wereld van verschil.

En de artikel spreekt ook over een kleine groep voor de overname van Microsoft.

Succes nog met je generaliseren hoor^

Morphix @Anoniem: 291608 • 20 juni 2013 19:03

Het is niet MS die spioneert. Het is de Amerikaanse overheid die spioneert en MS die willens en wetens (blijkbaar maar al te graag) meewerkt.

Het verschil? Geen.

En komop, hoe naief kun je zijn als je er van uit gaat dat die aftapmogelijkheid er uiteindelijk toch niet ingekomen is. Het feit dat ze er uberhaubt mee begonnen zijn geweest zegt genoeg over Skype en vooral (de druk van) de Amerikaanse overheid.

TMDevil

@Morphix • 20 juni 2013 19:36

Dat ze er aan mee werken houdt natuurlijk niet mee in dat ze het graag doen

Een organisatie als de NSA kan behoorlijk wat druk uitoefenen op een persoon of bedrijf.

Anoniem: 120693 @Anoniem: 16328 • 20 juni 2013 18:37

Er is een gaatje van slechts 12 jaar in je lijstje. Kon je niets vinden of valt het allemaal wel mee?

vordy 20 juni 2013 18:42

Al die paniek van dat de inlichtingendiensten je kunnen afluisteren, ik vind dat grappig en zelfs een beetje egotripperij, alsof iemand die hier ooit post ooit het doel zal zijn van spionage door de regering. Get real
... (Ik wil nu wel niet klinken als een klojo, maar eerlijk... Waarom zouden ze ons willen spioneren? Of ik soms goed sorteer?)

Morphix @vordy • 20 juni 2013 19:10

Misschien staat er in je Facebook lijst wel iemand die niet zo jofele zaken uithaalt, gevolg: jouw gegevens worden mogelijk bekeken. Misschien zoekt je buurvrouw op de verkeerde Google termen, gevolg: je gegevens worden mogelijk bekeken. Misschien heeft Achmed van de voetbalclub te veel contact met z'n neef uit Afghanistan, gevolg: jouw gegevens worden mogelijk bekeken.

Het is erg, maar dan ook ERG dom om dit soort opmerkingen te maken. Als Nederlandse burger heeft de Amerikaanse overheid helemaal NIETS met mijn gegevens te maken. Het is een schande dat de Europese Unie haar burgers hier niet tegen beschermd. Bij spionage uit China breekt de hel los, maar als onze grote 'vrienden' uit Amerika openlijk bekennen dezelfde praktijken uit te voeren is er niets aan de hand.

Anoniem: 428562 @Morphix • 20 juni 2013 19:21

Dat ze je gegevens bekijken is nog tot daar aan toe, maar wat als je voortaan behandeld wordt als tweederangs burger, die bijv niet meer in aanmerking komt voor een baan bij de overheid.

Gardocki @Morphix • 21 juni 2013 11:32

En dan? Dan bekijken ze mijn gegevens, en dan is er niks te vinden.. Niet heel boeiend.
En als je erg op je privacy gestelt bent moet je natuurlijk sowieso nooit beginnen aan Facebook

freaky @vordy • 20 juni 2013 19:35

Get real? Get zelf real... het gebeurt al. Daarbij kan jij de toekomst niet voorspellen (en ik ook niet). In 1920 zagen de joden weinig problemen met de registratie van hun nationaliteit in de basis registratie. Zoek eens een jood die 80+ is en dat in 1940 nog vond... Maar toen was het te laat. En dat is het voornaamste probleem - je maakt het niet even ongedaan.

Jij mag dan wel lachen, ik kan alleen maar janken om mijn kortzichtige, naïeve en ongeïnteresseerde medemensen.