Berta Sándor

Ausztria: lehallgathatók a Skype-beszélgetések?

Maria Fekter osztrák belügyminiszter nem hajlandó elárulni a parlamentnek és a közvéleménynek, hogy az osztrák rendőrség képes-e a Skype-hívások rögzítésére.

A politikust Albert Steinhauser, az osztrák Zöldek képviselője kereste meg két beadványban is és felvilágosítást kért tőle a kérdésben. A belügyminiszter az első és a második válaszában is - biztonsági okokra hivatkozva - tagadta meg a tájékoztatást. Fekter többek között ezt írta: "Arra való tekintettel, hogy a parlamenti kérdések válaszait az interneten is megjelentetik, rá kell mutatnom arra, hogy a kérdéses lehetőségekről vagy mechanizmusokról adott felvilágosítás hátrányosan érintheti az alkotmányos berendezkedés védelmét is. Az ilyen bizalmas információk kiadása éppen ezért veszélyezteti a nemzeti érdekeket és én így nem válaszolhatok a felvetésre."

Szeinhauser már január 14-én, első levelében is arra volt kíváncsi, hogy vajon az osztrák bűnüldöző szervek képesek-e valós időben lehallgatni a titkosított Skype-beszélgetéseket. Erre a beadványra azonban Fekter, illetve a belügyminisztérium szintén nem adott konkrét választ. Az ötlet nem új, idén februárban, illetve márciusban az Eurojust nevű európai bűnüldöző szervezetnél is felmerült. Az indoklás szerint a Skype népszerű a szervezett alvilág és a terroristacsoportok körében és ezért lenne fontos a hívások rögzítése.

Tavaly júliusban az ORF.at munkatársai részt vettek egy megbeszélésen, amelyen jelen voltak a belügyi szaktárca, az osztrák távközlési felügyelet (RTR) és az internetszolgáltatók képviselői. Ezen a találkozón a minisztérium munkatársai elmondták, hogy ugyan nehéz, de nem lehetetlen feladata a Skype-hívások lehallgatása. Az intézmény később megerősítette, hogy a megbeszélésre valóban sor került, de az "csak egy szakértői workshop" volt, amelyen nem voltak jelen politikai döntéshozók.

Hozzászólások

A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
  • Tatárbisztek #32
    Itt az sg-n is volt már erről cikk.

    http://sg.hu/cikkek/63083/naplozza_az_uzeneteket_a_kinai_skype

    Azt hozzá kell tenni, hogy a kínaiak egy saját fejlesztéső "Skype" klienst nyomnak, aminek max. a neve "Skype" (ha az egyáltalán, bár kétlem) , sőt !
    Ha alaposabban megfigyeled a sorokat, azt írják:

    Feltűnt neki, hogy ha kínai felhasználóval kommunikál...

    Élesen el kell határolódni a http://skype.tom.com címről letölthető trójais félig sem hivatalos klienstől , amikről a fenti cikk szól.. és felteszem szándékosan akarják ilyen mocsokkal beszennyezni a Skype hírnevét...

    és a http://skype.com/intl/zh-Hans/ címen letölthető EREDETI, HIVATALOS klienstől...
  • torreadorz #31
    "Nem fogják néhány csicska sasorrú miatt kockáztatni a több millárd credites forgalmukat és a megbízhatóságukat. "

    Hát öregem, röhög a vakbelem.

    Kina lehallgatja a skype-t

    Részlet belőle:
    "Nart Villeneuve, a jelenség felfedezője a Skype adatforgalmát elemezte, amikor észrevette [1] a fura anomáliát. Feltűnt neki, hogy ha kínai felhasználóval kommunikál, akkor néha nemcsak a két gép között van adatforgalom, hanem a rendszer kínai szolgáltatója, a Tom-Skype [2] szerverei felé is. Ezt a forgalmat lenyomozva jutottak el a kanadai kutatók egy adatbázishoz, ahol azoknak a beszélgetéseknek a naplófájljait tárolják, ahol legalább az egyik résztvevő a kínai szolgáltatón keresztül kapcsolódott, és a már említett kulcsszavak hangzottak el."

    Megjegyezem, NEM a skype vallotta be, hogy kina le tudja hallgatni a kinába menő/jövő adatforgalmat, mivel a skype átadja nekik az ehhez szükséges adatokat, hanem csak lebukott mert valaki véletlenül észrevette.
    Ezek után jobb lenne ha mély csöndben lennél, mert kb. pont ennyire tudhatod hogy a skype mit tud és mit nem és hogy mit ad át a titkosszolgálatoknak és mit nem...
  • Tatárbisztek #30
    Először is nem adnak ki senkinek sem csak úgy legfelsőbb certificate-et , pontosan azért, mert ha egy bármilyen legfelsőbb certificate-ről kiderül, hogy nem megbízható, nagyon hamar a crl-ben találja magát. Én speciel a Microsoft féle certificate-eket csípőből betettem a crl-be. :)

    A másik az hogy attól még hogy pl. a Microsofttól, vagy pl. a VeriSign-től kapta a certificate-t, még nem biztos, hogy amaz root certificate. Ilyet csak a legritkább esetben adnak ki, és pontosan az olyan nagy volumenű programokhoz, mint pl. a Mozilla Firefox. Névtelenül, valós indok és szervezet nélkül senkinek, de főleg nem titkosszolgálatoknak nem adják ki a legfelsőbb szintű certificate-eket, pontosan a fentebb leírt gondolatmenet miatt...
    (max. kapnak egy "B" szintű tanúsítványt azt csókolom, de ott a böngésző/program ugyanúgy figyelmeztetni fog a megbízhatatlanságra, mintha saját gyártmányú lenne)
    abban a pillanatban , ha kiderül egy tanusítványról, hogy megbízhatatlan, a világon az összes böngésző/program (nem egy automatán is), és/vagy az emberek tkp. kézzel felteszik a crl-be a megbízhatatlansági listára és agyő megfigyelés.

    És különben pedig -bármilyen hihetetlen is- van élet a root cerficate-ek nélkül is. Skype esetében pl. lehet hogy ő maga a kibocsátó és akkor nincsen semmilyen legfelsőbb szintű hitelesítő, hanem Ő maga hitelesít és szerintem kitárgyaltuk már, hogy miért NEM fogja semmilyen , akármekkora orrú titkosszolgálatnak sem kiadni a titkait. Nem fogják néhány csicska sasorrú miatt kockáztatni a több millárd credites forgalmukat és a megbízhatóságukat.
  • torreadorz #29
    Nem a CA-t hamisitja te szerencsétlen.
    Fogja magát, bemegy xy trusted CA szervezethez (ami alapból benne van a böngésződben), és azt mondja hogy ő a microsofttól jött és irják már alá a certjét, hogy ez a microsoftos cert. Felmutat egy két papírt és aláirják neki, innentől kezdve van egy tök valid certje, ami azt mutatja hogy ez a microsoft certje.
    És ez megtörtént eset, pont igy ahogy irom.

    De mindegy ez egy felesleges vita veled, mert látom nem tudsz kiszakadni abból a körből hogy az rsa meg az aes mennyire feltörhetetlen, mikor nem erről van szó, hanem arról hogy már a komunikáció elején becsapnak és innentől kezdve tök mindegy hogy mivel titkositasz, a becsapó félnek is meglesz a kulcs.
  • Tatárbisztek #28
    www.skype.com/security/files/2005-031%20security%20evaluation.pdf

    Itt találtok még egy érdekes leírást. Az ipse sem ma kezdte ... (35 éves kriptográfiai pályafutása van) és az összes létező támadást végigpróbálgatta a Skype-n , hasztalanul... 256bites AES-t használnak block ciphernek ... semmivel nemlehet nekimenni max. a brútforszinggal..

    de hajrá !
  • Tatárbisztek #27
    Senki nem szop be semmit, az összes piacon lévő böngésző , alkalmazás hangos felkiáltójellel automatán jelzi, ha a root certificate fingerprintje egy bitet is eltér... Sanyi pedig nem ma fog root certificate-ket (sem) feltörni... Skype-nál ugyan nem tudom, hogy van-e root certificate, de gyanítom, hogy van, és vagy el sem indul az adatfolyam, vagy szól hogy hamis certificate-t kapott és nem létesít további kapcsolatot.

    Minden böngésző default beállítása az hogy a nem megbízható CA-kat alapból visszalöki és egész egyszerűen nem létesít kapcsolatot, akármit is kamuzik magáról "Sanyi".

    Érteni sem kell hozzá túlzottan. Egyszerűen a NEM-re bökni ha valamit kvartyog a böngésző, vagy a program a megbízhatósággal kapcsolatban. Ennyi.

    A legtöbb böngésző és program pedig frissítésenként megkapja a legutóbbi revocation list-et, bár a DES-en kívül én nem tudok eddig még egyetlen a kiadása óta megbízhatatlanná vált root titkosító kulcsgenerátorról.

    Sanyi pedig innentől kezdve elmehet és brútforszolgathatja a min. 128 bites kulcsokat 78 trilliárd évig...
  • torreadorz #26
    "hallottam már én is erről a "man in the middle" dologról, de erősen kételkedem abban, hogy ennek bármi valóság alapja lenne, hiszen az SSL-t, sőt magát az asszimetrikus kulcsolást , magát a privát-publikus kulcspárt pontosan az ilyen "man in the middle" féle módszerek ellen dolgozták ki !"

    :)

    Simán megvalósitható minden további nélkül, az ugyan tény hogy maga az asszimetrikus titkosítás egyenlőre elég erős lábakon áll (bár azért ne felejtsük el, az egész mindössze arra alapoz, hogy jelenleg piszok lassú a primtényezőkre bontás), azonban a hozzá tartozó PKI még a mai napig elég gyenge lábakon áll.
    Hogy bizonyitsam, felteszek neked néhány egyszerü kérdést:
    -Tudod-e fejből az internetbankod CA certjének a fingerprintjét?
    -Az internetbankod által küldött tanúsítvány fingerprintjét?
    -Be van-e állítva neked bárhol is a tanúsítvány visszavonási lista? (crl)
    -Ugyenezeket ismered-e pl. skype esetén?

    Ugyanis az egész MITM csak onnan kapható el, hogyha észreveszed, hogy a beékelődött fél által küldött cert nem megbizható. Nem az a fingerprintje mint ami eddig volt, vagy nem egy trusted CA-val lett aláírva (de ma már ez is kijátszható lazán).

    Gondolj bele, te vagy X, a túloldal Y és a közétek ékelődő meg a sanyi.
    1,Ekkor X és Y elküldi a saját pubcertjét sanyinak, sanyi pedig mindkettőtöknek felmutatja a saját pubcertjét.

    2,Mivel fingod nincs Y certjének fingerprintjéről, elhiszed hogy sanyi Y.

    3, Ezután fogod és becsomagolod a saját titkos kulcsoddal a session keyt, majd sanyi nyilvános kulcsával is (lévén azt hiszed ő Y) és elküldöd sanyinak.

    4,Ezután sanyi kicsomagolja az üzenetet a saját titkos kulcsával, majd a te nyilvános kulcsoddal, és máris tudja a session keyt.

    5, sanyi továbbitja az eredeti csomagot Y-nak.

    6, a session key ismeretében sanyi minden további forgalmat le tud hallgatni közted és Y között, és tőle akár ötvenezer bites is lehet a key, nem ér semmit hisz ő is tudja.

    Ennyi a MITM lényege és röhögve megvalósítható.
    Az egész rendszer lényege a 2. pont (hisz megfelelő algoritmus esetén (pl sha x) sosem lehet két különböző certnek ugyanaz a fingerprintje! Ha a 2.-es ponton továbbmész minden beszoptál.

    De mivel a felhasználók 99% és valószinüleg köztük te is, halvány lila sincs a fingerprintekről, a trusted CA-ról és a revocation listekről, úgy szopja be az MITM támadást hogy öröm nézni.
  • Tatárbisztek #25
    A végső konklúzió:

    A legfőbb okról, amiért sem a Skype-t , sem más internetes programot tkp. egyszerűen nem éri meg lefüleli, az az, hogy egy kellőképpen felkészített operációs rendszerről (tehát nem windowsról ) valamint egy nyílt Wifi (vagy ha jobban tetszik WLAN) hotspotról , kamu névvel regisztrált adatokkal, még a TOR fejlett titkosítása nélkül SEM és a KVP által említett BIOS adatok elküldésével együtt sem tudhatja meg egyszerűen senki hogy én ki vagyok valójában és kivel mit beszélek.

    Ráadásul -és itt jön a lényeg- akinek van lepleznivalója az igenis a fentebb leírtak szerint fog cselekedni.

    Legeslegvégső konklúzió: pontosan ezen okoknál és a lentebb leírt okoknál fogva a Skype-t a hívások lehallgatására NEM készítették fel.
  • Tatárbisztek #24
    Konklúzió: lehallgathatók a Skype-beszélgetések?

    Igen, lehallgathatók, de csak a szöveges üzenetek, és azok is csak akkor, ha egyébként nem adtunk meg a #22-es hozzászólásban leírt módon egy TOR-proxyt.

    Kapcsolódó linkek

    https://torproject.org
  • Tatárbisztek #23
    Tudom bizonyítani. Fogsz egy wiresharkot, vagy bármi más network analizert és szépen megnézed, hogy tőled kifele milyen irányba (milyen IP címre) és MI megy.. és majd látni fogod, hogy a Skype, semmi oda nem illő dolgot nem küld , és főleg nem ismeretlen IP címekre, illetve különösen nem titkosítva.

    TitkosítatLANUL küldi el a Skype szerveréBE a te , illetve a proxyd (!) IP címét, valamint néhány járulékos adatot, mint pl. az Online Státuszod (away, busy, invisible), valamint onnan ( tehát a Skype központi IPjéRŐL LEtölti a kontakt listádat, a kontaktjaid, vagy azok proxyJÁNAK (!) IP-jét, és az online státuszukat, esetleg az idő közben módosult személyes adataikat, amelyeket ŐK saját maguk publikáltak.

    Szintén titkosítatlanul utaznak a központba a chatelések szöveges formái is, ez is csak akkor, ha betetted a pipát a chat üzenetek megőrzésébe. Ennek az oka, hogy ezek szintén titkosítatlanul utaznak, pontosan az, hogy a Skype mossa kezeit és igenis lehetssen látni, hogy NEM SUNNYOG, viszont itt a chatek, emiatt tényleg szinte bárki -nemhogy a hathatóság- által "lehallgat"hatóak.

    Semmi extra hoki , meg űberhoki nincs, amikről itt szó esett, tehát semmiféle idegen IP cím , meg kósza titkosított adatok nem másznak ki sehova se, de ha nekem nem hiszed el nézd csak meg magad ...

    http://www.wireshark.org/download.html