Maria Fekter osztrák belügyminiszter nem hajlandó elárulni a parlamentnek és a közvéleménynek, hogy az osztrák rendőrség képes-e a Skype-hívások rögzítésére.
A politikust Albert Steinhauser, az osztrák Zöldek képviselője kereste meg kétbeadványban is és felvilágosítást kért tőle a kérdésben. A belügyminiszter az első és a második válaszában is - biztonsági okokra hivatkozva - tagadta meg a tájékoztatást. Fekter többek között ezt írta: "Arra való tekintettel, hogy a parlamenti kérdések válaszait az interneten is megjelentetik, rá kell mutatnom arra, hogy a kérdéses lehetőségekről vagy mechanizmusokról adott felvilágosítás hátrányosan érintheti az alkotmányos berendezkedés védelmét is. Az ilyen bizalmas információk kiadása éppen ezért veszélyezteti a nemzeti érdekeket és én így nem válaszolhatok a felvetésre."
Szeinhauser már január 14-én, első levelében is arra volt kíváncsi, hogy vajon az osztrák bűnüldöző szervek képesek-e valós időben lehallgatni a titkosított Skype-beszélgetéseket. Erre a beadványra azonban Fekter, illetve a belügyminisztérium szintén nem adott konkrét választ. Az ötlet nem új, idén februárban, illetve márciusban az Eurojust nevű európai bűnüldöző szervezetnél is felmerült. Az indoklás szerint a Skype népszerű a szervezett alvilág és a terroristacsoportok körében és ezért lenne fontos a hívások rögzítése.
Tavaly júliusban az ORF.at munkatársai részt vettek egy megbeszélésen, amelyen jelen voltak a belügyi szaktárca, az osztrák távközlési felügyelet (RTR) és az internetszolgáltatók képviselői. Ezen a találkozón a minisztérium munkatársai elmondták, hogy ugyan nehéz, de nem lehetetlen feladata a Skype-hívások lehallgatása. Az intézmény később megerősítette, hogy a megbeszélésre valóban sor került, de az "csak egy szakértői workshop" volt, amelyen nem voltak jelen politikai döntéshozók.
Azt hozzá kell tenni, hogy a kínaiak egy saját fejlesztésõ "Skype" klienst nyomnak, aminek max. a neve "Skype" (ha az egyáltalán, bár kétlem) , sõt !
Ha alaposabban megfigyeled a sorokat, azt írják:
Feltûnt neki, hogy ha kínai felhasználóval kommunikál...
Élesen el kell határolódni a http://skype.tom.com címrõl letölthetõ trójais félig sem hivatalos klienstõl , amikrõl a fenti cikk szól.. és felteszem szándékosan akarják ilyen mocsokkal beszennyezni a Skype hírnevét...
és a http://skype.com/intl/zh-Hans/ címen letölthetõ EREDETI, HIVATALOS klienstõl...
Részlet belõle:
"Nart Villeneuve, a jelenség felfedezõje a Skype adatforgalmát elemezte, amikor észrevette <1> a fura anomáliát. Feltûnt neki, hogy ha kínai felhasználóval kommunikál, akkor néha nemcsak a két gép között van adatforgalom, hanem a rendszer kínai szolgáltatója, a Tom-Skype <2> szerverei felé is. Ezt a forgalmat lenyomozva jutottak el a kanadai kutatók egy adatbázishoz, ahol azoknak a beszélgetéseknek a naplófájljait tárolják, ahol legalább az egyik résztvevõ a kínai szolgáltatón keresztül kapcsolódott, és a már említett kulcsszavak hangzottak el."
Megjegyezem, NEM a skype vallotta be, hogy kina le tudja hallgatni a kinába menõ/jövõ adatforgalmat, mivel a skype átadja nekik az ehhez szükséges adatokat, hanem csak lebukott mert valaki véletlenül észrevette.
Ezek után jobb lenne ha mély csöndben lennél, mert kb. pont ennyire tudhatod hogy a skype mit tud és mit nem és hogy mit ad át a titkosszolgálatoknak és mit nem...
Elõször is nem adnak ki senkinek sem csak úgy legfelsõbb certificate-et , pontosan azért, mert ha egy bármilyen legfelsõbb certificate-rõl kiderül, hogy nem megbízható, nagyon hamar a crl-ben találja magát. Én speciel a Microsoft féle certificate-eket csípõbõl betettem a crl-be. 😊
A másik az hogy attól még hogy pl. a Microsofttól, vagy pl. a VeriSign-tõl kapta a certificate-t, még nem biztos, hogy amaz root certificate. Ilyet csak a legritkább esetben adnak ki, és pontosan az olyan nagy volumenû programokhoz, mint pl. a Mozilla Firefox. Névtelenül, valós indok és szervezet nélkül senkinek, de fõleg nem titkosszolgálatoknak nem adják ki a legfelsõbb szintû certificate-eket, pontosan a fentebb leírt gondolatmenet miatt...
(max. kapnak egy "B" szintû tanúsítványt azt csókolom, de ott a böngészõ/program ugyanúgy figyelmeztetni fog a megbízhatatlanságra, mintha saját gyártmányú lenne)
abban a pillanatban , ha kiderül egy tanusítványról, hogy megbízhatatlan, a világon az összes böngészõ/program (nem egy automatán is), és/vagy az emberek tkp. kézzel felteszik a crl-be a megbízhatatlansági listára és agyõ megfigyelés.
És különben pedig -bármilyen hihetetlen is- van élet a root cerficate-ek nélkül is. Skype esetében pl. lehet hogy õ maga a kibocsátó és akkor nincsen semmilyen legfelsõbb szintû hitelesítõ, hanem Õ maga hitelesít és szerintem kitárgyaltuk már, hogy miért NEM fogja semmilyen , akármekkora orrú titkosszolgálatnak sem kiadni a titkait. Nem fogják néhány csicska sasorrú miatt kockáztatni a több millárd credites forgalmukat és a megbízhatóságukat.
Nem a CA-t hamisitja te szerencsétlen.
Fogja magát, bemegy xy trusted CA szervezethez (ami alapból benne van a böngészõdben), és azt mondja hogy õ a microsofttól jött és irják már alá a certjét, hogy ez a microsoftos cert. Felmutat egy két papírt és aláirják neki, innentõl kezdve van egy tök valid certje, ami azt mutatja hogy ez a microsoft certje.
És ez megtörtént eset, pont igy ahogy irom.
De mindegy ez egy felesleges vita veled, mert látom nem tudsz kiszakadni abból a körbõl hogy az rsa meg az aes mennyire feltörhetetlen, mikor nem errõl van szó, hanem arról hogy már a komunikáció elején becsapnak és innentõl kezdve tök mindegy hogy mivel titkositasz, a becsapó félnek is meglesz a kulcs.
Itt találtok még egy érdekes leírást. Az ipse sem ma kezdte ... (35 éves kriptográfiai pályafutása van) és az összes létezõ támadást végigpróbálgatta a Skype-n , hasztalanul... 256bites AES-t használnak block ciphernek ... semmivel nemlehet nekimenni max. a brútforszinggal..
Senki nem szop be semmit, az összes piacon lévõ böngészõ , alkalmazás hangos felkiáltójellel automatán jelzi, ha a root certificate fingerprintje egy bitet is eltér... Sanyi pedig nem ma fog root certificate-ket (sem) feltörni... Skype-nál ugyan nem tudom, hogy van-e root certificate, de gyanítom, hogy van, és vagy el sem indul az adatfolyam, vagy szól hogy hamis certificate-t kapott és nem létesít további kapcsolatot.
Minden böngészõ default beállítása az hogy a nem megbízható CA-kat alapból visszalöki és egész egyszerûen nem létesít kapcsolatot, akármit is kamuzik magáról "Sanyi".
Érteni sem kell hozzá túlzottan. Egyszerûen a NEM-re bökni ha valamit kvartyog a böngészõ, vagy a program a megbízhatósággal kapcsolatban. Ennyi.
A legtöbb böngészõ és program pedig frissítésenként megkapja a legutóbbi revocation list-et, bár a DES-en kívül én nem tudok eddig még egyetlen a kiadása óta megbízhatatlanná vált root titkosító kulcsgenerátorról.
Sanyi pedig innentõl kezdve elmehet és brútforszolgathatja a min. 128 bites kulcsokat 78 trilliárd évig...<#nyes>
"hallottam már én is errõl a "man in the middle" dologról, de erõsen kételkedem abban, hogy ennek bármi valóság alapja lenne, hiszen az SSL-t, sõt magát az asszimetrikus kulcsolást , magát a privát-publikus kulcspárt pontosan az ilyen "man in the middle" féle módszerek ellen dolgozták ki !"
😊
Simán megvalósitható minden további nélkül, az ugyan tény hogy maga az asszimetrikus titkosítás egyenlõre elég erõs lábakon áll (bár azért ne felejtsük el, az egész mindössze arra alapoz, hogy jelenleg piszok lassú a primtényezõkre bontás), azonban a hozzá tartozó PKI még a mai napig elég gyenge lábakon áll.
Hogy bizonyitsam, felteszek neked néhány egyszerü kérdést:
-Tudod-e fejbõl az internetbankod CA certjének a fingerprintjét?
-Az internetbankod által küldött tanúsítvány fingerprintjét?
-Be van-e állítva neked bárhol is a tanúsítvány visszavonási lista? (crl)
-Ugyenezeket ismered-e pl. skype esetén?
Ugyanis az egész MITM csak onnan kapható el, hogyha észreveszed, hogy a beékelõdött fél által küldött cert nem megbizható. Nem az a fingerprintje mint ami eddig volt, vagy nem egy trusted CA-val lett aláírva (de ma már ez is kijátszható lazán).
Gondolj bele, te vagy X, a túloldal Y és a közétek ékelõdõ meg a sanyi.
1,Ekkor X és Y elküldi a saját pubcertjét sanyinak, sanyi pedig mindkettõtöknek felmutatja a saját pubcertjét.
2,Mivel fingod nincs Y certjének fingerprintjérõl, elhiszed hogy sanyi Y.
3, Ezután fogod és becsomagolod a saját titkos kulcsoddal a session keyt, majd sanyi nyilvános kulcsával is (lévén azt hiszed õ Y) és elküldöd sanyinak.
4,Ezután sanyi kicsomagolja az üzenetet a saját titkos kulcsával, majd a te nyilvános kulcsoddal, és máris tudja a session keyt.
5, sanyi továbbitja az eredeti csomagot Y-nak.
6, a session key ismeretében sanyi minden további forgalmat le tud hallgatni közted és Y között, és tõle akár ötvenezer bites is lehet a key, nem ér semmit hisz õ is tudja.
Ennyi a MITM lényege és röhögve megvalósítható.
Az egész rendszer lényege a 2. pont (hisz megfelelõ algoritmus esetén (pl sha x) sosem lehet két különbözõ certnek ugyanaz a fingerprintje! Ha a 2.-es ponton továbbmész minden beszoptál.
De mivel a felhasználók 99% és valószinüleg köztük te is, halvány lila sincs a fingerprintekrõl, a trusted CA-ról és a revocation listekrõl, úgy szopja be az MITM támadást hogy öröm nézni.
A legfõbb okról, amiért sem a Skype-t , sem más internetes programot tkp. egyszerûen nem éri meg lefüleli, az az, hogy egy kellõképpen felkészített operációs rendszerrõl (tehát nem windowsról <#eplus2>) valamint egy nyílt Wifi (vagy ha jobban tetszik WLAN) hotspotról , kamu névvel regisztrált adatokkal, még a TOR fejlett titkosítása nélkül SEM és a KVP által említett BIOS adatok elküldésével együtt sem tudhatja meg egyszerûen senki hogy én ki vagyok valójában és kivel mit beszélek.
Ráadásul -és itt jön a lényeg- akinek van lepleznivalója az igenis a fentebb leírtak szerint fog cselekedni.
Legeslegvégsõ konklúzió: pontosan ezen okoknál és a lentebb leírt okoknál fogva a Skype-t a hívások lehallgatására NEM készítették fel.
Igen, lehallgathatók, de csak a szöveges üzenetek, és azok is csak akkor, ha egyébként nem adtunk meg a #22-es hozzászólásban leírt módon egy TOR-proxyt.
Tudom bizonyítani. Fogsz egy wiresharkot, vagy bármi más network analizert és szépen megnézed, hogy tõled kifele milyen irányba (milyen IP címre) és MI megy.. és majd látni fogod, hogy a Skype, semmi oda nem illõ dolgot nem küld , és fõleg nem ismeretlen IP címekre, illetve különösen nem titkosítva.
TitkosítatLANUL küldi el a Skype szerveréBE a te , illetve a proxyd (!) IP címét, valamint néhány járulékos adatot, mint pl. az Online Státuszod (away, busy, invisible), valamint onnan ( tehát a Skype központi IPjéRÕL LEtölti a kontakt listádat, a kontaktjaid, vagy azok proxyJÁNAK (!) IP-jét, és az online státuszukat, esetleg az idõ közben módosult személyes adataikat, amelyeket ÕK saját maguk publikáltak.
Szintén titkosítatlanul utaznak a központba a chatelések szöveges formái is, ez is csak akkor, ha betetted a pipát a chat üzenetek megõrzésébe. Ennek az oka, hogy ezek szintén titkosítatlanul utaznak, pontosan az, hogy a Skype mossa kezeit és igenis lehetssen látni, hogy NEM SUNNYOG, viszont itt a chatek, emiatt tényleg szinte bárki -nemhogy a hathatóság- által "lehallgat"hatóak.
Semmi extra hoki , meg ûberhoki nincs, amikrõl itt szó esett, tehát semmiféle idegen IP cím , meg kósza titkosított adatok nem másznak ki sehova se, de ha nekem nem hiszed el nézd csak meg magad ...