Υποκλοπή κλήσεων Skype

[redlabel]

Οι αρμόδιες υπηρεσίες της Ευρωπαϊκής Ένωσης (Eurojust) αναζητούν τρόπους υποκλοπής των κλήσεων που γίνονται μέσω του Skype. Ο αναφερόμενος λόγος; Η καταπολέμηση του κοινού εγκλήματος.

Η Skype (eBay) φέρεται ότι δήλωσε ότι θα συνεργασθεί (http://www.in.gr/news/article.asp?lngEn ... gDtrID=252).

Δ. Γκρ.

[Master_ex]

Πρίν λίγες μέρες είχα διαβάσει αυτό

Υψηλόβαθμα στελέχη της ιταλικής αστυνομίας εξέφρασαν τον προβληματισμό τους για την αυξανόμενη τάση των εγκληματιών να χρησιμοποιούν το πρωτόκολλο Voice over IP [VoIP], προκειμένου να αποφύγουν την παρακολούθηση από τις αστυνομικές αρχές. Σύμφωνα με τους αξιωματούχους, όλο και περισσότεροι εγκληματίες χρησιμοποιούν το Skype για τις συνεννοήσεις τους.

Είναι πολύ εύκολο για την αστυνομία να παρακολουθήσει τις συνομιλίες που πραγματοποιούνται με συμβατικά τηλέφωνα. Ωστόσο, η τηλεφωνία μέσω Internet αποτελεί ανυπέρβλητο εμπόδιο για τις διωκτικές αρχές, καθώς το Skype αρνείται να παραδώσει στην αστυνομία τα μυστικά του συστήματος κρυπτογράφησης των κλήσεων.

Ενδεικτικό της νέας τάσης είναι ένα περιστατικό που αποκάλυψαν οι αστυνομικές αρχές. Κατά τη διάρκεια της παρακολούθησης μιας συνομιλίας μέσω συμβατικού δικτύου τηλεφωνίας, ο ένας κακοποιός πρότεινε στον άλλον να διακόψουν τη συνομιλία και να συνεχίσουν μέσω Skype, προκειμένου να ρυθμίσουν τις λεπτομέρειες για την παράδοση δύο κιλών ναρκωτικών ουσιών.

Πηγή: BBC

Φαίνεται πως η Skype άλλαξε γρήγορα γνώμη.

[koki]

Ήρθα η ώρα λοιπόν να γυρίζουμε κι εδώ σιγά σιγά σε ποιο ανοικτά πρότυπα που προσφέρονται για υλοποίηση με κρυπτογράφηση ή άλλα μέτρα ασφάλειας.

[redlabel]

Ήρθα η ώρα λοιπόν να γυρίζουμε κι εδώ σιγά σιγά σε ποιο ανοικτά πρότυπα που προσφέρονται για υλοποίηση με κρυπτογράφηση ή άλλα μέτρα ασφάλειας.

Άρα, να ελέγχουμε εμείς οι ίδιοι "τα του οίκου" μας.

Δ. Γκρ.

[ablaz3r]

http://zfoneproject.com/

Zfone will encrypt audio and video for Apple iChat calls on Mac OS X. Zfone has been tested with these VoIP clients: X-Lite, Gizmo (audio, no video yet), XMeeting, Google Talk VoIP client, Yahoo Messenger's VoIP client (for audio), Magic Jack, and SJphone. It does not work with Skype.

[Proxenos]

http://zfoneproject.com/

Zfone will encrypt audio and video for Apple iChat calls on Mac OS X. Zfone has been tested with these VoIP clients: X-Lite, Gizmo (audio, no video yet), XMeeting, Google Talk VoIP client, Yahoo Messenger's VoIP client (for audio), Magic Jack, and SJphone. It does not work with Skype.

Το έχω χρησιμοποιήσει, ο χειρισμός του είναι πολύ απλός. Για συγκεκριμένες επιθέσεις δεν έχω μάθει μέχρι στιγμής κάτι.

Ήρθα η ώρα λοιπόν να γυρίζουμε κι εδώ σιγά σιγά σε ποιο ανοικτά πρότυπα που προσφέρονται για υλοποίηση με κρυπτογράφηση ή άλλα μέτρα ασφάλειας.

Άρα, να ελέγχουμε εμείς οι ίδιοι "τα του οίκου" μας.

Δ. Γκρ.

Πραγματικά, μόνο η end-to-end κρυπτογράφηση προσφέρει κάτι. Ας μην ξεχνάμε όμως ότι σήμερα θεωρούμε τα συμβατικά τηλέφωνα και τα κινητά ασφαλή. Η κρυπτογράφηση μας προσφέρει περισσότερα, καιρός είναι να αναλάβουμε δράση.

[redlabel]

Με βάση τη διεθνή εμπειρία και τα σχετικά ιστορικά δεδομένα, εκτιμάται ότι τα περισσότερα κρυπτοσυστήματα που κυκλοφορούν στην αγορά και στο διαδίκτυο έχουν ήδη κρυπταναλυθεί από τις ενδιαφερόμενες "ειδικές υπηρεσίες". Συνεπώς η ασφάλεια που παρέχουν δεν είναι επαρκής απέναντι στις "υπηρεσίες" αυτές. Sorry to ruin your hopes...

Δ. Γκρ.

[ablaz3r]

Έστω ότι πράγματι, με κάποιον τρόπο η No Such Agency ή αντίστοιχη υπηρεσία άλλης υπερδύναμης, μπορεί και κρυπταναλύει τα περισσότερα κρυπτοσυστήματα που κυκλοφορούν στο διαδίκτυο, είτε διότι έπαιξε έμμεσο ή άμεσο ρόλο στον σχεδιασμό τους (βλέπε D.E.S.*) είτε γιατί εντόπισε κάποια αδυναμία σε αυτά. Με όποιον τρόπο και αν το κάνανε, ήταν τόσο καλοί που μέχρι σήμερα κανένας κρυπτολόγος της ακαδημαϊκής κοινότητας δεν κατάφερε να εντοπίσει την κερκόπορτα ή την αδυναμία στον αλγόριθμο.
Λαμβάνοντας υπ’ όψιν, ότι μάλλον θα είναι ο πιο ευσεβής πόθος του κάθε ανερχόμενου ή ήδη αναγνωρισμένου κρυπτολόγου, να παρουσιάσει μια μέρα μια πρακτική επίθεση ενάντια στον rijndael, blowfish, twofish, IDEA κλπ, μπορώ να υποθέσω ότι προσπαθούνε σκληρά…

Είναι η παραπάνω υπόθεση λογική? Κατά τη γνώμη μου ναι... Μπορούμε να υποθέσουμε ότι οι υπηρεσίες έχουν μαζέψει τους καλύτερους, ενώ ταυτόχρονα τους δίνουν πρακτικά απεριόριστους πόρους για την εκπλήρωση του στόχου τους. Ακόμα όμως και αν κάποιος σταθεί τόσο τυχερός ώστε να ανακαλύψει κάτι, σίγουρα μπορούν να του κλείσουν ευγενικά ή ουσιαστικά το στόμα πριν αυτό διαρεύσει...

Στους συμμετρικούς αλγορίθμους τα μαθηματικά είναι τόσο πολύπλοκα που δεν θα προσποιηθώ ούτε για μια στιγμή ότι καταλαβαίνω τι γίνεται, πόσο μάλλον να προσπαθήσω να κρυπταναλύσω ένα κρυπτοσύστημα... Όμως τα πράγματα είναι λίγο διαφορετικά στην ασύμμετρη κρυπτογράφηση. Η πολυπλοκότητα των πράξεων της συμμετρικής κρυπτογράφησης δίνει την θέση της σε απλούστερες μαθηματικές πράξεις όπως ή παραγοντοποίηση (για τον RSA) ή το Discrete Logarithm Problem (πρόβλημα των διακριτών λογαρίθμων???) για τον Elgamal.

Σε τέτοια κρυπτοσυστήματα όπου η ασφάλεια έγκειται σε ένα γνωστό μαθηματικό πρόβλημα τι μπορούμε να υποθέσουμε? Υπάρχει εδώ χώρος για κρυφές κερκόπορτες? Πιστεύω ότι η απλότητα των μαθηματικών πράξεων (και δεν κάνω λόγο για κακή υλοποίηση του αλγορίθμου) δεν αφήνει πολλά περιθώρια.
Είναι τα κρυπτοσυστήματα αυτά ασφαλή ώστε κυβερνητικές υπηρεσίες να μην μπορούν να τα κρυπταναλύσουν σε χρονικό διάστημα που η πληροφορία η οποία θα αποκομίσουν να έχει αξία για αυτούς? Αν δεν έχουν ανακαλύψει κάποια πολύ έξυπνη λύση στο πρόβλημα της παραγοντοποίησης ή των διακριτών λογαρίθμων τότε θα υποστήριζα ναι...

Αλλά στην ουσία, τι νόημα έχουν τα παραπάνω? Μπορεί να έχουν κρυπταναλύσει τα πάντα, μπορεί και τίποτα. Αν θέλουν να τους πούμε το κλειδί κρυπτογράφησης μας, γιατί να ασχοληθούν με μαθηματικά? Ένα πιστόλι στον κρόταφο ή η υπόσχεση ότι θα σκοτώνουν τους αγαπημένους μας έναν-έναν μέχρι να τους πούμε το κλειδί, είναι μάλλον πιο αποτελεσματικές λύσεις και προπάντων πολύ πιο οικονομικές…

Η προσωπική μου άποψη: Αν δε σκοπεύετε να τα βάλετε με τέτοιες υπηρεσίες ή ακόμα και αν το τολμήσετε, είμαι βέβαιος, ότι αν χρησιμοποιήσετε ένα διαδεδομένο κρυπτοσύστημα τα δεδομένα σας θα είναι πολύ πιο ισχυρά προστατευμένα έναντι επιθέσεων από το να κάνετε τις αλχημείες που έκανα όταν ήμουν μικρός, όταν πίστευα ότι είχα φτιάξει το πλέον αδιάβλητο κρυπτοσύστημα χρησιμοποιώντας substitution ciphers...

Και κάτι τελευταίο... Αυτοί που ζητάνε (εκβιάζουν) το skype να τους δώσει τα κλειδιά κρυπτογράφησης των συνομιλιών το κάνουν είτε γιατί δεν μπορούν να το επιτύχουν μόνοι τους (ή γιατί τους είναι οικονομικά και χρονικά ασύμφορο) και φυσικά δεν πρόκειται για την NSA αλλά για σαφώς λίγότερο ισχυρούς οργανισμούς. Γιατί καμία NSA δεν θα τους βοηθήσει στο να κρυπταναλύσουν τα δεδομένα, αφού αν πράγματι είναι σε θέση να το κάνει θα τηρήσει σιγή ιχθύος... Σίγουρα επένδυσαν πολλά για να το καταφέρουν και θα για να συνεχίζουν να το κάνουν θα πρέπει εμείς να κοιμόμαστε ήσυχοι ότι το κρυπτοσύστημα που χρησιμοποιούμε είναι ισχυρό…
Χαρακτηριστικό παράδειγμα οι Άγγλοι που παρατηρούσαν απραγείς τις πόλεις τους να ισοπεδώνονται από τους Γερμανούς ανυπεράσπιστες, μόνο και μόνο για να τους κρύψουν το ότι σε θέση να κρυπταναλύσουν το Enigma…

* Η NSA έπαιξε ενεργό ρόλο στον σχεδιασμό των S-boxes (http://en.wikipedia.org/wiki/S-boxes) του DES και αυτός ήταν ένας από τους λόγους που κάποιοι αμφισβήτησαν την ασφάλεια του αλγορίθμου εξ’ αρχής αφού θεώρησαν βέβαιο ότι ο αλγόριθμος έχει κερκόπορτα. Σχεδόν 30 χρόνια αργότερα, αυτή η θεωρεία δεν έχει ακόμα επιβεβαιωθεί, αφήνοντας το μικρό μήκος του πεδίου ορισμού του αλγορίθμου την μόνη γνωστή και ουσιαστική του αδυναμία…

Συγνώμη, έχω καιρό να πάρω την δόση μου...

[Proxenos]

Με βάση τη διεθνή εμπειρία και τα σχετικά ιστορικά δεδομένα, εκτιμάται ότι τα περισσότερα κρυπτοσυστήματα που κυκλοφορούν στην αγορά και στο διαδίκτυο έχουν ήδη κρυπταναλυθεί από τις ενδιαφερόμενες "ειδικές υπηρεσίες". Συνεπώς η ασφάλεια που παρέχουν δεν είναι επαρκής απέναντι στις "υπηρεσίες" αυτές. Sorry to ruin your hopes...

Δ. Γκρ.

1. Από ποιον εκτιμάται;

2. Δεν υπάρχει κρυπτογραφική μέθοδος που δεν θα αναλυθεί, οπότε σκοπός δεν είναι να βρούμε την τέλεια μέθοδο αλλά να τους δυσκολέψουμε.

3. Εαν υπήρχε η τέλεια μέθοδος οι κρυπτογράφοι δεν θα είχαν δουλειά. Ας μην καταστρέφουμε τις δικές τους ελπίδες.

4. Δεν είναι μόνο οι "ειδικές υπηρεσίες" απέναντί μας. Υπάρχουν και "λιγότερο ειδικές".

5. Ακόμη και να μην έχει κρυπταναλυθεί κάτι, υπάρχει πάντα το brute force. Έτσι, αν με θέλουν πολύ, θα με βρουν ούτως ή άλλως.

6. Αυτή τη στιγμή στέλνουμε e-mail που δεν παρέχουν καμία απολύτως ασφάλεια και κάνουμε τηλεφωνήματα που μπορεί να τα υποκλέψει και ο Μαυρίκης. Εάν ξεφύγουμε έστω και λίγο από αυτό, εμένα μου φτάνει... Η δυσκολία για τις "υπηρεσίες" ανεβαίνει εκθετικά.

[rose]

5. Ακόμη και να μην έχει κρυπταναλυθεί κάτι, υπάρχει πάντα το brute force. Έτσι, αν με θέλουν πολύ, θα με βρουν ούτως ή άλλως.

Λιγο αργά όμως.

[Proxenos]

5. Ακόμη και να μην έχει κρυπταναλυθεί κάτι, υπάρχει πάντα το brute force. Έτσι, αν με θέλουν πολύ, θα με βρουν ούτως ή άλλως.

Λιγο αργά όμως.

Εξαρτάται από τις παραμέτρους της κρυπτογράφησης και την υπολογιστική ισχύ που έχουν διαθέσιμη.

[adam98]

μην ξεχνάμε και τις backdoors
http://www.heise.de/english/newsticker/news/113353

[redlabel]

μην ξεχνάμε και τις backdoors
http://www.heise.de/english/newsticker/news/113353

Αναρωτιόμουν κι εγώ, πού στο καλό είναι ο adam98;

Δ. Γκρ.

[ablaz3r]

μην ξεχνάμε και τις backdoors
http://www.heise.de/english/newsticker/news/113353

Δεν νομίζω όμως ότι μπορούμε να κατηγοριοποιήσουμε το Skype ως κρυπτοσύστημα...
Άλλωστε δεν πιστεύω ότι κάποιος που πραγματικά ενδιαφέρεται για την ασφάλεια των συνομιλιών του, θα πιστέψει ότι η "κρυπτογράφηση" που του προσφέρει ένα δρακόντεια κλειστό πρωτόκολλο, είναι επαρκής ακόμα και έναντι λιγότερο ισχυρών υπηρεσιών/οργανισμών…

[adam98]

μην ξεχνάμε και τις backdoors
http://www.heise.de/english/newsticker/news/113353

Δεν νομίζω όμως ότι μπορούμε να κατηγοριοποιήσουμε το Skype ως κρυπτοσύστημα...
Άλλωστε δεν πιστεύω ότι κάποιος που πραγματικά ενδιαφέρεται για την ασφάλεια των συνομιλιών του, θα πιστέψει ότι η "κρυπτογράφηση" που του προσφέρει ένα δρακόντεια κλειστό πρωτόκολλο, είναι επαρκής ακόμα και έναντι λιγότερο ισχυρών υπηρεσιών/οργανισμών…

1. Πιστεύω ότι: security by obscurity doesn 't work
2. Έδωσα το λινκ γιατί ο τίτλος του θέματος είναι "Υποκλοπή κλήσεων Skype"

[ablaz3r]

Να και ένα σχετικό άρθρο με το θέμα μας:
http://www.theregister.co.uk/2009/02/12 ... pe_pwnage/

Rumour suggests that America's NSA may be able to break Skype encryption - assuming they have access to a given call or message - but nobody else.
The NSA may be able to do that: but it seems that if so, this uses up too much of the agency's resources at present.