måndag, augusti 10, 2009

Miljardbelöning utsatt på Skype

Läser i The Register från februari 2009 och juli 2009 att NSA har utlyst en miljardbelöning för det företag som kan ordna med avlyssning av Skype. Tydligen klarar NSA inte av Skype's anonymisering och kryptering. The Register berättar också att brittiska och amerikanska lagar tvingar företag att ge NSA och GCHQ sina krypteringsnycklar. Nu råkar Skype vara baserat i Estland som är utom räckhåll.

NSA och GCHQ skulle kanske testa med avlyssning/övervakning som har lagstöd och/eller ansöka om domstolsbeslut. I Skypes integritetspolicy kan man läsa följande.

Med undantag för vad som anges nedan kommer Skype inte att sälja, hyra ut, utväxla eller på annat sätt överföra några personuppgifter och/eller trafikuppgifter eller kommunikationsinnehåll till tredje part utan ditt uttryckliga tillstånd, såvida inte tillämplig lag eller ett domstolsbeslut tvingar Skype att göra det.
Ganska rimligt, eller?

Som en fotnot kan man lägga till att The Register's läsare är skeptiska. En av dem skriver följande i ett kommentatorsfält.
The NSA "bounty" is also a funny joke. Several companies tied up in the US
warrantless wiretapping scandal had sold he NSA Skype eavesdropping tech years before the "bounty".

As I said the encryption really isn't that strong and the Skype's port hopping algorithms were broken years ago. The NSA just want to keep up the ruse that people using Skype are "safe" so they don't have to buy a bunch of new kit.
Bloggar
HAX, Juristens funderingar, Olofs Blogg

14 kommentarer:

Jonas B sa...

Intressant, men svårbedömt. Det verkar ändå som om signalspanarna har vissa problem med IP-telefoni. GCHQ:s projekt "Mastering the Internet" handlar bland annat om detta, vilket man skrivit rakt ut i ett pressmeddelande:

"GCHQ is heavily dependent on technology in order to execute our global missions. An increasingly rapidly changing digital world demands speedy innovation in our technical systems, allowing us to operate at internet pace, as the information age allows our targets to. One of our greatest challenges is maintaining our capability in the face of the growth in internet-based communications and voice over internet telephony."

Det är nog också mot den här bakgrunden man bör förstå begreppet aktiv signalspaning, som helt enkelt handlar om dataintrång. Som bekant har det också funnits misstankar om att FRA ägnar sig åt detta, varför FRA-chefen Ingvar Åkesson kallades till Försvarsutskottet förra våren.

Aktiv signalspaning kan nog innebära lite olika saker. Ofta talar man om plantering av spionprogram. En annan modell skulle kunna vara att signalspaningstjänsten själv agerar på nätet, t.ex. genom att låtsas vara en server i ett VoIP-nätverk. Dessa metoder torde dock (än så länge) vara olagliga att använda för FRA. Men om utländska tjänster (eller svenska KSI) skulle göra detta och sedan erbjuda FRA materialet, undrar jag om Ingvar Åkesson skulle tacka nej. Kanske något för kontrollfunktionerna att hålla ögonen på? För även etiken skulle väl granskas?

Tor sa...

Litet intressant hur de skulle lyckas betala den där miljardbelöningen utan att det samtidigt avslöjas att de har förmågan att avlyssna Skype-samtal, vilket ju skulle göra hela belöningen meningslös...

Mark Klamberg sa...

Vad säger ni om följande?

Är "aktiv" signalspaning (datahackning av enskilda datorer) värre än "passiv" signalspaning (övervakning av all kommunikation) för oss som har "rent mjöl i påsen"?

Förutsätter aktiv signalspaning att man sysslar med passiv signalspaning?

Jonas B sa...

Bra frågor, Mark. Jag tror inte att aktiv signalspaning kan ersätta passiv. Snarare är den förra ett komplement till den senare. Genom den passiva avlyssningen kan man kanske komma fram till att ett målobjekt använder sig av ett kommunikationssätt som kräver aktiv spaning. Måhända behöver man också genomföra passiv inhämtning parallellt med den aktiva insatsen. Men det är mera en gissning.

Vad är då värst ur integritetssynpunkt? Här är det svårt att ge ett generellt svar. Att hacka sig in i en enskild dator kan ju låta som mindre ingripande än att övervaka all kommunikation. Jag gissar också att det är så signalspanarna skulle motivera en lagändring. Men det avgörande är väl vilken dator vi talar om, och hur den används. Om vi tänker oss exemplet att någon tjänst "leker server" i ett VoIP-nätverk föreställer jag mig att integritetsintrånget för "vanligt folk" blir betydande. För att komma åt spaningsobjekten får man en massa överskottsinformation på köpet. Det gamla vanliga problemet med andra ord.

Så jag tror inte man kan sätta likhetstecken mellan smal och aktiv respektive bred och passiv.

Flurre sa...

Alldeles oavsett om NSA kan bryta sig igenom Skypes krypto så är det en helt annan sak att göra det för massavlyssning; det senare kräver att man hittar ett ganska enkelt sätt att bryta ner det hela för att hårdvarukostnaderna inte ska bli enorma för att få tillräcklig kapacitet.

Jag tror faktiskt att inte ens NSA generellt kan bruteforca Skypes krypto, mer sannolikt är att man genom begränsningar i nyckelgenereringen ändå kan hitta nyckeln i många fall. Det skulle kunna vara detta som ordet "reliable" syftar på, att hitta ett 100% säkert sätt att reducera söktiden, dvs den effektiva nyckellängden.

Mark Klamberg sa...

I inlägget och artiklarna som jag hänvisar till talas det om att NSA även har problem med Skypes anonymisering. Min tes är ju att NSA, FRA och dylika organisationer framförallt, men inte endast, sysslar med trafikanalys. Därmed håller de inte på med massavlyssning i bemärkelsen att innehållet i alla medddelandet analyseras. Det sänker hårdvarukostnaderna, som fortfarande blir höga, men inte astronomiska.

Johan Tjäder sa...

Man ska sörja för sin egen kryptering om man vill vara säker.

Hans J sa...

Second Line of Defence:
http://zfoneproject.com/

Zfone fungerar inte med Skype dock men de flesta övriga SIP-tjänsterna. VPN & zfone i båda ändar borde göra susen...

NSA må ha hur kraftfulla datorer och hur smarta matematiker som helst men dom får bara mer och mer avancerade krypon emot sig. Nycklarna blir lätt så långa så ingen dator i världen klarar att "knäcka" dem.

Det får vara nog nu - vi vanliga människor vill prata i fred. De kriminella elementen gör det ju redan.

dan sa...

"min pappa ar starkare an din pappa!"

Den kanslan far jag alltid nar folk pratar NSA. organisationen som "kan" lyssna pa allt,see allt, etc
man far ge dom en eloge far att ha den mest effektiva PR byron utan att lagga ett spann pa PR.

Om man soker lite pa internet sa kan man aldrig hitta dessa fall da Skype har knackts.
i borjan sa visste ingen nagot om skype och en del research upptackte da vissa delar av hur skype fungerade. med aren sa har skype teknik blivit mer tillganglig och det har visat sig att det har anvant best practice. dvs an sa lange sa finns inget satt att knacka skype. tyskarna (polis i bayern) hackade sig i pa datorerna dar samtalet kopplades upp men knackte aldrig skype. i kina sa har en samarbetspartner "Forstort" skype (den kinesiska" version) sa att kina kan filterar IM tjansten.
i ovrigt sa har alla pastanden om att skype ar knackt hittintills nar jag har forsokt hitta en kalla visat sig osubstantierade.

http://blogs.computerworld.com/skype_caught_in_chinese_pr_snafu

http://www.p2pnet.net/story/17048

att NSA skulle ha lyckats plantera en mole inom skype haller jag inte heller for allt for troligt. om det var ett 100 personers operation att skrivva koden, visst, men skype ar utvecklad av en relativ liten grupp manniskor

/Dan

Tor sa...

"Är 'aktiv' signalspaning (datahackning av enskilda datorer) värre än "passiv" signalspaning (övervakning av all kommunikation) för oss som har 'rent mjöl i påsen?"

Som Jonas redan svarat beror det ju litet på. Om det görs intrång på en central nod för kommunikation kan det ju drabba många.

En avgörande skillnad mellan aktiv och passiv spaning som är värd att nämnas är att aktiv spaning alltid löper större risk att avslöjas. Sådana avslöjande kan leda både till en stor PR-motgång med politiska följder och det kan också leda till att säkerhetstjänsten avslöjar delar av sina metoder och sin förmåga och sina spaningsobjekt.

Om du jämför med tex. andra världskriget så valde britterna flera gånger att inte använda sig av den information som de fått eftersom det skulle röja deras förmåga att läsa motståndarsidans meddelanden. På samma sätt är det otroligt att någon via aktiv spaning vill riskera att exponera sig annat än vid mycket viktiga fall (misstanke om mycket grov brottslighet eller politiskt spel på hög nivå). Så det finns vissa spärrar som saknas vid omfattande passiv spaning.

handen sa...

Skype är inte baserat i Lettland. Huvudkontoret ligger i Luxemburg, medan utveckling och drift sköts från Estland - Skypes hemland.

Jörgen L sa...

Är aktiv spaning värre?

Ja, eftersom den passiva spaningen kan man enkelt skydda sig mot genom att kryptera. Den aktiva spaningen i form av virus och trojaner, lyssnar i din egen dator i en miljö du själv antar är skyddad från insyn.

Jämför med att ha övervakningskamera på offentlig plats och ha övervakningskamera placerad i ditt hem utan din vetskap. Eller avlyssning på offentlig plats jämfört med buggar i lägenheten.

JJ sa...

Det talas i en tidigare kommentar om etik vid informationsutbyte med utlandet.

Här finns det onekligen problem som inte diskuterats tillräckligt i FRA-debatten. I vilken utsträckning hjälper signalspaningstjänsterna varandra att kringgå nationell lagstiftning?

Ta t.ex. tyska BND som verkar ha en rigorös lagstiftning när det gäller spaning mot tyskar. Kan det tänkas att man ändå kan få sådan trafik från sina utländska vänner? Är inte hela underrättelsevärlden uppbyggd kring tjänster och gentjänster?

Det är inte lätt att hitta någon annan begränsning i FRA-lagstiftningen än att upggifterna man lämnar ut inte får skada svenska intressen.

Anonym sa...

Att NSA skulle ge miljarder i belöning är ju bara rappakalja.

Varför skulle en organisation som avlönar flest antal experter inom matematik och kryptologi och IT gå utanför deras sedvanliga rutiner och ta bort incitamentet för NSA att få folk att bli avlönad av NSA?

Och för att torpedera den konspiratoriskt lagda, NSA anställer redan flest experter i världen, och Skype är skyldiga att följa även Amerikansk lag, inte bara Kinesisk lag i Kina -- vilken ju renderade en helt egen version av Skype, eftersom dom inte riktigt nöjde sig med sedvanlig avlyssning.

***

Jonas B, "Det är nog också mot den här bakgrunden man bör förstå begreppet aktiv signalspaning, som helt enkelt handlar om dataintrång."


Varför inte använda begreppet av dom som i stort sett hittade på begreppet för tio år sedan: FOA-tidningen. (Dom verkar ju också tämligen ensamma om att använda begreppet.)

"Aktiv signalspaning är ett begrepp som används för att beteckna aktiva åtgärder för att möjliggöra signalspaning. Det kan tex innebära "hacking" för att sätta kryptering ur spel, för att tänga igenom en brandvägg eller för att styra ut datafiler på kommunikationsnät."


GCHQs pressmeddelande rör ju något så fundamentalt, och abstrakt, som att dom måste fatta tekniken bättre än den potentiella fienden för att få ett informations övertag. Samma mantra som NSA använder också, fast avsevärt mer kortfattat:

"Our Vision

Global Cryptologic Dominance through National Network Advantage."

:p


***

Jörgen L,

"Är aktiv spaning värre?

Ja, eftersom den passiva spaningen kan man enkelt skydda sig mot genom att kryptera. Den aktiva spaningen i form av virus och trojaner, lyssnar i din egen dator i en miljö du själv antar är skyddad från insyn."


Passiv spaning är det ingen som kan skydda sig mot, eftersom den endast innefattar insamlandet av data/information, både on och off line. Det är ju det som är hela argumentet mot att FRA kopplar in sina egna kopieringsapparater för att spegla informationen.

Sen spelar det ingen roll om du krypterar din information eller inte, routrar behöver fortfarande informationen från vem och till vem. (Vilket ju är vad Klamberg grämmer sig över när han spånar om massövervakning, och generaliserad trafikanalys, ty i dessa fall är information om informationen alldeles tillräckligt.)

Sen spelar det ju förvisso mindre roll, också, om du krypterar din kommunkation ifall du nu mot all förmodan skulle bli hög-intressant för FRA, NSA, etc, och generera ett beslut om att du skall övervakas och avlyssnas. Ty det är ju liksom du som är den svagaste länken i all din kommunikation.

Jag tycker nog att det sk "aktiv signalspaning" nog är bättre än "passiv". Dels för att det sannolikt är en domstol som godkänner skiten, och dels för att antalet som det spanas på minimeras till dom som det ska spanas på.


//ST