Skype + Ebay + FBI = säkerhetshål?
Nu när FBI och FCC pratar om att tvinga fram bakdörrar för avlyssning i alla VoIP-system känns det extra aktuellt att titta till Skype. Även om man köpts upp av amerikanska Ebay kommer man dock förbli ett eget bolag, baserat i Luxemburg. Men förmodligen kommer Ebay få påhälsning av amerikanska agentbyråer, och det är inte orimligt att man till sist ger efter för kraven.
Jag har tidigare skrivit om att Skype i dagsläget är omöjligt att avlyssna, på grund av (eller tack vare) kryptering. Det finns naturligtvis både för- och nackdelar med detta. Jag kan vara säker på att ingen vet vad jag säger, men å andra sidan kan också kriminella det.
Vanlig telefoni är förstås avlyssningsbar. Men såvitt jag förstår är det inte helt enkelt att koppla in sig på någon annans ledning. På Internet behöver man inte fysisk tillgång till några kablar (mer än sin bredbandskoppling); det räcker med en IP-adress. Idag skulle det gå att avlyssna Skype-samtal med hjälp av en trojan, men en bakdörr kan göra det ännu enklare. Hur lång tid skulle det ta för dvd-Jon att hitta/knäcka den?
FBI vill tvinga fram en bakdörr
Vad är egentligen en bakdörr? Som Skype ser ut idag använder man AES och RSA för att skicka samtalen. Dessa algoritmer har inga bakdörrar. En lösning är att lägga in bakdörren i själva programmet, så att FBI med en särskild nyckel kopplar in sig i ditt program och väntar på att du ska ringa. Det finns kanske andra, bättre sätt att göra en bakdörr på.
Zennström fick 2003 en fråga av News.com:
If the FBI or Europol came to you and said, ”We order you to include a secret backdoor for unencrypted wiretapping in the next version of Skype,” what would you do?
– Obviously we would work with authorities in whatever jurisdiction we would be subject to. Sure, we would sit down and talk to them. But we would not just say here’s the backdoor and just bluntly do it.
Nu är det alltså fastställt. ZDNets blogg om ip-telefoni skriver:
Last week, after FBI prompting, the FCC issued an edict requiring most VoIP providers install software that could accommodate authorized wiretaps. This capability is to be in place within 18 months.
Intressant att notera ”most VoIP providers”. Vad det innebär har jag inte lyckats ta reda på. Men som vanligt handlar det om ett beslut som bara gäller i USA. Om man ser Skype som enbart programvara utan kopplingar till USA behöver de inte bry sig.
Skype är stängd programvara
När det gäller kryptering och annan datasäkerhet brukar man säga att man inte ska lita på ”stängd” programvara. (Sådan som inte publicerar källkoden.) Skype påstår att de använder AES, men hur kan vi vet det utan att undersöka koden själva? Vanligtvis brukar oseriösa företag ta fram stängda produkter med hemliga krypteringsalgoritmer, men dessa ska man absolut inte lita på.
Skype litar man tydligen på, och kanske har det att göra med att företaget och Zennström verkar ”coola” och att de verkar veta vad de gör. Om de installerar en bakdörr måste vi tro att de har gjort ett gott jobb och att de inte har öppnat våra samtal för hackare världen över. Hade de istället valt att publicera källkoden hade vi kunnat låta världens alla experter kontrollera och testa, för att säkerställa vår fortsatta integritet.
I värsta fall inför man en bakdörr som knäcks av hackare. Då kommer Skype förlora kunder och tvingas ta fram en ny lösning. Så håller man på så fram och tillbaka i all evighet. Eller så låter man bli att införa bakdörren. Jag vet inte vilket jag föredrar.
Läs mer på The Register och Slashdot.
Läs fler artiklar om:
avlyssning, ebay, fbi, skype
Kommentarer
Flitiga kommentatorer
för eller sennare så kommer skpye bli tvungen att lägga in bakdörr i programet
men, det ska inte behövas efter som att 90% använder windows och där ligger det
en hel del bakdörar sammt att microsoft kan kolla vad du gör på din dator
för när du använder windows update så står det att du ger microsoft tillträde
till din dator för att rätta till fel
Skrivet av eriksson, onsdag 10 maj 2006, 21:05