Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

August 02 2012

Skype und die Überwachungsdiskussion

Momentan werden die Überwachungsmöglichkeiten von Skype diskutiert. Ausgangspunkt waren der Umzug von Verbindungsservern in Rechenzentren von Skype Eigentümer Microsoft und ein Artikel der Washington Post. Letzterer beruft sich auf Insider die über strukturelle Veränderungen und eine bessere Zusammenarbeit mit staatlichen Stellen berichten. Skype weist die Vorwürfe zurück – allerdings findet sich keine explizite Aussage welche Überwachungsmöglichkeiten bestehen und welche nicht. Jedenfalls betont Skype, dass sie durch die Serverumzüge nicht weiter ausgebaut worden wären. Behörden würde man Auskünfte innerhalb des gesetzlichen Rahmens erteilen, sofern Skype die Daten liefern könne. Nun stellt sich die Frage, wie die Überwachungssituation bei Skype wirklich aussieht. Eine Frage die nicht leicht zu beantworten ist.

Die technische Seite

Skype brüstete sich in der Vergangenheit immer wieder damit, das sie einer Überwachungsanordnung seitens der Polizei nicht entsprechen können. Mittlerweile äußern sie sich dazu nur noch ausweichend. Das Statement zu Überwachungsfragen lautet:

Our position has always been that when a law enforcement entity follows the appropriate procedures, we respond where legally required and technically feasible.

Technisch umsetzbar ist das Abhören von Voice- und Video-Calls bereits mit der vorhanden Infrastruktur. Der Richter Ulf Buermeyer beschreibt in seinem Blog die Möglichkeit über die in die Software integrierten Funktionen vom “normalen” Telefonnetz eingehende Anrufe zu empfangen (Skype-In) und in dieses zu telefonieren (Skype-Out) die Gespräche über Skype Server umleiten zu können. Dem anrufenden Skype-Clienten könnte so ein das Skype-Netz verlassendes Gespräch vorgegaukelt werden, dem angerufenen ein Anruf aus dem normalen Telefonnetz. Gespräche die das Skype-Netz verlassen müssen immer über Skype-Server laufen, auf welchen sie unverschlüsselt vorliegen. Skype kann so über die bereits vorhandene Infrastruktur einen Man-in-the-Middle-Angriff realisieren und die Ende-zu-Ende Verschlüsselung der Skype-Clienten aufheben.

Alternativ dazu könnten natürlich auch direkt in der Skype-Software Abhörmechanismen eingebaut werden. Ob und wie Überwachungsmechanismen umgesetzt wurden, lässt sich allerdings nicht nachvollziehen, da es sich um proprietäre Software handelt deren Source-Code man nicht einsehen kann. Technisch ist das Abhören von Skypegesprächen seitens Skype jedenfalls kein Problem – offen bleibt ob es auch gemacht wird – schauen wir uns die Aussagen und Gegebenheiten an.

Niemand hat die Absicht, Skype Gespräche abzuhören!

In den Skype AGBs stimmt man als Skype-Nutzer der Offenlegung von Informationen im Rechtsrahmen zu:

Skype, der örtliche Skype-Partner oder der Betreiber bzw. Anbieter, der die Kommunikation ermöglicht, stellt personenbezogene Daten, Kommunikationsinhalte oder Verkehrsdaten Justiz-, Strafvollzugs- oder Regierungsbehörden zur Verfügung, die derartige Informationen rechtmäßig anfordern. Skype wird zur Erfüllung dieser Anforderung angemessene Unterstützung und Informationen bereitstellen, und Sie stimmen hiermit einer derartigen Offenlegung zu.

Zu Chat-Nachrichten findet sich ebenfalls ein Absatz, der Skype erlaubt die Chat-Daten 30 Tage auf ihren Servern zu speichern:

Skype kann die Inhalte Ihrer Sofortnachrichten (Chats) speichern, um (a) Ihre Nachrichten zu übermitteln und zu synchronisieren und (b) Ihnen sofern möglich den Abruf Ihres Chat-Protokolls zu ermöglichen. Die Sofortnachrichten werden höchstens 30 Tage lang aufbewahrt, wenn gesetzlich nichts anderes festgelegt ist.

2007 äußerte Chief Security Officer Kurt Sauer auf zdnet.de auf die Frage ob Skype-Telefonate abgehört werden können:

Wir antworten auf diese Frage: Wir stellen eine sichere Kommunikationsmöglichkeit zur Verfügung. Ich werden Ihnen nicht sagen, ob wir dabei zuhören können oder nicht.

Betrachtet man, was bisher im Bereich-Skype-Überwachung bekannt wurde scheint das Vorhandensein eine Überwachungsmöglichkeit mehr als wahrscheinlich.

  • TOM-Skype, die chinesische Skype-Version, filtert und blockiert Textnachrichten und gibt diese an chinesische Behörden weiter. Dem Dienst vertrauten auch viele Bürgerrechtler die auf sichere Kommunikationsmöglichkeiten besonders angewiesen sind. Betroffen davon sind aber auch Nutzer in anderen Ländern, wenn sie mit einem TOM-Skype-Nutzer in China kommunizieren.
  • Mitte 2008 fand ein Treffen zwischen dem österreichischen Innenministerium und Providern statt. Laut ORF-Bericht wurde dort die Voll-Überwachung einzelner Internetanschlüsse diskutiert. Auf der anschließeneden Auskunftsveranstaltung sei zu erfahren gewesen, “dass die Überwachung von verschlüsselten Telefonaten via Skype zwar nicht ganz trivial sei, aber kein wirkliches Problem mehr darstelle.” Kurz zuvor sei die Skype-Verschlüsselung noch eines der Argumente zur Notwendigkeit des Bundestrojaners gewesen.
  • In einer Pressemitteilung von Anfang 2009 warf die europäische Behörde zur Koordinierung grenzüberschreitender Strafermittlung Eurojust Skype vor, das Abhören von Skype-Telefonaten durch Verschlüsselung zu verhindern. Sie korrigierte sich jedoch: Es gäbe bereits seit 2006 Treffen und eine Kooperation mit Skype. Skype habe in der Mitteilung nur als Beispiel für VoIP gedient.
  • Der Anwalt Udo Vetter bloggte 2010 von einem Rechtsstreit, in dem ein Ermittlungsbeamter aussagte,

    Seine Behörde könne Skype – auch Gespräche von Skype zu Skype – heute genauso abhören wie das normale Telefon. Wie, wollte er allerdings nicht verraten. Die Vorsitzende Richterin merkte dazu an, sie habe in ganz neuen Sachen auch schon Skype-Abhörprotokolle gesehen.

  • Seit 2010 betreibt Skype zentrale Netzwerkknoten (Supernodes). Diese dienen als Kommunikationsvermittler, können aber auch Kommunikationsverbindungen über sich routen, um eine Verbindung zu ermöglichen, die Peer-to-Peer nicht zustande kommen kann. Auf der anderen Seite wurde hierdurch aber auch die Infrastruktur geschaffen um Kommunikation abzuhören.
  • Mitte 2011, kurz nach dem Kauf Skypes, wurde Microsoft ein Patent zugesprochen, dass das Abhören von VoIP beschreibt. Microsoft besitzt also ein Patent um Skype abzuhören…
  • Erst kürzlich wurde bekannt, dass Microsoft die von Nutzern hochgeladenen Daten auf Skydrive auf Verstöße gegen die AGB scannt und bei einem Verstoß den kompletten Windows Live Zugang sperrt.

Weitere Bedrohungen

  • In mehreren Ländern wird die Forderung oder Einführung von Staatstrojanern mit Skype begründet. Die Trojaner werden auf dem Zielrechner installiert und fangen die Kommunikation noch vor der Verschlüsselung bzw. nach der Entschlüsselung ab und leiten sie an die Überwacher weiter. Letztlich handelt es sich um eine spezielle Art der Online-Durchsuchung.
  • Das Europäische Institut für Telekommunikationsnormen (ETSI) standardisiert die Überwachung von Telekommunikation. Gerade ist man dabei Standards für die Cloud und Web2.0 Dienste auszuarbeiten. Darunter fallen neben sozialen Netzwerken, auch Chat und VoIP – also auch Skype. Die Polizei soll sowohl live auf die Inhaltsdaten zugreifen, als auch die Vorratsdaten der Kommunikation abrufen können. Um dies zu gewährleisten sollen die Anbieter gezwungen werden Hintertüren einzubauen. Außerdem soll die SSL-Verschlüsselung mit Man-in-the-Middle-Angriffen ausgesetzt werden – wir berichteten.

Fazit

Einen definitven Beweis für eine Abhörschnittstelle gibt es nicht, aber einige Informationen die stutzig machen. Da der Code Closed-Source ist kann nichts überprüft werden und man ist darauf angewiesen, dem Lavieren seitens Skype zu vertrauen.

Gerade unter Regimekritikerinnen hat Skype einen guten Ruf in Sachen Sicherheit. Die momentane Informationslage lässt den Sicherheits-Status von Skype allerdings anzweifeln. Insbesondere Regimekritiker sollten auf freie Software mit freien Implementierungen von Verschlüsselungsstandards setzen (zum Chatten beispielsweise Jabber mit OTR-Encryption) – alle anderen aber natürlich auch…

flattr this!

January 10 2012

Microsoft vs Open Standards

In Großbritannien waren Anfang letzten Jahres offene Standards bei der Softwarebeschaffung zur Handlungsempfehlung für Regierungsbehörden geworden. Das Cabinet Office hat seine Action Note allerdings Ende 2011 zurückgezogen. Eine Umfrage habe zu Fragen geführt, die erst geklärt werden müssten.

Wie vor wenigen Tagen durchgesickert ist, hatte bei diesem Vorgang Microsoft seine Finger im Spiel:

[Microsoft] complained specifically about the wording of UK procurement policy, which in January 2011 established a definition to explain its edict that open standards should be used in government computing wherever possible. UK policy specified that “[open standards] must have intellectual property made irrevocably available on a royalty free basis”. [...] It also told the Cabinet Office it “agrees that open standards are key to delivering this [policy mission]“, said the brief. But it opposed the Cabinet Office office definition of an open standard. It said the definition of open standards adopted in the government ICT strategy would hamper innovation and restrict “freedom of choice for citizens”.

Die Lösung ist also einfach: Microsoft unterstützt offene Standards, solange damit gemeint ist, dass das was Microsoft verkauft, als offener Standard angesehen wird.

Das Cabinet Office hat eine Weiterentwicklung der Richtlinie angekündigt:

A formal public consultation will be published to gather evidence and further develop the open standards policy. The consultation will be published on the Cabinet Office website.

Man darf gespannt sein, wie “open standard” dann definiert sein wird.

Während im Vereinigten Königreich ein solcher Vorgang noch aufwändiges Lobbying benötigt, funktioniert das Ganze in anderen Teilen der Welt sehr viel direkter, wie aus Indien berichtet wird, wo Open-Source-Policies immer populärer zu werden schienen:

West Bengal information technology (IT) minister recently urged global IT software giant Microsoft to invest in Bengal, promising all assistance by way of infrastructure and encouragement from the government’s side. And it did provide support to the proprietary software vendor in the form of an MOU with Microsoft, according to which the company will invest in Bengal if the Government of West Bengal vetos anything apart from the use of Microsoft’s cloud platform and technology for future e-governance projects.

A state which has been popular for using FOSS has now entered in a conditional pact where it has ‘willingly’ chose to spend money on proprietary software despite the availability of free and open source alternatives.

August 02 2011

Anti-Google-PR in der Frankfurter Rundschau

Das Blog “Digitale Linke” verweist auf einen Google-kritischen Gastbeitrag in der Frankfurter Rundschau, der von Christoph Waitz geschrieben wurde. Waitz ist Sprecher von ICOMP, einer von Microsoft mitfinanzierten Astroturf-Initiative, die von der PR-Agentur Burson-Marsteller gelenkt wird. Das steht aber nicht in dem FR-Text.

flattr this!

May 13 2011

Burson-Marsteller im bezahlten Anti-Google-Feldzug

In der USA ist gerade Facebook aufgefallen, die die intenational agierende Lobbyagentur Burson-Marsteller damit beauftragt haben, eine Schmutzkampagne gegen Google durchzuführen. Dumm für beide Beteiligte ist, dass dies aufgefallen ist. Spiegel-Online hat in zwei Artikeln die Zusammenfassung: Facebook lässt Google anschwärzen / Facebook schlittert ins PR-Desaster. Lustigerweise beschreibt Wikipedia Burson-Marsteller als Experten für Krisenkommunikation.

Originalquellen gibt es in englisch bei DailyBeast (“Facebook Busted in Clumsy Smear on Google“) und USAToday (“Google deflects PR firm’s attack of Gmail privacy“).

In Deutschland agiert Burson-Marsteller seit einiger Zeit mehr oder weniger verdeckt im Auftrag von Microsoft gegen Google und hat sich mit der Initiative ICOMP ein kleines Grassroots-Astroturfing-Netzwerk aufgebaut. Spreeblick hat sich die Mühe gemacht und nochmal einige Fakten zu Icomp zusammengestellt: Auch Microsoft bezahlt Burson-Marsteller für Anti-Google-PR.

Mehr Hintergrund zur Arbeit von Burson-Marsteller und vergleichbaren Agenturen liefert das sehr empfehlenswerte Buch Giftmüll macht schlank: Spin Doctors, PR Wizards, Medienprofis. Die Wahrheit über die Public-Relations-Industrie. (Amazon-Partnerlink) Kostet 20 Euro und beschreibt sehr detailliert, wie in den USA Lobby- und PR-Agenturen die Öffentlichkeit manipulieren und mit welchen Methoden sie gegen Aktivisten vorgehen.

flattr this!

March 30 2011

Die Gründungsjahre von Microsoft

In Vanity Fair erzählt der Microsoft-Mitgründer Paul Allen, wie das so in den Gründungsjahren der Firma war: Microsoft’s Odd Couple.

It’s 1975 and two college dropouts are racing to create software for a new line of “hobbyist” computers. The result? A company called “Micro-Soft”—now the fifth-most-valuable corporation on earth. In an adaptation from his memoir, the author tells the story of his partnership with high-school classmate Bill Gates, until its dramatic ending in 1983.

flattr this!

March 25 2011

Microsoft spart https im arabischen Raum

Aus bisher nicht kommunizierten Gründen hat Microsoft für den eigenen eMail-Dienst Hotmail Nutzern in arabischen Ländern einfach mal das https entzogen. Jillian C. York hat heute Morgen erste Hinweise darauf bekommen und im Laufe des Tages die Meldung verifiziert und verbloggt: Microsoft Hotmail: No HTTPS for Arab, Iranian Users.

Nutzer in Ländern wie Iran, Syrien, Bahrain, Marocco, etc. können die https-Funktion nicht nutzen, Nutzer in allen anderen Ländern wie Deutschland, USA, etc. können sicherer mailen. Man kann das auch verifizieren (sofern man einen Hotmail-Account besitzt), wenn man dort in den Einstellungen einfach mal das Land wechselt. Ein Klick in ein anderes Land und plötzlich ist etwas mehr Sicherheit da. Damit sind gerade durch den Wegfall von https genau die Länder betroffen, wo Menschen gerade erst recht https bräuchten, um ihre Leben nicht zu gefährden, wenn sie sich dort politisch engagieren und ihre Meinung frei äußern.

Jillian C. York empfiehlt deshalb auch allen Nutzern in diesen Ländern, entweder in den Einstellungen das Land oder besser gleich ganz den Service zu wechseln.

flattr this!

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl