Macht mich mal schlau. Golem.de http://www.golem.de/0809/62474.html und
andere schreiben heute:

| Bayerische Polizeibeamte haben die Privaträume des Sprechers der
| "Piratenpartei Deutschland", Ralph Hunderlach, durchsucht. Sie
| fahndeten nach einem Informanten aus dem bayerischen
| Justizministerium, der den Datenschützern und Computerexperten
| Informationen über einen vermutlich illegal eingesetzten staatlichen
| Trojaner zum Abhören von Skype-Telefonaten zugespielt hatte.

Das bedeutet aus meiner Sicht, das da ganz streng geheime Dokumente
verloren gingen und man einige Monate rätselte was wohl sinnvoller ist:
Entweder zuzugeben, das Skype in die Rasterfahndung einbezogen ist oder
einfach die Tatsache tot zu schweigen. Nun hat man sich für Ersteres
entschieden. Wenn Skype tatsächlich überwacht wird, dann ist es illegal
und bedeutet einen skandalösen Verfassungsbruch durch das LKA Bayern.

Das normale Telefonverbindungen abgehört und aufgezeichnet werden können
verstehe ich noch halbwegs. Was aber kann bei Skype mitgeschnitten
werden? Aus meiner Sicht doch nur die Anzahl der Gespräche und die
Nummer des Gesprächspartners. Wenn Gesprächsinhalte bekannt würden,
entspräche das einer undichten Stelle beim Anbieter bzw. einem
geknackten Code *AES-256* in Echtzeit. Oder gibt es noch andere
Möglichkeiten?

Am Wed, 17 Sep 2008 19:00:17 +0200 schrieb Manfred Fiebig:

> Das normale Telefonverbindungen abgehört und aufgezeichnet werden können
> verstehe ich noch halbwegs. Was aber kann bei Skype mitgeschnitten
> werden? Aus meiner Sicht doch nur die Anzahl der Gespräche und die
> Nummer des Gesprächspartners. Wenn Gesprächsinhalte bekannt würden,
> entspräche das einer undichten Stelle beim Anbieter bzw. einem
> geknackten Code *AES-256* in Echtzeit. Oder gibt es noch andere
> Möglichkeiten?

Ein Trojaner, der alles, was an Ton rein oder rausgeht, an eine
Mithörstelle sendet. Das gibt es schon seit ISDN-Zeiten, nur da war es
wenig sinnvoll.
Um Skype abzuhören, muss nur bei einem der Gesprächspartner der PC
kompromittiert sein.

Grüße, Till

Manfred Fiebig <manfred_fiebig> wrote:
> entspräche das einer undichten Stelle beim Anbieter bzw. einem
> geknackten Code *AES-256* in Echtzeit. Oder gibt es noch andere
> Möglichkeiten?

Klar, der Anbieteter gibt die Codes an die LEA - muss er ja.

Gruss
Bernd

Till Potinius <datenrecycling>:
> Um Skype abzuhören, muss nur bei einem der Gesprächspartner der PC
> kompromittiert sein.

Oder einer der P2P Tracker, oder einer der Skype master Server, oder
der Knoten, ueber den die Kommunikation gerade laeuft, oder der
Schluessel des Herstellers.

Skype und Sicherheit sind zwei voellig verschiedene Welten.

Juergen

* Manfred Fiebig <manfred_fiebig> [17-09-08 17:00]:
> Macht mich mal schlau. Golem.de [..] und
> andere schreiben heute:
>
>| Bayerische Polizeibeamte haben die Privaträume des Sprechers der
>| "Piratenpartei Deutschland", Ralph Hunderlach, durchsucht. Sie
>| fahndeten nach einem Informanten aus dem bayerischen
>| Justizministerium, der den Datenschützern und Computerexperten
>| Informationen über einen vermutlich illegal eingesetzten staatlichen
>| Trojaner zum Abhören von Skype-Telefonaten zugespielt hatte.
>
> Das bedeutet aus meiner Sicht, das da ganz streng geheime Dokumente
> verloren gingen und man einige Monate rätselte was wohl sinnvoller ist:
> Entweder zuzugeben, das Skype in die Rasterfahndung einbezogen ist oder
> einfach die Tatsache tot zu schweigen. Nun hat man sich für Ersteres
> entschieden. Wenn Skype tatsächlich überwacht wird, dann ist es illegal
> und bedeutet einen skandalösen Verfassungsbruch durch das LKA Bayern.

Die südlichen Nachbarn machen es doch angeblich auch schon, warum sollte
der Bayer da zurückstehen?
http://www.heise.de/security/meldung...pe-189880.html

Juergen P. Meier wrote:
> oder der Knoten, ueber den die Kommunikation gerade laeuft,

was genau meinst Du da mit "Knoten"?

> Skype und Sicherheit sind zwei voellig verschiedene Welten.

s/Skype/VoIP/

Am 17.09.2008 21:06 tippte Jens Schüßler:

> Die südlichen Nachbarn machen es doch angeblich auch schon, warum sollte
> der Bayer da zurückstehen?
> [..]

Das habe ich zwar auch schon gelesen, fand aber den Verdacht doch ebissl
weit her geholt. Ich tippe eher auf eine Ente im Bilderbogenstil. Wenn
es tatsächlich so wäre, würde der ganze Aufwand mit AES-256 nur ein
großer Bluff sein und müsste sich auch messtechnisch nachweisen lassen.

Eben so gut kann ein Backdoor auch im BS oder in die Programmdateien
integriert sein. Damit wäre die Identifizierung der jeweiligen Person
viel einfacher.

Anderseits, falls in den gesuchten Dokumenten wirklich etwas über die
Technologie drin steht, können sich die $Service jedes "For Eyes Only"
abschminken. Das Papier wird dann nur noch den darin namentlich
genannten Autoren gefährlich und in Bezug auf diesen Personenkreis genau
das Gegenteil von dem bewirken, was ursprünglich erreicht werden sollte:
Es wird zum unberechenbaren Rohrkrepierer!

Stellen wir uns einfach mal vor, es wird als Autor Herr Prof. So&So
genannt, welcher an der Uni Irgendwo lehrt.... Die Folgen sind nicht
auszudenken.

Also wenn ihr mich fragt, so ist das Ganze eher eine Art Nervenkrieg
zwischen den Anhängern eines krankhaften Wiesenbesuchers
http://www.freenet.de/freenet/nachri...fc6060a85.html und einer neuen unliebsamen Partei, welche zu
allem Überdruss weder dunkelrot noch dunkelbraun ist, daher ein völlig
unbekanntes Feindbild besitzt. In dieser Auseinandersetzung hat das
baschuwarische LKA zuerst die Nerven verloren und die Dokus als
Aufhänger benutzt.

Jens Hektor <hektor>:
> Juergen P. Meier wrote:
>> oder der Knoten, ueber den die Kommunikation gerade laeuft,
>
> was genau meinst Du da mit "Knoten"?

Skype ist ein P2P System.

>> Skype und Sicherheit sind zwei voellig verschiedene Welten.
>
> s/Skype/VoIP/

Nein. Hier ging es um Skype, Skype ist vieles, u.v.a. auch VoIP.

VoIP geht auch sicher, aber das hat dann ueberhaupt nichts mehr mit
Skype zu tun.

Juergen

Manfred Fiebig wrote:

>| Bayerische Polizeibeamte haben die Privaträume des Sprechers der
>| "Piratenpartei Deutschland", Ralph Hunderlach, durchsucht. Sie
>| fahndeten nach einem Informanten aus dem bayerischen
>| Justizministerium, der den Datenschützern und Computerexperten
>| Informationen über einen vermutlich illegal eingesetzten staatlichen
>| Trojaner zum Abhören von Skype-Telefonaten zugespielt hatte.

> [...]

> Das normale Telefonverbindungen abgehört und aufgezeichnet werden können
> verstehe ich noch halbwegs. Was aber kann bei Skype mitgeschnitten
> werden? Aus meiner Sicht doch nur die Anzahl der Gespräche und die
> Nummer des Gesprächspartners. Wenn Gesprächsinhalte bekannt würden,
> entspräche das einer undichten Stelle beim Anbieter bzw. einem
> geknackten Code *AES-256* in Echtzeit. Oder gibt es noch andere
> Möglichkeiten?

So wie ich das Dokument verstehe, bietet besagte Fa. eine SW
(Skype-Capture-Unit) an, die auf einem der zu überwachenden Rechnern
installiert sein muss. Die SW zeichnet Tastatureingaben und
Audioeingaben auf und sendet sie an eine Zentralstelle auf diese
wiederum die Polizeidienststelle Zugriff hat.

Es geht hierbei meines Erachtens nicht um das "knacken" von Skype oder
der AES-Verschlüsselung.

Seht hier:

Allerdings halte ich von diesem Dokument nicht allzuviel. Scheint mir
mehrfach bearbeitet worden zu sein.

Am 18.09.2008 08:03 tippte Markus Baumueller:

> Es geht hierbei meines Erachtens nicht um das "knacken" von Skype oder
> der AES-Verschlüsselung.
>
> Seht hier: [..]
>
> Allerdings halte ich von diesem Dokument nicht allzuviel. Scheint mir
> mehrfach bearbeitet worden zu sein.

Das ist mir neu und finde es lustig. Es ist ein Dokument des
bajuwarischen Justizministeriums und reicht zu dessen Kompromittierung.
Jetzt verstehe ich auch deren Panik. Bezüglich der Nachbearbeitung
stimme ich dir zu.

Es ist aber auch ersichtlich, das eine Überwachung durch das
kommerzielle Unternehmen *DigiTask* GmbH aus 35708 Haiger
http://www.digitask.de/ initiiert und durchgeführt wird. Geld stinkt
wieder mal nicht und alles ist käuflich und hat seinen Preis.

Anderseits muß das ursprüngliche Original schon uralt sein, weil ja noch
vom IÄ6 und FF 1.5 die Rede ist. Die abgebildete Kopie wurde vermutlich
am 25.01.08 erstellt. Genau datieren lässt es sich in diesem Zustand
kaum und besteht eh nur aus retuschierten und beschnittenen Foto. Es ist
nicht einmal ein exakter Scan.

Damit ist wohl auch geklärt, das einer Überwachung einem diskreten
Einbruch in Privat- bzw. Arbeitsräume durch eine GmbH vorangegangen sein
muß. Eine "Zustellung" wäre mit zu großen Risiken behaftet.

Das mitlesende LKA Bayern braucht nun nicht weiter zu suchen. Die PDF
befindet sich auch auf meiner Festplatte.

Juergen P. Meier wrote:
> Jens Hektor <hektor>:
>> Juergen P. Meier wrote:
>>> oder der Knoten, ueber den die Kommunikation gerade laeuft,
>> was genau meinst Du da mit "Knoten"?
>
> Skype ist ein P2P System.

Ach was. Gibts gesicherte Erkenntnis, welche Wege Skype
bei welchem Informationstyp (Verwaltung, Audiovisuell, Text) wählt?

>>> Skype und Sicherheit sind zwei voellig verschiedene Welten.
>> s/Skype/VoIP/
>
> Nein. Hier ging es um Skype, Skype ist vieles, u.v.a. auch VoIP.

Das vor allem.

> VoIP geht auch sicher,

Welches?

Jens Hektor schrieb:

> Juergen P. Meier wrote:
>> VoIP geht auch sicher,
>
> Welches?

Das mit SIP und RTP uns jeweils über SSL/TLS mit einer direkten
Verbindung oder auch gerne über ein VPN ohne SSL/TLS, wenn es jetzt
um's Abhören geht.

mfg
Oli

Oliver Schad wrote:
> Jens Hektor schrieb:
>
>> Juergen P. Meier wrote:
>>> VoIP geht auch sicher,
>> Welches?
>
> Das mit SIP und RTP uns jeweils über SSL/TLS mit einer direkten
> Verbindung oder auch gerne über ein VPN ohne SSL/TLS, wenn es jetzt
> um's Abhören geht.

Das ist mir alles zu kurzsichtig. Theoretisch mag das schön sein, aber
die Probleme sitzen immer auf den konkreten Endgeräteimplementierungen.

Und einschlägige Tests waren einschlägig genug:

[url down]

Markus Baumueller schrieb:

> So wie ich das Dokument verstehe, bietet besagte Fa. eine SW
> (Skype-Capture-Unit) an, die auf einem der zu überwachenden Rechnern
> installiert sein muss. Die SW zeichnet Tastatureingaben und
> Audioeingaben auf und sendet sie an eine Zentralstelle auf diese
> wiederum die Polizeidienststelle Zugriff hat.
>
> Es geht hierbei meines Erachtens nicht um das "knacken" von Skype oder
> der AES-Verschlüsselung.

Sondern um Quellen-TKÜ, klar. Das ist ja nicht neu.

Thomas Hochstein <thh> wrote:
>> Es geht hierbei meines Erachtens nicht um das "knacken" von Skype oder
>> der AES-Verschlüsselung.
> Sondern um Quellen-TKÜ, klar. Das ist ja nicht neu.

Eine schöner Euphemismus für "der Staat bricht wie ein Verbrecher in
Rechnersysteme seine Bürger ein".

Viele Grüsse,
VB.