Skype Wanze als Quelltext veröffentlicht

Ende August 2009 veröffentlichte ein Schweizer Software-Entwickler den Quelltext eines Programmes, das die Kommunikation über Skype belauschen kann. Das Programm wird hierzu als Trojaner auf einen PC geschleust und schneidet die Audio-Daten der Gespräche mit, um diese dann als MP3-Dateien auf einen definierten Server zu laden. Dieser Trojaner hat zudem eine Selbstzerstörungsfunktion. Die Person, die den Quelltext veröffentlicht hatte, war selbst an der Entwicklung dieses Trojaners beteiligt und Mitarbeiter der Herstellerfirma ERA IT Solutions. 2006 wurde bekannt, dass auch der Bund den Einsatz eines Skype Trojaners dieser Firma getestet hat. Die Motivation der Veröffentlichung war nun anscheinend, dass der Entwickler mehr Licht in dieses dunkle Thema bringen wollte. Im Dezember hatte der Software-Entwickler den Quellcode des Abhörtrojaners für Skype 4 angepasst und den nicht kompletten Quellcode wiederum veröffentlicht. Die fehlenden Passagen sollen zu einem späteren Zeitpunkt folgen.

Da Skype die Kommunikation zwischen zwei Teilnehmern verschlüsselt, ist es für die Strafverfolgung – im Gegensatz zum Fest- respektive Mobiltelefon – nicht einfach möglich, bei einer Strafuntersuchung ein entsprechendes Telefonat abzuhören. Diesen Umstand machen sich Kriminelle zu Nutze und führen ihre Gespräche mit Vorteil über Kanäle, auf die die Polizei keinen Zugriff hat. Falls ein Gespräch via Skype trotzdem abgehört werden soll, muss zwingend eine Software auf einem Computer der beiden Kommunikationsteilnehmer installiert werden.
Wie bei der Veröffentlichung einer Zero-Day Lücke sollte der Publizierende auch hier eine Nutzen-Risiko Analyse durchführen. Sind der Nutzen der Aufklärung und auch der Nutzen eines allfälligen Druckes auf die Behörden, respektive auf die Softwarehersteller höher zu bewerten als das Risiko, dass das vorher vertrauliche Wissen nun auch in die Hände von Kriminellen gelangen kann.

Quelldokument : Informationssicherung