Όποιος χρησιμοποιεί το Skype έχει συναινέσει στην ανάγνωση των
μηνυμάτων που στέλνει από τη Microsoft.
Οι
συνεργάτες του Η στη Γερμανία, στη Heise Security, ανακάλυψαν ότι η θυγατρική
της Microsoft στην πραγματικότητα κάνει χρήση αυτού του προνομίου... Λίγο μετά την αποστολή διευθύνσεων HTTPS μέσω της
υπηρεσίας άμεσων μυνημάτων του Skype,
οι διευθύνσεις αυτές δέχτηκαν αιφνιδιαστική επίσκεψη από τη Microsoft HQ στο
Redmond.Ένας αναγνώστης ενημέρωσε την Heise Security ότι είχε παρατηρηθεί κάποια ασυνήθιστη κίνηση του δικτύου μετά από μια συνομιλία μέσω Skype. Ο server ανέφερε μια πιθανή επίθεση τύπου replay. Αποδείχθηκε μία διεύθυνση IP που άνηκε στη Microsoft είχε επισκεφτεί τη διεύθυνση HTTPS ΠΡΙΝ μεταδοθεί από το Skype. H Heise Security στη συνέχεια έστειλε δύο μηνύματα που περιείχαν δύο διευθύνσεις HTTPS, το ένα περιείχε στοιχεία σύνδεσης και το άλλο έδειχνε προς μία υπηρεσία file-sharing ενός ιδιωτικού cloud. Λίγες ώρες μετά την αποστολή μηνυμάτων μέσω του Skype, παρατήρηθηκαν τα ακόλουθα στο αρχείο καταγραφής του server.
65.52.100.214 - [30/Apr/2013: 19:28:32 +0200]
"HEAD / ... / Login.html; χρήστη = tbtest & password = Geheim HTTP/1.1"
Η πρόσβαση προέρχεται από συστήματα τα οποία ανήκουν στη Microsoft.
Πηγή : Utrace
Και στις δύο διευθύνσεις HTTPS που μεταδόθηκαν μέσω του Skype υπήρχε επισκεψημότητα από μια IP διεύθυνση που έχει καταχωριστεί από τη Microsoft στο Redmond. Οι διευθύνσεις που δείχνουν προς κρυπτογραφημένες ιστοσελίδες συχνά περιέχουν εμπιστευτικές πληροφορίες. Αντιθέτως οι διευθύνσεις HTTP, δεν προσπελάστικαν. Κατά την επίσκεψη αυτών των σελίδων, η Microsoft έκανε χρήση τόσο των πληροφοριών σύνδεσης αλλά και της διεύθυνσης που δημιουργήθηκε ειδικά για την υπηρεσία file-sharing του ιδιωτικό cloud.
Σε απάντηση στην έρευνα από την Heise Security, το Skype αναφέρεται σε ένα απόσπασμα από την πολιτική προστασίας δεδομένων της:
"Το Skype ίσως χρησιμοποιήσε αυτοματοποιημένη σάρωση μηνύματων και SMS (α) για τον εντοπισμό ύποπτων και ανεπιθύμητα μηνύματων και / ή (β) για να εντοπίσει τις διευθύνσεις που έχουν προηγουμένως επισημανθεί ως spam, ως fraud ή phishing."
Ένας εκπρόσωπος της εταιρείας επιβεβαίωσε ότι σαρώνει τα μηνύματα για να φιλτράρει το spam και τις ιστοσελίδες phishing. Όμως η εξήγηση αυτή δεν φαίνεται να ταιριάζει με τα γεγονότα. Οι ιστοσελίδες για phishing και Spam δεν βρίσκονται συνήθως σε HTTPS σελίδες. Αντίθετα, το Skype δεν άγγιξε τις διευθύνσεις HTTP οι οποίες είναι και οι πιο συνηθισμένες για τέτοιου είδους απειλές. Πάντως για να ελέγξει το Skype μια ιστοσελίδα αν περιέχει ιστοσελίδες με spam ή phishing, το Skype θα πρέπει να εξετάσει το περιεχόμενό τους.
Τον Ιανουάριο, ομάδες για τα δικαιώματα του πολίτη έστειλαν ανοικτήεπιστολή προς την Microsoft ερωτώντας για την ασφάλεια της επικοινωνίας του Skype. Οι ομάδες πίσω από την επιστολή, το Electronic Frontier Foundation και τους Δημοσιογράφουςχωρίς Σύνορα εξέφρασαν την ανησυχία τους για την λειτουργεία του Skype η οποία θα πρέπει να συμμορφώνονται με την νομοθεσία των ΗΠΑ για υποκλοπές και θα πρέπει να επιτραπεί σε κυβερνητικές υπηρεσίες και μυστικές υπηρεσίες να έχουν πρόσβαση στις επικοινωνίες μέσω του Skype.
Εν ολίγοις, το Η και Heise Security πιστεύουν ότι, αφού υπάρχει συναίνεση στην Microsoft να χρησιμοποιεί όλα τα δεδομένα που μεταδίδονται μέσω της υπηρεσίας, όλοι οι χρήστες του Skype θα πρέπει να υποθέτουν ότι αυτό θα συμβεί στην πραγματικότητα και ότι η εταιρεία δεν πρόκειται να αποκαλύψει τι ακριβώς συμβαίνει με αυτά τα δεδομένα.
Και στις δύο διευθύνσεις HTTPS που μεταδόθηκαν μέσω του Skype υπήρχε επισκεψημότητα από μια IP διεύθυνση που έχει καταχωριστεί από τη Microsoft στο Redmond. Οι διευθύνσεις που δείχνουν προς κρυπτογραφημένες ιστοσελίδες συχνά περιέχουν εμπιστευτικές πληροφορίες. Αντιθέτως οι διευθύνσεις HTTP, δεν προσπελάστικαν. Κατά την επίσκεψη αυτών των σελίδων, η Microsoft έκανε χρήση τόσο των πληροφοριών σύνδεσης αλλά και της διεύθυνσης που δημιουργήθηκε ειδικά για την υπηρεσία file-sharing του ιδιωτικό cloud.
Σε απάντηση στην έρευνα από την Heise Security, το Skype αναφέρεται σε ένα απόσπασμα από την πολιτική προστασίας δεδομένων της:
"Το Skype ίσως χρησιμοποιήσε αυτοματοποιημένη σάρωση μηνύματων και SMS (α) για τον εντοπισμό ύποπτων και ανεπιθύμητα μηνύματων και / ή (β) για να εντοπίσει τις διευθύνσεις που έχουν προηγουμένως επισημανθεί ως spam, ως fraud ή phishing."
Ένας εκπρόσωπος της εταιρείας επιβεβαίωσε ότι σαρώνει τα μηνύματα για να φιλτράρει το spam και τις ιστοσελίδες phishing. Όμως η εξήγηση αυτή δεν φαίνεται να ταιριάζει με τα γεγονότα. Οι ιστοσελίδες για phishing και Spam δεν βρίσκονται συνήθως σε HTTPS σελίδες. Αντίθετα, το Skype δεν άγγιξε τις διευθύνσεις HTTP οι οποίες είναι και οι πιο συνηθισμένες για τέτοιου είδους απειλές. Πάντως για να ελέγξει το Skype μια ιστοσελίδα αν περιέχει ιστοσελίδες με spam ή phishing, το Skype θα πρέπει να εξετάσει το περιεχόμενό τους.
Τον Ιανουάριο, ομάδες για τα δικαιώματα του πολίτη έστειλαν ανοικτήεπιστολή προς την Microsoft ερωτώντας για την ασφάλεια της επικοινωνίας του Skype. Οι ομάδες πίσω από την επιστολή, το Electronic Frontier Foundation και τους Δημοσιογράφουςχωρίς Σύνορα εξέφρασαν την ανησυχία τους για την λειτουργεία του Skype η οποία θα πρέπει να συμμορφώνονται με την νομοθεσία των ΗΠΑ για υποκλοπές και θα πρέπει να επιτραπεί σε κυβερνητικές υπηρεσίες και μυστικές υπηρεσίες να έχουν πρόσβαση στις επικοινωνίες μέσω του Skype.
Εν ολίγοις, το Η και Heise Security πιστεύουν ότι, αφού υπάρχει συναίνεση στην Microsoft να χρησιμοποιεί όλα τα δεδομένα που μεταδίδονται μέσω της υπηρεσίας, όλοι οι χρήστες του Skype θα πρέπει να υποθέτουν ότι αυτό θα συμβεί στην πραγματικότητα και ότι η εταιρεία δεν πρόκειται να αποκαλύψει τι ακριβώς συμβαίνει με αυτά τα δεδομένα.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου