[Большой брат]Skype

Samsonnn


http://m.h-online.com/security/news/item/Skype-with-care-Mic...
http://habrahabr.ru/post/180163/
http://habrahabr.ru/post/180147/
Все, кто использует Skype, обязан согласится с пунктом, что компания может читать все, что там пишут (смотри Положение о конфиденциальности в Skype). Компания Heis, совместно с немецкими коллегами, выяснила путем простейшего эксперимента, что Microsoft активно использует эту возможность, но очень странным образом.
Практически сразу после отправки сообщения в Skype, в котором содержалась ссылка на некий https ресурс, данный ресурс был посещен с IP, принадлежащего Microsoft HQ в Редмонде, США.
Было замечено, что после передачи в теле сообщения ссылки, генерируется необычный для неё трафик, распознаваемый сервером как потенциальная атака повторного воспроизведения.
В тоже время IP адрес, с которого «злоумышленник» пытается получить доступ по ссылке, принадлежит Microsoft.
Была предпринята попытка подтвердить подозрение, для чего в теле сообщения были отосланы две тестовых https ссылки. Одна содержала информацию для авторизации в системе (логин/пароль а другая вела на приватный сервис файлообмена, базирующийся в облаке. Несколько часов спустя после отправки сообщения в логе был зафиксирован следующий запрос на сервер:
65.52.100.214 - - [30/Apr/2013:19:28:32 +0200] "HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"
Согласно Utrace, IP адрес принадлежит Microsoft.
Таким образом, после передачи https ссылок через Skype сервер активно получает запросы с сервера Microsoft. В основном ссылки ведут на зашифрованные страницы, содержащие идентификатор сессии, или другую приватную информацию. Самое интересное, что не зашифрованные http ссылки не были посещены славной компанией.
В данном примере Microsoft использовала оба приёма — запрос к серверу содержал как отосланную пару логин-пароль, так и специально сгенерированный url на личный файлообменник.
Данные исследования были отправлены в Skype, однако в ответ получили лишь ссылку на Положение о конфиденциальности в Skype.
«Skype может использовать механизмы автоматического распознавания в мгновенных и SMS-сообщениях, чтобы идентифицировать (a) потенциальный спам и/или (b) URL-адреса, которые ранее были помечены как веб-сайты спама, фишинга или мошенников. В некоторых случаях Skype может отобрать и вручную проверить мгновенные или SMS-сообщения с целью предотвращения спама.»
Представитель компании подтвердил, что Miсrosoft сканирует сообщения с целью выявления спама и фишинговых страниц. Однако объяснение не вписывается в факты, подтвержденные практикой.
Спамовые и фишинговые сайты обычно не используют https протокол, однако именно эти ссылки были посещены представителями компании в обход обычных http страниц, не содержащих приватных данных в ссылках.
Интересно отметить, что Skype использует метод head для формирования запроса к серверу, который, по сути, просто извлекает информацию о валидности ссылки.
Однако для проверки на спам или фишинг Skype необходимо анализировать контент страницы.
Еще в январе 2013 гражданская правовая группа в составе Electronic Frontier Foundation и Reporters without Borders отправили Microsoft открытое письмо. В нём компании выразили беспокойство, что после реструктуризации Skype, последний вынужден следовать букве закона США и предоставлять доступ государственным агентствам и секретным службам к приватной информации пользователей.
В заключении хотелось бы отметить, что Microsoft, вопреки здравому смыслу, использует передаваемую через Skype информацию так, как им вздумается. Всем пользователям Skype необходимо задуматься, к чему это может привести, а пока компания совершенно не намерена раскрывать своих планов по использованию полученных приватных данных.

sever576

что порекомендуешь юзать?

spiritmc

XMPP
---
"Vyroba umelych lidi, slecno, je tovarni tajemstvi."

sweettydo

о нет, как же теперь жить дальше

Samsonnn

о нет, как же теперь жить дальше
Думать головой, задумываться о степени приватности и выборе решений. Если же тебе настолько пофиг на свою приватность - можешь закрыть эту тему (и вообще мои темы с такой пометкой) и выложить, скажем, свою медицинскую карточку на файлообменник. Впрочем и тогда её увидит меньшее число народа.

elenakozl

Если же тебе настолько пофиг на свою приватность - можешь закрыть эту тему (и вообще мои темы с такой пометкой) и выложить, скажем, свою медицинскую карточку на файлообменник.
Ты понимаешь, какую глупость ты щас сморозил? Что-то типа: "Если тебе пофиг, что скайп смотрит фотографии котиков, ссылки на которые ты посылаешь в его чятике, расклей на всех столбах фотографию своего хуя с предложением отсосать и телефоном."

Samsonnn

О, ты рассылаешь приватные фото котиков на ресурсы https и требующие указания логина и пароля?

elenakozl

Ссылки на фоточки котиков вконтактике подойдут? ;)

sweettydo

свою медицинскую карточку на файлообменник
часто посылаешь фотки медицинских карточек через скайп?

sweettydo

А ваще если говорить серьезно, то после того, как скайп объявил, что готов выдать всю инфу зогуспецслужбам, всем разумным людям должно было стать понятно, что не следует через скайп посылать конфиденциальные данные.

elenakozl

всем разумным людям должно было стать понятно, что не следует через скайп посылать конфиденциальные данные.
Разумным людям давно должно было стать понятно, что передавать конфиденциальные данные следует только лично из рук в руки. :)

Samsonnn

часто посылаешь фотки медицинских карточек через скайп?
зачастую это является корпоративным стандартом.
зачастую это является корпоративным стандартом.
А вообще нечего делать вид, что не понял и понимать все фразы напрямую. Да, свою карточку мало кто будет слать, но вот, скажем, информацию о здоровье и номера счетов (или достаточную информацию, чтобы их найти) можно получить из переписки достаточно часто. А попытки обратится к третьему сервису с подбором паролей по истории может привести как к раскрытию паролей, так и к раскрытию информации на этом третьем сервисе.

spiritmc

>> часто посылаешь фотки медицинских карточек через скайп?
> зачастую это является корпоративным стандартом.
В России идиотов полно, и не такое могут сделать.
---
"Дебилы, несмотря на замедленность и конкретность мышления,
низкий уровень суждений, узкий кругозор, бедный запас слов
и слабую память, способны к приобретению некоторых знаний
и профессиональных навыков."

irchik1973

корпоративным стандартом дефакто иногда является пересылка подобных вещей в приватах вконтакте.

12457806

Разумным людям давно должно было стать понятно, что передавать конфиденциальные данные следует только лично из рук в руки.
В лесу, с выключенными телефонами и пр., после взаимного досмотра. Серьезно.
Сейчас пишет все!
Думаю. не пройдет и 30 лет, как в каждого чела начнут вжилять чип, пишуший все что он говорит. слышит, видит. Ведь это так удобно - примерно как скайп сейчас.

prohor12

As digital data expands, anonymity may become a mathematical impossibility:
MIT Technology Review

vodes5311

тогда уж в бане :))

a100243

Сейчас пишет все!
ну-ну. Не надо пораженчества. Сейчас пока ещё не запрещён широчайший спектр средств для надёжного неперехыватываемого общения

alexk01

что порекомендуешь юзать?
Квантовые носители.

Samsonnn

ну-ну. Не надо пораженчества. Сейчас пока ещё не запрещён широчайший спектр средств для надёжного неперехыватываемого общения
ну в статье оценка возможностей деанонимизации. Т.е. тебя смогут деанонимизировать по малому количеству инфы

irchik1973


Думаю. не пройдет и 30 лет, как в каждого чела начнут вжилять чип, пишуший все что он говорит. слышит, видит. Ведь это так удобно - примерно как скайп сейчас.

гугл глас, ага

bogdan

Думаю. не пройдет и 30 лет, как в каждого чела начнут вжилять чип, пишуший все что он говорит. слышит, видит
 Зачем? Уже сейчас камеры почти всю городскую территорию контролируют. Осталось их в ЦОД объединить, добавить правовую базу и вперёд. Глобальный ДОМ-2 готов.

rinata

Зачем? Уже сейчас камеры почти всю городскую территорию контролируют. Осталось их в ЦОД объединить, добавить правовую базу и вперёд. Глобальный ДОМ-2 готов.
Так давно уже :)
Echelon
Оставить комментарий
Имя или ник:
Комментарий: