Heise - Varnostni raziskovalci nemškega Heise so dobili prijavo enega od njihovih bralcev, da naj bi nekdo iz Microsofta nadziral vsebino (tekstovnih) sporočil v Skype pogovorih. Omenjeni bralec naj bi namreč v Skype klepet vnesel povsem zasebni url naslov do enega od svojih strežnikov, nakar ga je nekoliko kasneje njegov IDS na tem strežniku obvestil o nepričakovanem ponovnem obisku na prav ta naslov, seveda iz tujega, neznanega IP-ja. To je tipičen znak replay napada.
Seveda so vse navedeno preverili tudi pri Microsoftu. Njihov predstavnik jim je zagotovil, da gre za rutinsko preverjanje url-jev s ciljem blokade spama, phishinga ali drugih spletnih prevar. Čeprav to zveni dobronamerno, raziskovalci Microsoftovemu zagotovilu le stežka verjamejo, ker omenjeno "rutinsko preverjanje" prizadene zgolj varne (HTTPS) naslove, ne pa tudi običajnih, nešifiranih HTTP naslovov. Spletne prevare pa se tipično skrivajo prav za nezaščitenimi naslovi, ker SSL certifikati pač stanejo oz. ker jih je zelo težko ponarediti, razen seveda če ti uspe vdor v ponudnika certifikatov ali pa gre za tehnološko zastarele certifikate z MD5 podpisi (ironija dneva: le kdo bi si jih še lani drznil uporabljati ...). Če bi torej Microsoft zares mislil na varnost uporabnikov, bi zagotovo preverjal tudi (oz. predvsem) HTTP naslove. Obenem so na "sumljive" naslove prožili HEAD zahtevek, ki ne vrne nobene vsebine, ampak zgolj zaglavje (header) dogovora. Zgolj iz zaglavja pa pač ni mogoče povedati, da se na naslovu nahaja sporna vsebina. Da se voditi statistiko, da se pobrati kak površno nastavljen piškotek, iskati spam pa najbrž ne.
V vsakem primeru je zdaj jasno, da Microsoft razpolaga s šifrirnimi ključi za vse Skype seje, ter tudi z ustrezno infrastrukturo za nadzor vseh posameznih sej. Vse to so očitno uredili lani, še ne leto dni po nakupu Skypa, ko so sicer izjemno distribuirano naravo omrežja zamenjali z lastnimi in centraliziranimi (Linux) strežniki (super nodes v Skype terminologiji). To pomeni, da ves omrežni promet zdaj teče skozi strežnike pod njihovo kontrolo. Omenjeno je tudi nujno za skladnost z ameriško zakonodajo o zakonitem nadzoru telekomunikacij (CALEA), po kateri morajo vsi ponudniki javnih telekomunikacijskih omrežij množici policijskih in obveščevalnih služb zagotoviti možnost pritajenega prestrezanja oz. prisluškovanja pogovorov. Omenjeno po črki zakona še ni obvezno za internetne storitve, vendar FBI že nekaj časa bije plat zvona, da bi moralo biti, ker "bodo sicer ostali v temi", saj da zlikovci "več ne uporabljajo telefonov, ampak prav Skype". A ker CALEA za Skype za zdaj še ne velja, ni jasno, zakaj se Microsoftu tako mudi. Sploh glede na to, da o tem ni imel nič za povedati po januarskem odprtem pozivu nevladnih organizacij EFF in Novinarji brez meja, češ kaj pa počno. Malo bolj jasni so bili minuli mesec s podporo zakonu CALEA, ki jim dovoljuje "prostovoljno" izročanje uporabnikovih komunikacij vladi, seveda v zameno za popustljivost na drugih področjih.
There are a couple of reasons you might want to restrict Skype's access to your computer: * The skype binary is disguised against decompiling, so nobody is (still) able to reproduce what it really does. * It produces encrypted traffic even when you are not actively using Skype. ...
Omenjeni bralec naj bi namreč v Skype klepet vnesel povsem zasebni url naslov do enega od svojih strežnikov, nakar ga je nekoliko kasneje njegov IDS na tem strežniku obvestil o nepričakovanem ponovnem obisku na prav ta naslov
Nekaj podobnega opazil tud sam, s tem da sem po mailu poslal link/url. Sumim pa, da je blo to: klik.
Kakorkoli, odgovor HTTP HEAD request ne vrne vsebine. Verjetno gre res samo za SmartScreen, ki preverja, ali se strani nahajajo na zlonamernih strežnikih.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
Kakorkoli, odgovor HTTP HEAD request ne vrne vsebine. Verjetno gre res samo za SmartScreen, ki preverja, ali se strani nahajajo na zlonamernih strežnikih.
To je res najbolj logično. Je pa izgubil svoj sloves, ker je takšno preverjanje protislovno.
Nič presentljivega, vendar me ne skrbi. Zaradi mene lahko prisluškujejo mojim pogovorom z prijatelji, gledajo datoteke, ki si pošiljamo in sledijo linkom, saj niso nič skrivnega.
Tak bom rekel. Trenutno me NE skrbi, ne vem pa, kako se bo to razvijalo v prihodnosti. Dejstvo pa je, da ni prijetno.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j
@opeter Tudi če te ne razumejo, lahko dostopajo do tvojga privat serverja, če si v skype unesu link. Potem pa lahko tm delajo kr hočjo.
@vsi Men je ušeč yate-qt (za linux in windows, tako da ga lahko tut mami naštimaš) in za server lahko koristiš iptel.org (invite all friends). Edino nima video-chat, to pa naj bi mel jitsi (če se prijaviš na jit.si). Jitsi klient ti lahko koristi tudi iptel-ov račun, ampak tudi meni ni všeč da je v javi spisan.
@Brane22: Midva in še nekaj ST uporabnikov se mogoče lahko tako pogovarjamo, vendar težko najdeš kogarkoli drugega, ki si bo šel nameščati SIP klient za pogovor s samo eno osebo. Skype imajo pa tako rekoč vsi, od najstnikov do dedkov in babic.
