» »

Microsoft prebira vaša Skype sporočila

Microsoft prebira vaša Skype sporočila

Heise - Varnostni raziskovalci nemškega Heise so dobili prijavo enega od njihovih bralcev, da naj bi nekdo iz Microsofta nadziral vsebino (tekstovnih) sporočil v Skype pogovorih. Omenjeni bralec naj bi namreč v Skype klepet vnesel povsem zasebni url naslov do enega od svojih strežnikov, nakar ga je nekoliko kasneje njegov IDS na tem strežniku obvestil o nepričakovanem ponovnem obisku na prav ta naslov, seveda iz tujega, neznanega IP-ja. To je tipičen znak replay napada.

Heise je preveril in res, nekje pol ure po vnosu več url-jev v Skype pogovor je na le-te prišel nenajavljeni HTTP HEAD zahtevek iz IP naslova v lasti Microsofta (glej sliko). To pomeni, da nekdo (oz. neka programska oprema) skenira Skype tekstovne klepete in obiskuje v njih najdene url naslove.

Seveda so vse navedeno preverili tudi pri Microsoftu. Njihov predstavnik jim je zagotovil, da gre za rutinsko preverjanje url-jev s ciljem blokade spama, phishinga ali drugih spletnih prevar. Čeprav to zveni dobronamerno, raziskovalci Microsoftovemu zagotovilu le stežka verjamejo, ker omenjeno "rutinsko preverjanje" prizadene zgolj varne (HTTPS) naslove, ne pa tudi običajnih, nešifiranih HTTP naslovov. Spletne prevare pa se tipično skrivajo prav za nezaščitenimi naslovi, ker SSL certifikati pač stanejo oz. ker jih je zelo težko ponarediti, razen seveda če ti uspe vdor v ponudnika certifikatov ali pa gre za tehnološko zastarele certifikate z MD5 podpisi (ironija dneva: le kdo bi si jih še lani drznil uporabljati ...). Če bi torej Microsoft zares mislil na varnost uporabnikov, bi zagotovo preverjal tudi (oz. predvsem) HTTP naslove. Obenem so na "sumljive" naslove prožili HEAD zahtevek, ki ne vrne nobene vsebine, ampak zgolj zaglavje (header) dogovora. Zgolj iz zaglavja pa pač ni mogoče povedati, da se na naslovu nahaja sporna vsebina. Da se voditi statistiko, da se pobrati kak površno nastavljen piškotek, iskati spam pa najbrž ne.

V vsakem primeru je zdaj jasno, da Microsoft razpolaga s šifrirnimi ključi za vse Skype seje, ter tudi z ustrezno infrastrukturo za nadzor vseh posameznih sej. Vse to so očitno uredili lani, še ne leto dni po nakupu Skypa, ko so sicer izjemno distribuirano naravo omrežja zamenjali z lastnimi in centraliziranimi (Linux) strežniki (super nodes v Skype terminologiji). To pomeni, da ves omrežni promet zdaj teče skozi strežnike pod njihovo kontrolo. Omenjeno je tudi nujno za skladnost z ameriško zakonodajo o zakonitem nadzoru telekomunikacij (CALEA), po kateri morajo vsi ponudniki javnih telekomunikacijskih omrežij množici policijskih in obveščevalnih služb zagotoviti možnost pritajenega prestrezanja oz. prisluškovanja pogovorov. Omenjeno po črki zakona še ni obvezno za internetne storitve, vendar FBI že nekaj časa bije plat zvona, da bi moralo biti, ker "bodo sicer ostali v temi", saj da zlikovci "več ne uporabljajo telefonov, ampak prav Skype". A ker CALEA za Skype za zdaj še ne velja, ni jasno, zakaj se Microsoftu tako mudi. Sploh glede na to, da o tem ni imel nič za povedati po januarskem odprtem pozivu nevladnih organizacij EFF in Novinarji brez meja, češ kaj pa počno. Malo bolj jasni so bili minuli mesec s podporo zakonu CALEA, ki jim dovoljuje "prostovoljno" izročanje uporabnikovih komunikacij vladi, seveda v zameno za popustljivost na drugih področjih.

173 komentarjev

«
1
2 3 4

enadvatri ::

- 1 uporabnik. Sicer pa ne tako zelo nepričakovano in podlo.

technolog ::

Skype je en velik spyware. Arch linux ima za zaščito prav posebej spisana navodila, da ga poganjaš v omejenem načinu.

https://wiki.archlinux.org/index.php/Sk...

There are a couple of reasons you might want to restrict Skype's access to your computer:
* The skype binary is disguised against decompiling, so nobody is (still) able to reproduce what it really does.
* It produces encrypted traffic even when you are not actively using Skype.
...

novaa ::

je kaka alternativa? pa boh ne daj fb chat.

Rias Gremory ::

Že cel čas govorim, da je skype spyware pa noben nič. Ne potem jokat samo čez google kako je zloben ker vam servira bolj točne oglase.

Mene tut zanima, če je kakšna dobra alternativa? Slišu sem za Mumble (in mal sprobu), še kaj drugega?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

enadvatri ::

gtalk + zfone

Glugy ::

Slišal sem za ooVoo http://www.oovoo.com/home.aspx sam ne vem kako je glede varovanja zasebnosti.

WhiteAngel ::

novaa je izjavil:

je kaka alternativa? pa boh ne daj fb chat.


Jitsi. Ampak je grd, ker je napisan v Javi :/

metalc ::

novaa je izjavil:

je kaka alternativa? pa boh ne daj fb chat.


Vox.io je menda škripnil. Potem je tu še Ekiga.

lovrenca ::

Je kdo presenečen?

b3D_950 ::

Omenjeni bralec naj bi namreč v Skype klepet vnesel povsem zasebni url naslov do enega od svojih strežnikov, nakar ga je nekoliko kasneje njegov IDS na tem strežniku obvestil o nepričakovanem ponovnem obisku na prav ta naslov


Nekaj podobnega opazil tud sam, s tem da sem po mailu poslal link/url. Sumim pa, da je blo to: klik.

darkolord ::

Kakorkoli, odgovor HTTP HEAD request ne vrne vsebine. Verjetno gre res samo za SmartScreen, ki preverja, ali se strani nahajajo na zlonamernih strežnikih.

opeter ::

Haha, naj me prebirajo, če me razumejo :D
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

enadvatri ::

darkolord je izjavil:

Kakorkoli, odgovor HTTP HEAD request ne vrne vsebine. Verjetno gre res samo za SmartScreen, ki preverja, ali se strani nahajajo na zlonamernih strežnikih.


To je res najbolj logično. Je pa izgubil svoj sloves, ker je takšno preverjanje protislovno.

Gavran ::

Kaj pa Viber?
Bodimo strpni do virusov. Tudi virusi gripe, prehlada in AIDSa morajo živeti.

M.B. ::

Še malo pa bo voice preko browsera P2P.

So se pred kratkim neki standardi sprejemali. Drugače pa Jabber pa voice chat.
Everyone started out as a newbie.
Sadly only a handful ever progress past that point.

enadvatri ::

gtalk + zfone, delujeta dobro in sta skupaj izjemno varna.

n0pin ::

Nič presentljivega, vendar me ne skrbi. Zaradi mene lahko prisluškujejo mojim pogovorom z prijatelji, gledajo datoteke, ki si pošiljamo in sledijo linkom, saj niso nič skrivnega.

Zgodovina sprememb…

  • spremenilo: n0pin ()

opeter ::

Tak bom rekel. Trenutno me NE skrbi, ne vem pa, kako se bo to razvijalo v prihodnosti. Dejstvo pa je, da ni prijetno.
Hrabri mišek (od 2015 nova serija!) -> http://tinyurl.com/na7r54l
18. november 2011 - Umrl je Mark Hall, "oče" Hrabrega miška
RTVSLO: http://tinyurl.com/74r9n7j

gslo ::

IRC will be back!

SleepyFE ::

@opeter
Tudi če te ne razumejo, lahko dostopajo do tvojga privat serverja, če si v skype unesu link. Potem pa lahko tm delajo kr hočjo.

@vsi
Men je ušeč yate-qt (za linux in windows, tako da ga lahko tut mami naštimaš) in za server lahko koristiš iptel.org (invite all friends).
Edino nima video-chat, to pa naj bi mel jitsi (če se prijaviš na jit.si). Jitsi klient ti lahko koristi tudi iptel-ov račun, ampak tudi meni ni všeč da je v javi spisan.

trnvpeti ::

Skype pogovor gre preko ms streznika?
Ali client prestreze in poslje na ms streznik?

Riff ::

če se jim da :D potem pa le veselo branje

Pithlit ::

gslo je izjavil:

IRC will be back!

A je kam šel?
Life is as complicated as we make it...

Rias Gremory ::

Tako je. Pravi moški uporabljamo IRC.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

MatejMatej ::

http://crypto.cat
opensource end to end encrypted chat

Rias Gremory ::

Tnx MatejMatej
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

k4vz0024 ::

Še encrypted voice...

Zgodovina sprememb…

  • spremenil: k4vz0024 ()

enadvatri ::

k4vz0024 je izjavil:

Še encrypted voice...


GoogleTalk + Zfone. :))

Brane22 ::

Saj to vse maš na nekaterih Linux SIP clientih.

Nastaviš svojo centralo ali pa samostojno delo in enkripcijo in to je to.

mtosev ::

saj skype klici so tud encrypted pa so kitajci prestrezali klice al nekdo drug,če se prav spomnim
Core i9 10900X, ASUS Prime X299 Edition 30, 32GB 4x8 3600Mhz G.skill, CM H500M,
ASUS ROG Strix RTX 2080 Super, Samsung 970 PRO, UltraSharp UP3017, Win 11 Pro,
Enermax Platimax 1700W | moj oče darko 1960-2016, moj labradorec max 2002-2013

Zgodovina sprememb…

  • spremenil: mtosev ()

enadvatri ::

Zfone dela tudi na drugih SIP povezavah/odjemalcih.

darkolord ::

Lahko pa kupiš kilo jabolk.

Vse te rešitve so čisto nekaj drugega in neprimerne za vsesplošno IM komunikacijo z znanci/kolegi/sodelavci/poslovnimi partnerji/....

enadvatri ::

Oboje drži, ampak jabolk ne potrebujem.

Skype je fajn za IM komunikacijo/videoklice, a žal si počasi obstreljuje ude ... Po čem je slovel nekoč, vsi vemo. Žal pa se sam losa tega slovesa.

MatejMatej ::

darkolord je izjavil:

Lahko pa kupiš kilo jabolk.

Vse te rešitve so čisto nekaj drugega in neprimerne za vsesplošno IM komunikacijo z znanci/kolegi/sodelavci/poslovnimi partnerji/....

CryptoCat je popolnoma enostaven in preimeren za čisto vsakega , tudi babico ki klika po FBju.
Le ji pošlješ in zadeva že deluje!

Hayabusa ::

enadvatri je izjavil:

k4vz0024 je izjavil:

Še encrypted voice...


GoogleTalk + Zfone. :))

Zfone je kot vidim v beta stadiju, kako deluje v praksi ?
http://zfoneproject.com/getstarted.html

enadvatri ::

Hayabusa je izjavil:

enadvatri je izjavil:

k4vz0024 je izjavil:

Še encrypted voice...


GoogleTalk + Zfone. :))

Zfone je kot vidim v beta stadiju, kako deluje v praksi ?
http://zfoneproject.com/getstarted.html


Dobro. Pravzaprav odlično.

carota ::

A ni ravno Microsoft pred nedavnim objavil filmček Gmailman ali nekaj podobnega, kjer so blatili GMail, češ da bere njihova sporočila?!?

darkolord ::

MatejMatej je izjavil:

CryptoCat je popolnoma enostaven in preimeren za čisto vsakega , tudi babico ki klika po FBju.
Le ji pošlješ in zadeva že deluje!
Ne poznam še nikogar, ki bi ga uporabljal. Da bi pa vsakega prepričeval, naj si še to naloži... ne hvala.

Kiborg ::

Torej če potrebujem brezplačen voip program, ki deluje tako na win kot linux in je preprost za uporabo, ter varen, kaj bi priporočili?

k4vz0024 ::

Se pa vidi sprevrženost. Najprej free, vse platforme, pol pa hop po uporabnikih tako ali drugače.

trnvpeti ::

Ce jim je pa Drzava rekla, da morajo gledat

Brane22 ::

darkolord je izjavil:

Lahko pa kupiš kilo jabolk.

Vse te rešitve so čisto nekaj drugega in neprimerne za vsesplošno IM komunikacijo z znanci/kolegi/sodelavci/poslovnimi partnerji/....



Zakaj ? Ti si lahko instaliraš SIP klienta in kličeš mojega preprosto z Brane22@my.ip.address ali celo brane22@my.domain.

To je, če se ti ne da postavljati skupne "centrale".

k4vz0024 ::

trnvpeti je izjavil:

Ce jim je pa Drzava rekla, da morajo gledat


Ah, država...oni pa to delajo for free...

techfreak :) ::

@Brane22: Midva in še nekaj ST uporabnikov se mogoče lahko tako pogovarjamo, vendar težko najdeš kogarkoli drugega, ki si bo šel nameščati SIP klient za pogovor s samo eno osebo. Skype imajo pa tako rekoč vsi, od najstnikov do dedkov in babic.

Brane22 ::

Zakaj s samo eno osebo ?

Lahko se pogovarjaš z vsakim, ki ima SIP klienta. da ti svoje_ime@domena in to je vse.

V čem je to tako zelo različno od skypea ?

trnvpeti ::

Pomagajo loviti teroriste

Kaj pa na mobilnih telefonih?

Brane22 ::

@KiBorg:

Jaz uporabljam Linphone. Čeprav ime sugerira drugače, je na voljo tudi za Linux in mislim da a OSX.

Zgodovina sprememb…

  • spremenilo: Brane22 ()

trnvpeti ::

Viber je recimo smesno enostaven , tudi za babice

techfreak :) ::

V čem je to tako zelo različno od skypea ?

Skype imajo načeloma vsi, SIP klienta pa nobeden. Edini uporabniki SIP klientov so verjetno poslovni uporabniki.
«
1
2 3 4


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Microsoft bi rad povedal resnico o sodelovanju v Prizmi

Oddelek: Novice / NWO
259521 (7538) trizob
»

Tretja generacija Xboxa je... One?! (strani: 1 2 3 )

Oddelek: Novice / Konzole
12040604 (33819) LuGi
»

Microsoft prebira vaša Skype sporočila (strani: 1 2 3 4 )

Oddelek: Novice / Varnost
17340366 (32733) enadvatri
»

Twitter gre na sodišče izpodbijat zahtevke za uporabniške podatke s strani ameriške v

Oddelek: Novice / Zasebnost
134179 (3169) Jst
»

Voip TELEFONSKI aparat

Oddelek: Strojna oprema
273018 (1986) Caligula

Več podobnih tem