Microsoft prebira vaša Skype sporočila

Mandi

16. maj 2013 ob 18:41:12

Varnostni raziskovalci nemškega Heise so dobili prijavo enega od njihovih bralcev, da naj bi nekdo iz Microsofta nadziral vsebino (tekstovnih) sporočil v Skype pogovorih. Omenjeni bralec naj bi namreč v Skype klepet vnesel povsem zasebni url naslov do enega od svojih strežnikov, nakar ga je nekoliko kasneje njegov IDS na tem strežniku obvestil o nepričakovanem ponovnem obisku na prav ta naslov, seveda iz tujega, neznanega IP-ja. To je tipičen znak replay napada.

Heise je preveril in res, nekje pol ure po vnosu več url-jev v Skype pogovor je na le-te prišel nenajavljeni HTTP HEAD zahtevek iz IP naslova v lasti Microsofta (glej sliko). To pomeni, da nekdo (oz. neka programska oprema) skenira Skype tekstovne klepete in obiskuje v njih najdene url naslove.

Seveda so vse navedeno preverili tudi pri Microsoftu. Njihov predstavnik jim je zagotovil, da gre za rutinsko preverjanje url-jev s ciljem blokade spama, phishinga ali drugih spletnih prevar. Čeprav to zveni dobronamerno, raziskovalci Microsoftovemu zagotovilu le stežka verjamejo, ker omenjeno "rutinsko preverjanje" prizadene zgolj varne (HTTPS) naslove, ne pa tudi običajnih, nešifiranih HTTP naslovov. Spletne prevare pa se tipično skrivajo prav za nezaščitenimi naslovi, ker SSL certifikati pač stanejo oz. ker jih je zelo težko ponarediti, razen seveda če ti uspe vdor v ponudnika certifikatov ali pa gre za tehnološko zastarele certifikate z MD5 podpisi (ironija dneva: le kdo bi si jih še lani drznil uporabljati ...). Če bi torej Microsoft zares mislil na varnost uporabnikov, bi zagotovo preverjal tudi (oz. predvsem) HTTP naslove. Obenem so na "sumljive" naslove prožili HEAD zahtevek, ki ne vrne nobene vsebine, ampak zgolj zaglavje (header) dogovora. Zgolj iz zaglavja pa pač ni mogoče povedati, da se na naslovu nahaja sporna vsebina. Da se voditi statistiko, da se pobrati kak površno nastavljen piškotek, iskati spam pa najbrž ne.

V vsakem primeru je zdaj jasno, da Microsoft razpolaga s šifrirnimi ključi za vse Skype seje, ter tudi z ustrezno infrastrukturo za nadzor vseh posameznih sej. Vse to so očitno uredili lani, še ne leto dni po nakupu Skypa, ko so sicer izjemno distribuirano naravo omrežja zamenjali z lastnimi in centraliziranimi (Linux) strežniki (super nodes v Skype terminologiji). To pomeni, da ves omrežni promet zdaj teče skozi strežnike pod njihovo kontrolo. Omenjeno je tudi nujno za skladnost z ameriško zakonodajo o zakonitem nadzoru telekomunikacij (CALEA), po kateri morajo vsi ponudniki javnih telekomunikacijskih omrežij množici policijskih in obveščevalnih služb zagotoviti možnost pritajenega prestrezanja oz. prisluškovanja pogovorov. Omenjeno po črki zakona še ni obvezno za internetne storitve, vendar FBI že nekaj časa bije plat zvona, da bi moralo biti, ker "bodo sicer ostali v temi", saj da zlikovci "več ne uporabljajo telefonov, ampak prav Skype". A ker CALEA za Skype za zdaj še ne velja, ni jasno, zakaj se Microsoftu tako mudi. Sploh glede na to, da o tem ni imel nič za povedati po januarskem odprtem pozivu nevladnih organizacij EFF in Novinarji brez meja, češ kaj pa počno. Malo bolj jasni so bili minuli mesec s podporo zakonu CALEA, ki jim dovoljuje "prostovoljno" izročanje uporabnikovih komunikacij vladi, seveda v zameno za popustljivost na drugih področjih.