dokoliv uzívajíc Skype svolil, aby tato spolecnost cetla vše, co píše.
Spolecnost *The* *H*v Nemecku od heise Security ted objevila, ze tato
pobocka Microsoftu tohoto privilegia v praxi vyuzívá. Krátce pod
odeslání HTTPS URL pres sluzbu instant messaging se temto URL dostane
neoznámené návštevy z ústredí Microsoftu v Redmontonu.
[LINK: http://mujsoubor.cz/data/mujsoubor.cz/images/4_57.jpg]
Jistý ctenár informoval heise Security, ze si všiml urcitého
nezvyklého sítového provozu po konverzacích Skypem pres instant
messaging. Server ukazoval potenciální útok opakovaným pozadavkem
„repley attack“. Ukázalo se, ze ta IP adresa, kterou šlo zpetne
vystopovat k Microsoftu pristupovala k tem samým HTTPS URL, které byly
pred tím preneseny Skypem. Heise Security tudíz tyto události
reprodukovala dvema testy HTTPS URL, jedním obsahujícím informace
s loginem a jedním ukazujícím do soukromé sluzby sdílení souboru na
bázi cloudu. Pár hodin po jejich zprávách Skypem, si povšimli
následného loginu k tomuto serveru:
65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtestApassword=geheim HTTP/1.1"
Prístup pricházel ze sytému, který jasne patrí Microsoftu.
Zdroj: [LINK: http://www.utrace.de/?query=65.52.100.214] Utrace Rovnez se
jim dostalo návštevy na kazdou HTTPS URL poslanou pres Skype z IP adresy
registrované Microsoftem v Redmontonu. URL ukazující na zašifrované
webové stránky casto obsahují unikátní data patrící jen tomuto
sezení nebo další duverné informace. Na rozdíl od nich na obycejné
HTTP URL neprišli. Pri návšteve techto stránek pouzil Microsoft jak
login informace, tak i speciálne vytvorené URL pro soukromou sluzbu
sdílení souboru v cloudu.
V reakci na pozadavek od heise Security, je Skype odkázal na pasáz ze
své [LINK: http://www.skype.com/en/legal/privacy/#accessingPersonalData]
politiky ochrany dat:
/„Skype muze pouzít automatické skenování Instant Messagingu a MSM,
aby (a) identifikoval podezrelý spam anebo (b) identifikovat URL, které
byly pred tím oznaceny jako odkazy na spam, podvod nebo phishing.“
(*Poznámka*: Phishing vylákávání osobních nebo duverných
informací.)/
Mluvcí této spolecnosti potvrdil, ze tato skenuje zprávy, aby
odfiltrovala spam a webové stránky s phishingem. Tohle vysvetlení se
však nejeví jako zakládající se na faktech. Stránky se spamem a
phishingem se obvykle nenachází na webech se zašifrovaným osobním
spojením HTTPS. Skype naopak HTTP URL tímto daleko casteji postizené,
které neobsahují zádné informace o vlastníkovi prístupu, nechává
bez povšimnutí. Skype rovnez odesílá [LINK:
http://en.wikipedia.org/wiki/Hypertext_Transfer_Protocol#Request_methods]
hlavickové pozadavky, které nesou pouze administrativní informace
vztahující se k tomuto serveru. Aby zkontrolovali stránku ohledne spamu
ci phishingu, tak by musel Skype prozkoumat její obsah.
V lednu posílala jistá skupina lidských práv Microsoftu [LINK:
http://www.skypeopenletter.com/] otevrený dopis s dotazem na bezpecnost
komunikace Skypem poté, co jej prevzali. Skupina za tímto dopisem,
k nimz patrí [LINK: https://www.eff.org/] Electronic Frontier
Foundation a [LINK: http://en.rsf.org/] Reporters without
Borders vyjádrila obavy, ze restrukturalizace vzniklá z prevzetí
znamená, ze Skype bude muset vyhovet US zákonum o odposlechu, a bude
tudíz muset vládním agenturám a tajným sluzbám dovolit prístup ke
komunikaci Skypem.
Jako souhrn *The H* a heise Security verí, ze Microsoft tohoto svolení
vyuzívání u všech touto sluzbou prenášených dat ve velkém rozsahu,
jak se mu zachce, a všichni uzivatelé Skypu by meli predpokládat, ze
k tomu opravdu dochází, a ze spolecnost neodhalí, k cemu presne ta
data sbírá.
Zdroj: http://www.prisonplanet.com/skype-with-care-%e2%80%93-microsoft-is-reading-everything-you-write.html
↧