Kto (lub co) czyta wiadomości przesyłane przez Skype?

Przyganiał kocioł garnkowi – tak można określić terazkampanięScroogled Microsoftu wymierzoną przeciwko Google i jegopraktykom skanowania treści wiadomości przesyłanych przez Gmaila.Odkrycie niemieckich ekspertów od bezpieczeństwa IT, o którympoinformował serwis heise.de, dowodzi, że gigant z Redmond też niema nic przeciwko zaglądaniu do tego, co piszą użytkownicy jegousługi.Zaczęło się od wykrycia dziwnego ruchu sieciowego, którynastępował po rozmowach prowadzonych na Skype, a który wydawałsię z początku próbą ataku na serwer. Za każdym razem, gdy przezkomunikator w rozmowie przesłano adres URL kierujący dozabezpieczonych przez TLS/SSL treści, adres ten był odwiedzanyprzez klienta (najprawdopodobniej sieciowego bota), próbującegopobrać informacje za pomocą metody HEAD (a nie zazwyczajwykorzystywanych metod GET i POST). HEAD wykorzystywane jest zwykledo pobierania metainformacji w nagłówkach odpowiedzi, bezkonieczności przenoszenia całej zawartości zasobu dostępnego poddanym URL.[img=surveillance]Kto miałby coś takiego robić? Po przeanalizowaniu logówodkryto, że adres IP, z którego inicjowane było połączenie,należy do Microsoftu. Ludzie z Heise Security powtórzylieksperyment, przesyłając przez Skype dwa adresy HTTPS – jeden zdanymi logowania, drugi z odnośnikiem do usługi w prywatnejchmurze. Wkrótce po tym bot Microsoftu odwiedził ich adresy. Cociekawe, gdy przesyłano zwykłe adresy HTTP, reakcji takich nieodnotowano. Bot działał tylko wówczas, gdy w grę wchodziłyadresy do zabezpieczonych zasobów i potrafił wykorzystać przejętedane, by zalogować się do usługi.Heise w tej sytuacji wysłało do Microsoftu prośbę owyjaśnienie sytuacji, i w odpowiedzi otrzymało odnośnik dopolityki ochrony danych Skype'a. Dowiedzieć się z tego dokumentumożna, że Skype możewykorzystywać automatyczne skanowanie wiadomości błyskawicznychi SMS-ów, aby (a) identyfikować treści spamowe i/lub (b)identyfikować URL-e, które wcześniej zostały oznaczone jako spam,phishing czy fałszerstwo.Fantastycznie – ochrona przed spamem i phishingiem to zacnasprawa, tyle że w tym wypadku to, co się działo, niewiele mawspólnego z ochroną przed spamem. Po pierwsze, zwykle spamowewitryny nie znajdują się pod adresami HTTPS, tylko pod HTTP, podrugie, pobieranie informacji metodą HEAD nic by nie powiedziało ofaktycznej zawartości zasobu.Trudno powiedzieć, z czym mamy w tym wypadku do czynienia. Grupytakie jak Electronic Frontier Foundation czy Reporters withoutBorders podejrzewają, że może chodzić o dostosowanie Skype'a doamerykańskiego prawa o przechwytywaniu danych, umożliwiającegosłużbom specjalnym USA łatwe uzyskiwanie dostępu do komunikacjielektronicznej. W każdym razie, jeśli chcecie rozmawiać na poufnetematy, radzimy od Skype'a trzymać się z daleka. Znaczniesensowniej skorzystać np. z łatwego w obsłudze Cryptocata,dostępnego jako rozszerzenie dla Chrome i Firefoksa.