widocznie jeszcze nie załadowali wszędzie.
Zaloguj
lub
Zarejestruj się
aby zobaczyć!
Przyganiał kocioł garnkowi – tak można określić teraz kampanię Scroogled Microsoftu wymierzoną przeciwko Google i jego praktykom skanowania treści wiadomości przesyłanych przez Gmaila. Odkrycie niemieckich ekspertów od bezpieczeństwa IT, o którym poinformował serwis heise.de, dowodzi, że gigant z Redmond też nie ma nic przeciwko zaglądaniu do tego, co piszą użytkownicy jego usługi.
Zaczęło się od wykrycia dziwnego ruchu sieciowego, który następował po rozmowach prowadzonych na Skype, a który wydawał się z początku próbą ataku na serwer. Za każdym razem, gdy przez komunikator w rozmowie przesłano adres URL kierujący do zabezpieczonych przez TLS/SSL treści, adres ten był odwiedzany przez klienta (najprawdopodobniej sieciowego bota), próbującego pobrać informacje za pomocą metody HEAD (a nie zazwyczaj wykorzystywanych metod GET i POST). HEAD wykorzystywane jest zwykle do pobierania metainformacji w nagłówkach odpowiedzi, bez konieczności przenoszenia całej zawartości zasobu dostępnego pod danym URL.
Kto miałby coś takiego robić? Po przeanalizowaniu logów odkryto, że adres IP, z którego inicjowane było połączenie, należy do Microsoftu. Ludzie z Heise Security powtórzyli eksperyment, przesyłając przez Skype dwa adresy HTTPS – jeden z danymi logowania, drugi z odnośnikiem do usługi w prywatnej chmurze. Wkrótce po tym bot Microsoftu odwiedził ich adresy. Co ciekawe, gdy przesyłano zwykłe adresy HTTP, reakcji takich nie odnotowano. Bot działał tylko wówczas, gdy w grę wchodziły adresy do zabezpieczonych zasobów i potrafił wykorzystać przejęte dane, by zalogować się do usługi.
Heise w tej sytuacji wysłało do Microsoftu prośbę o wyjaśnienie sytuacji, i w odpowiedzi otrzymało odnośnik do polityki ochrony danych Skype'a. Dowiedzieć się z tego dokumentu można, że Skype może wykorzystywać automatyczne skanowanie wiadomości błyskawicznych i SMS-ów, aby (a) identyfikować treści spamowe i/lub (b) identyfikować URL-e, które wcześniej zostały oznaczone jako spam, phishing czy fałszerstwo.
Fantastycznie – ochrona przed spamem i phishingiem to zacna sprawa, tyle że w tym wypadku to, co się działo, niewiele ma wspólnego z ochroną przed spamem. Po pierwsze, zwykle spamowe witryny nie znajdują się pod adresami HTTPS, tylko pod HTTP, po drugie, pobieranie informacji metodą HEAD nic by nie powiedziało o faktycznej zawartości zasobu.
Trudno powiedzieć, z czym mamy w tym wypadku do czynienia. Grupy takie jak Electronic Frontier Foundation czy Reporters without Borders podejrzewają, że może chodzić o dostosowanie Skype'a do amerykańskiego prawa o przechwytywaniu danych, umożliwiającego służbom specjalnym USA łatwe uzyskiwanie dostępu do komunikacji elektronicznej. W każdym razie, jeśli chcecie rozmawiać na poufne tematy, radzimy od Skype'a trzymać się z daleka. Znacznie sensowniej skorzystać np. z łatwego w obsłudze Cryptocata, dostępnego jako rozszerzenie dla Chrome i Firefoksa.