anuncio

Tudo as coisas ou algo assim

terça-feira, 14 de maio de 2013

Use o Skype com cuidado - Microsoft está lendo tudo que você escreve

Quem usa Skype, autorizou a empresa a ler tudo que escrevem. É o que diz a The H's associate e a heise Security na Alemanha, Eles descobriram agora que as subsidiárias da Microsoft , de facto, fazem uso desse privilégio na prática.


Um leitor do site heise Security , informou que ele havia observado algum tráfego de rede incomum após uma conversa de mensagens instantâneas Skype.O servidor estava indicando um ataque de repetição potencial.
Descobriu que um endereço IP que remonta a Microsoft tinha acedido ao URLs HTTPS anteriormente transmitidos através do Skype. heise Security, em seguida, reproduziu os eventos através do envio de dois testes HTTPS URLs, uma contendo os dados de login e uma apontando para um serviço de compartilhamento de arquivo privado baseado em nuvem. Poucas horas depois de suas mensagens do Skype, eles observaram o seguinte no log do servidor:

65.52.100.214 - [30/Apr/2013: 19:28:32 +0200]
".? HEAD / .. / login.html user = tbtest & password = geheim HTTP/1.1"
Utrace mapa
O acesso é proveniente de sistemas que pertencem claramente à Microsoft. Fonte: utrace

Eles também receberam visitas a cada uma das URLs HTTPS transmitidos através de Skype a partir de um endereço IP registrado para a Microsoft. URLs que apontam para páginas criptografadas freqüentemente contêm dados de sessão única ou outras informações confidenciais. URL HTTP, por outro lado, não foram verificadas. Em visita a essas páginas, a Microsoft fez uso de ambas as informações de login e a URL criado especialmente para um serviço de compartilhamento de arquivo privado baseado em nuvem.
Em resposta a uma pergunta de heise Security à Skype , foi enviado uma passagem de sua política de proteção de dados :
"O Skype pode usar a verificação automatizada dentro de mensagens instantâneas e SMS para (a) identificar suspeitas de spam e / ou (b) identificar URLs que tenham sido previamente marcada como spam, fraude ou phishing links."
Um porta-voz da empresa confirmou que verifica as mensagens para filtrar spam e sites de phishing. Esta explicação não parece encaixar os fatos, no entanto. Sites de spam e phishing normalmente não são encontradas nas páginas HTTPS. Por outro lado, Skype deixa o URLs HTTP mais comumente afetadas, que não contém informações sobre a titularidade, intocado. Skype também envia head requests que apenas obtém informações administrativas relativas ao servidor. Para verificar um site de spam ou phishing, Skype seria necessário examinar o seu conteúdo.
Em janeiro, grupos de direitos civis enviaram uma carta  a Microsoft questionando a segurança da comunicação Skype desde a aquisição. Os grupos por trás da carta, que incluiu a Electronic Frontier Foundation e Reporters without Borders expressou preocupação de que a reestruturação resultante da aquisição fez com que o Skype teria que cumprir com as leis norte-americanas sobre espionagem e teria, portanto, para permitir as agências governamentais e os serviços secretos para acessar comunicações Skype.