Microsoft intercetta utenti Skype

Secondo un articolo pubblicato qualche giorno fa, da un giornale tedesco, alcuni analisti avrebbero trovato le prove che Microsoft legge i messaggi inviati dagli utenti nel corso delle chat di Skype.

Il tutto è stato scoperto in modo molto semplice. Un’utente aveva osservato una parte del traffico di rete insolita a seguito di una conversazione in chat su Skype, il server ha indicato un potenziale attacco in riproduzione e si è scoperto che un indirizzo IP, che risale a Microsoft aveva accesso agli URL HTTPS precedentemente trasmessi con Skype.

Avvisata Heise Security, la stessa, ha linkato nella chat due URL HTTPS, uno contenente le informazioni di accesso e uno che puntava ad un servizio di file-sharing basato su cloud privato. Poche ore dopo, gli esperti hanno osservato nel registro del server l’accesso da sistemi chiaramente appartenenti a Microsoft.

“65.52.100.214 – [30/Apr/2013: 19:28:32 +0200] “.? HEAD / .. / login.html user = tbtest & password = geheim HTTP/1.1”

 

Skype

 

Il rapporto di Heise Security è stato in seguito confermato da altre società di sicurezza e analisti indipendenti. Il controllo da parte di Microsoft è evidente e inquietante, alla faccia della privacy degli utenti. Secondo quanto ha affermato Heise Security pare che si tratti di una richiesta HEAD quindi limitata e circoscritta.

A questo punto è facile chiedersi, ma tutti gli URL vengono monitorati? La risposta è che soltanto i link HTTPS vengono presi in considerazione, mentre quelli HTTP sono ignorati. Microsoft, interpellata per la vicenda, si “giustifica”, affermando che Skype è in grado di utilizzare dei metodi automatici per il rilevamento di SMS o messaggi al fine di controllare ed identificare spam o URL sospetti, questo per evitare frodi o phishing.

I link HTTP sono meno ricchi di informazioni rispetto a quelli HTTPS, per cui la dichiarazione di Microsoft, secondo gli addetti ai lavori non può reggere e nemmeno le speculazioni che indicano il filtro SmartScreen, una funzione di sicurezza MS, come la causa del problema. Fatto sta che dopo il fatto, non sono più stati rilevati tentativi di accesso da parte di Microsoft. Ma questo è abbastanza ovvio.

Antefatti

Skype non è in grado di proteggere le comunicazioni che veicola, sostiene l’organizzazione No Profit Privacy International, la quale si occupa della salvaguardia della privacy dei cittadini di tutto il mondo. Secondo Eric King, Human Rights e Tecnology Advisor, il livello di sicurezza sarebbe insufficiente, non solo per la facilità con cui si possono vestire i panni di un’altro utente con tanto di nome completo, ma per la mancanza del supporto al protocollo HTTPS, che agevola gli attacchi malware.

Stiamo parlando di intercettazioni. A Skype viene imputata la mancanza di tecnologie avanzate per la cifratura delle comunicazioni, l’attuale codec audio VBR (Variable Bit Rate) consente l’identificazione delle frasi con un’accuratezza compresa tra il 50 e 90%, questo nonostante fino a poco tempo addietro, si dicesse che perfino gli organi istituzionali, (Polizia) non potessero accedervi.

A dire la verità, i servizi segreti, per esempio, intercettano da anni le comunicazioni (anche) via Skype, con tanto di localizzazione degli utenti, secondo la società specialista in cyber-security Group-IB. A parte questo però, vale la pena ricordare che nel Maggio 2011, Microsoft ha acquisito Skype, aggiornando il sw con una tecnologia che consente la “legittima” intercettazione e registrandone il brevetto (Legal Intercept) nel Giugno dello stesso anno.

Ovviamente il colosso di Redmond sottolineò, ai tempi, che per utilizzo della tecnologia, sarebbe stata necessaria l’autorizzazione di un giudice, per non incappare nel reato di violazione della privacy. La cronaca abbastanza recente (Gennaio 2013) riportò un mezzo scandalo a tal proposito.

Skype fu accusata di spionaggio negli Stati Uniti e Microsoft di aver ampliato la propria cooperazione per agevolare le autorità all’accesso delle chat e informazioni degli utenti Skype, tanto che Reporters Senza Frontiere, l’Electronic Frontier Foundation ed altri 43 gruppi, hanno pubblicato una lettera , dicendo che il gigante tecnologico è stato “persistente, poco chiaro e confuso” circa la riservatezza delle conversazioni di Skype e con diversi punti nella richiesta esplicita di un Transparency Report, come rilasciato da tutti i grandi del web.