lffl consiglia

Articoli Recenti

18 maggio 2013

[Editoriale] Skype è il nostro “Grande Fratello”?

-
Microsoft Skype
Leggendo un articolo tratto dal portale dedicato alla sicurezza web “The H online”, sembrerebbe che un loro associato tedesco, la Heise Security, abbia scoperto l'azienda di Redmond a fare uso di un sistema per monitorare i messaggi trasmessi su rete skype. A quanto si può apprendere, dopo l'invio di un HTTPS URL attraverso il sistema di instant messaging, lo stesso URL ha ricevuto una visita da parte del quartier generale Microsoft. Sinteticamente, un lettore ha informato la Heise Security di aver osservato una strana attività di rete dopo una sessione di chat via skype. Il server a quel punto ha indicato un potenziale “replay-attack”, tecnica d'attacco di rete che consente di impossessarsi delle credenziali di autenticazione trasmesse da un host ad un altro, riproponendola successivamente simulando l'identità dell'emittente (fonte wiki: http://it.wikipedia.org/wiki/Replay_attack), e tramite tracciamento si è risaliti ad un accesso ad opera di Microsoft all'URL HTTPS precedentemente inviato.
Heise Security ha quindi provato a riprodurre gli eventi inviando due URL di test, uno contenente informazioni di login (un HTTPS) e l'altro puntato ad un servizio di file sharing via cloud privato. Alcune ore dopo l'invio dei suddetti messaggi è stato possibile osservare nei log quanto segue:

65.52.100.214 - - [30/Apr/2013:19:28:32 +0200]
"HEAD /.../login.html?user=tbtest&password=geheim HTTP/1.1"

Anche Heise Security ha riscontrato quindi visite da un indirizzo IP registrato a Microsoft, da Redmond, nel dettaglio si accenna principalmente al servizio di file sharing su cloud privato, non su HTTPS (si parla di contenuti della pagina), che ha comunque ricevuto visite ma senza l'accesso ai contenuti della pagina. Ad ogni modo gli URL criptati spesso contengono dati di sessione o altre informazioni legate al login, dati che appunto “dovrebbero” rimanere privati. In risposta a Heise Security, la divisione skype ha commentato citando un passaggio della propria Privacy Policy, che l'utente accetta quando decide di fruire del servizio:

“Skype può utilizzare un sistema di scansione automatizzato all'interno dei messaggi di testo e degli SMS, al fine di identificare presunte frodi, azioni di phishing, spam e via dicendo”.

Un portavoce della società ha ulteriormente confermato quanto sopra, tuttavia questa spiegazione sembra non convincere molto gli addetti ai lavori in quanto i link ai siti di spam e phishing non si trovano generalmente nelle pagine HTTPS. Di contro poi Skype sembrerebbe lasciare intoccati i più comunemente afflitti URL HTTP, che non contengono dai personali degli utenti. Skype inoltre invia delle “head-request” che si limitano a recuperare delle informazioni amministrative relative al server. Poi però per controllare effettivamente un sito di spam o di phishing, dovrebbe poter accedere ed esaminarne il contenuto, ma se ciò non avviene, ci sfugge il senso.

Lo scorso gennaio alcune associazioni per i diritti civili negli Stati Uniti, come la Electronic Frontier Foundation e Reporters without Borders, hanno inviato una lettera aperta a Microsoft esprimendo sconcerto in merito alla ristrutturazione della società “Skype” di recente acquisizione, portando alla luce il timore di sottostare alle nuove leggi sull'intercettazione negli USA, che consentirebbero ai servizi segreti di accedere e monitorare gli account skype.

The H Security e Heise Security sembrerebbero quindi credere a questa storia, indicando che ogni utente skype dovrebbe prendere per buono quanto apparentemente scoperto e che l'azienda di Redmond non rivelerà esattamente come verranno usati tali dati raccolti.

APPROFONDIMENTO:

Proprio ieri (17 maggio) The H Security ha pubblicato un approfondimento in seguito ai tanti commenti ricevuti al proprio articolo. H Security afferma di aver contattato alcuni esperti indipendenti e di aver sottoposto loro la questione, il risultato emerso è che gli URL HTTPS sono stati accessibili e che Microsoft ha utilizzato tutte le informazioni trasmesse, tra cui una sessione e gli ID utente che spesso compaiono nei link HTTPS. Le pagine erano quindi accessibili tramite head-request, significa che solo i dati amministrativi sono stati recuperati, ma non i contenuti della pagina.

Qualcuno sostiene che dietro ci sia una funzione di sicurezza facente parte del filtro SmartScreen di MS, opzione plausibile ma che a quanto pare genera diversi quesiti. Ad esempio ci si chiede perché il controllo sia stato effettuato solo dopo diverse ore e non immediatamente, visto che nei casi di spam e phishing i tempi d'azione sono praticamente essenziali. Ore di tempo prima di un controllo possono permettere ai sistemi di spamming di raccogliere grandi quantità di dati prima di essere classificati e bloccati.

Un altro quesito che viene posto è: come pensa MS di fare un rating di una pagina contenente spam ecc, senza controllarne il contenuto? Ma questi sono solo esempi.

L'utilizzo del filtro SmartScreen è conosciuto e documentato, ad esempio in IE viene data la possibilità di disattivarlo, mentre in skype l'utente non può neppure sapere se tale feature sia integrata o meno o decidere se mantenerla piuttosto che disattivarla.

Per The H Security questa tecnica di monitoraggio ha scarsi benefici, soprattutto se confrontata con l'ampissima violazione alla privacy a scapito degli utenti. MS dovrebbe almeno dare, in questo caso (e se tutto vero), la possibilità agli utenti di decidere cosa fare con i propri dati e con la condivisione degli stessi, anche se probabilmente diverrebbe una novità visto di chi stiamo parlando.

Sono stati fatti infine dei test simili con le chat di Google, Facebook e ICQ, le quali a quanto pare, hanno dato esito negativo, segno che non vi sia stato nessun tentativo di monitoraggio apparente in tali sessioni.

Si ringrazia “The H Security” come fonte dell'articolo e suggeriamo ai nostri lettori comunque una lettura (in inglese), anche solo per eventuali nostre sviste.

Ringrazio il nostro collaboratore Ivan Visini autore di questo articolo