Dieser Inhalt wäre ohne die Premium-User nicht finanzierbar. Doch wir brauchen dringend mehr Unterstützer:
Hilf auch du mit!
In den Nutzungsbedingungen von Skype räumt sich Microsoft unter anderem das Recht ein, Sofort-, Sprach- und Videonachrichten zur Informationsgewinnung zu nutzen. Nun wurde bekannt: Skype scannt unter anderem automatisiert https-Links, die per Sofortnachricht verschickt werden.
heise.de überprüfte den Hinweis eines Lesers und versandte via Skype-Sofortnachricht https-Links, die also auf einen Server mit SSL-Verschlüsselung verwiesen. In einem der Links befanden sich Login-Daten, ein anderer führte zu einer privaten Dateifreigabe durch einen Cloud-Dienst. Und siehe da: Wenig später erfolgten Zugriffe auf die Test-URLs von einer IP, die auf Microsoft registriert ist. Heise hakte bei Skype nach und wurde auf die Datenschutzrichtlinien des Dienstes verwiesen. Diese besagen unter anderem:
Skype nutzt gegebenenfalls innerhalb von Sofortnachrichten und SMS automatisiertes Scannen zur Bestimmung von (a) vermutlichem Spam und/oder (b) URLs, die bereits als Spam-, Betrugs- oder Phishing-Links identifiziert wurden. In Ausnahmefällen zeichnet Skype unter Umständen Sofortnachrichten und SMS auf, um diese im Rahmen seiner Bemühungen zur Reduzierung von Spam manuell zu überprüfen.
Laut eines Unternehmenssprechers geht es also einzig und allein darum, die Nutzer des Netzwerkes vor Spam und Betrug durch Phishing zu schützen. Merkwürdig ist allerdings, dass Derartiges selten per https-Links verteilt wird. Stattdessen geschieht dies zumeist über ganz normale http-Links, die jedoch nicht der automatischen Prüfung unterzogen werden. Zudem fragt Skype lediglich Verwaltungsinformationen des betreffenden Servers ab, prüft also nicht den Inhalt der Seiten, auf die die Links verweisen. Dies wäre aber zwingend notwendig, um tatsächlich die angesteuerten URLs auf Spam und Phishing zu scannen.
Dieses Beispiel zeigt, dass sich Instant-Messaging-Clients absolut nicht eignen, um vertrauliche Daten weiterzugeben.
114 Kudos
Unabhängig. Meinungsstark.
Na sowas, schnarch...
^^
Der Hinweis ist sicherlich wichtig und angebracht, aber wie im letzten Ansatz schon beschrieben nicht wirklich etwas neues.
In den ICQ AGBs befand sich schon zu AOL Zeiten ein Passus, der in etwa lautete "Sämtliche über ICQ geteilten Ideen können zu Eigentum von AOL werden und können von AOL weiter verwendet werden. Dies enthält auch die Nutzung für Anmeldungen zum Patent durch AOL". Ist jetzt aus dem Gedächtnis gekramt, aber so in etwa stand es da. Natürlich in juristen-denglisch verpackt und besser formuliert.
URL Scanning ist da also noch vergleichsweise harmlos und noch einigermaßen nachvollziehbar, da ja auch immer wieder wirklich Spambots unterwegs sind/waren die einen bitten doch irgendwo mal seine Login Einstellungen zu überprüfen. Ganz frei davon, ob das für die Nutzer letztlich was gutes bedeutet oder nicht in einem größeren Rahmen.
Ja, daran kann ich mich auch erinnern. Gibts AOL überhaupt noch?
Jörg liest hier auch mit, was ich schreibe ^^
Und was benutzt man dann als Alternative, wenn man überall überwacht wird?
Und damit mein ich jetzt nicht sich in privaten Räumen (die man auf Wanzen etc. untersucht hat) zu treffen..
überall überwacht wird.. köstlich.
ja, schon schlimm, wenn irgendnen automatisiertes programm irgendwas anonym speichert, gell.
Wer sagt denn, das die Speicherung anonym passiert?
Das dachte ich mir auch, aber das war schon so ein trollwürdiger Kommentar, da hab ich mir den Kommentar erspart.
Man könnte sich in privaten Räumen treffen, sollte diese aber vorher auf Wanzen und ähnliches untersuchen.
Da ich schon länger kein Instant Messaging mehr nutze, kann ich es nicht genau sagen, aber man könnte natürlich alle Nachrichten verschlüsselt übersenden, z.B. via
http://en.wikipedia.org/wiki/Off-the-Record_Messaging
(da steht im Artikel für welche IM Clients das verfügbar ist.) Das Ǵanze gilt aber wohl nur für Text ;).
Wichtig wäre das der Schlüsselaustausch der einzelnen Personen über sicher Kanäle geht.
EDIT: Ich finde es auch gar nicht wirklich schlimm das sowas passiert. Das Problem ist das nicht jeder mitbekommt das Daten auf diese Art und Weise genutzt werden (können). Und das nicht klar ist was genau damit gemacht wird ;)
(Warum zum Beispiel interessiert sich Microsoft/Skype für Links die über ssl/https gehen? Die "Erklärung von Microsoft wirkt halt einfach sehr fadenscheinig, wie auch im Artikel selbst steht)
Ist es nicht Sinn gewisser Ideen hinter OTR (oder anderer Verfahren, Public-Key oder was es alles gibt), dass es keinen sicheren Kanal geben muss?
Ok wie gesagt 100% sicher bin ich mir nicht, müsste man sich nochmal genauer einlesen...
Wenn es ein Public Key Verfahren ist, sollte es ok sein wenn der öffentliche Schlüssel über einen unsicheren Kanal übertragen wird.
EDIT: Da OTR Messaging "Diffie–Hellman key exchange" nutzt dürfte man die Schlüssel über unsichere Kanäle austauschen können. Ich hatte OTR vor ein paar Jahren mal genutzt, damals haben wir die Schlüssel wenigstens nicht übers Internet (also einen anderen trotzdem eher unsicheren Kanal) getauscht. Kann sein das ich da was durcheinander gebracht habe ;)
Am Telefon vorgelesen, per Post geschickt? :)
OTR habe ich auch vor einer ganzen Weile mal benutzt, war nicht einmal unkomfortabel, meine ich.
Jedenfalls zeigen diese Beispiele, dass sich Instant-Messaging-Clients durchaus eignen können, um vertrauliche Daten weiterzugeben.
Ne durch den Raum geschrien ;=)
Hachja, das hätte durchaus auch eine Station meines Lebens sein können. :D
Hey, der erste Vorschlag ist gut (der mit dem Treffen und den Wanzen)
Glaub das mach ich mal.
Glaube die wenigsten kriegt man sowieso dazu, sowas zu benutzen. Man ist ja schon in der Minderheit, wenn man kein Whatsapp benutzt.
Mir geht es auch eher um die Sache in deinem Edit.
Soweit ich weiß, steh ich ja bei Whatsapp irgendwo drin, weil Freunde von mir das benutzen und mich in ihren Kontakten haben. Mit welchem Recht machen die das?
Das stört mich einfach.
Welche Daten sammeln die und warum und was passiert damit, das bleibt einfach viel zu oft verborgen.
Lync, oder Openfire? Bzw. nen Jabberclient/Server der die Verschlüsselung End-To-End Supported.
Es ist außerdem ein Unterschied ob ich was direkt in den "Raum" broadcaste oder vermeintlich vertraulich kommuniziere.
Jabber.
Und dann am besten mit eigenem Server. Wenn dann alle Unterhaltungen nur auf dem eigenen Server laufen, ist man der einzige, der Abhören könnte...
Geht aber auch verschlüsselt über einen öffentlichen Server. Jabber crypted Client-seitig schon. Der Server stellt dann nur die Verbindung zwischen beiden Clients her. Klar, noch mehr Sicherheit bietet der eigene Server.
Man schreibt Briefe?
Grad letzte Woche wieder 3 geschrieben. So ziemlich das sicherste Kommunikationsmittel dieser Tage ;-)
nicht unbedingt... ;)
http://www.antenne.de/Brieftraeger-hortet-Hunderte-Briefe-in-seiner-Garage__aktionen_619055_radio.html
Ganz abstrus find ich die Erklärung nicht. Es wird ja beschrieben, dass der eigentliche Inhalt der https Webseiten nicht abgerufen wird, sondern letztendlich nur die Verbindung aufgebaut.
Es könnte sein, dass Microsoft schlicht und einfach nur auf der Suche nach gefälschten SSL/TLS Zertifikaten ist. Es kam ja in den letzten Monaten/Jahren schon ein paar mal vor, dass root CAs kompromitiert wurden und von denen Zertifikate für populäre Webseiten wie Google oder sonstwas ausgestellt wurden. Wenn jemand mit so einem Zertifikat eine Spoof-Google Seite aufbaut und Leute darauf umlenkt ist es für den Browser des angegriffenen nicht möglich anhand des Zertifikats die Seite als fake zu erkennen.
Und jetzt schließt sich der Kreis: Es kann durchaus sein, dass solche Spoofing Angriffe dann über Instant Messenger wie Skype gestartet bzw. verbreitet werden. Und wenn Microsoft automatisch die SSL/TLS-Zertifikate checkt wären sie zumindest frühzeitig informiert und könnten dagegen vorgehen.
Wie gesagt, ich finds nicht vollkommen absurd, was Microsoft wirklich macht weiß nur Microsoft.
Gegen die Sicherheitstheorie spricht dann aber wieder, dass Redmond nur die https links überprüft jedoch die http links ignoriert. Wenn schon aus Gründen der Sicherheit, dann ordentlich. So wirkt es einfach nur scheinheilig.
Das ist doch Quatsch, wenn es nur ums Überprüfen von Zertifikaten geht, was sollen sie auf normalen http-Seiten?
Sie können ja trotzdem alle URLs gegen Blacklists prüfen, dazu muss die Seite nicht besucht werden und dementsprechend kann man es auch auf die Art nicht feststellen.
Phishing findet doch nicht auf SSL-Secure Seiten statt, zumindest nicht im DAU-Bereich.
Daher müsste dann auch der Content gecheckt werden
Wenn es nur ums Überprüfen von Zertifikaten geht, warum sagen sie dann nicht genau das, sondern reden was von Spam- und Phishing-Abwehr?
Weil es dabei um Phishing geht vielleicht? Und natürlich nennen sie keine technischen Details, man lässt sich bei der Gefahrenabwehr nunmal ungern in die Karten schauen.
Aber nochmal: Ich hab natürlich keinen Schimmer was Microsoft wirklich macht, ich sag nur, dass es potentiell gute Gründe gäbe etwas zu machen, was mit den aufgedeckten "Symptomen" in Einklang steht.
Welche Gefahr geht von einem Server aus der ein selbst erstelltes Zertifikat hat? Es macht überhaupt gar nicht für jeden Sinn sich bei einer Stammzertiiktsstelle "einzukaufen".
Und vor allem was macht MS bzw Skype mit der Info das da ein SSL Zertifikat nicht von einer großen Firma vergeben wurde?
Mehr wissen sie ja durch diese Anfrage auch nicht. Mit Phishingshutz kann das schlecht was zu tun haben.
Ich glaube er meint nicht, dass die Zertifikate selber erstellt wurden oder nicht von den großen CAs kommen, sondern dass es bei den großen CAs Sicherheitsprobleme gab, die dazu geführt haben, dass es gefälschte Zertifikate gibt, die aussehen, als würden sie von den großen CAs kommen, die in allen unseren Browsern als vertrauendwürdige Zertifizierungsstellen eingetragen sind.
Wenn man seine Phishing-Seite SSL-verschlüsseln kann, ohne das der Browser rummeckert, weil das Zertifikat gefälscht ist und auf den ersten Blick in Ordnung geht, kann ich mir sehr wohl vorstellen, dass das dabei hilft, so ne Seite noch glaubwürdiger aussehen zu lassen.
Zumindest einer versteht mich :D
diese sind doch aber von den CAs nach dem Hack zurückgezogen worden, und sollten jetzt als Ungültig erscheinen
Erstmal kann sowas immer wieder passieren und bleibt oft auch längere Zeit unerkannt und durch das Scanning könnte sowas schneller aufgedeckt werden. Und 2. bringt das zurückziehen erstmal gar nichts, die bleiben solange gültig bis sie bei ner Browseraktualisierung aus dem Rootstore entfernt werden. Und das kann je nach Browser ne Zeit dauern.
die Updates dazu kammen recht schnell...sind auch bei den meisten großen Unternehmen recht flott durch die Validierung gegangen.
Gute Gründe sind ziemlich relativ. Wenn es um die Gewinn-Maximierung geht, ist das aus Sicht des Unternehmens auch ein guter Grund. Aus der Sicht des Kunden muss das nicht wirklich gut sein!
AHA! Skype also auch.
DIE SCHWEINE!!!! ;)
Mal ne Frage: Internetkommunikation fällt nicht unter das Postgeheimnis oder?
Oder fehlt da schlicht und einfach mal wieder die gesetzliche Regelung?
die Frage ist, wie das Postgeheimniss aus Deutschland greifen sollte, wenn die Kommunikation über Ausländische Infrastruktur abläuft.
Das Problem findest du im Internet häufig, das lokale Gesetze nicht Anwendbar sind weil das Unternehmen dort nicht sitzt.
Google baut so ziemlich sein ganzes Geschäftsmodell darauf auf. ;) Allerdings jetzt mit dem Autovervollständigen-Urteil hat's mal nicht geklappt...