Останнім часом багато шуму навколо безпечності використання Skype. При цьому кожен другий журналіст, який про це пише, наголошує на тому, що Skype - це просто нічний кошмар спецслужб бо вони, бідненьки, не можуть прослуховувати поганих хлопців, які ним користуються. Ну хіба-що певне занепокоєння хабра-школоти викликає купівля Skype’а Microsoft’ом та якийсь патент MS, де описано, як “прослуховувати” IP-телефонію.
Я припускаю, що той самий кожен другий журналіст, чесно упевнений у безпечності скайпа і так само чесно співчуває бідним спецслужбам. Але у нього це через брак знань. Реальна небезпека Skype полягає у його закритій архітектурі: майже ніхто з користувачів не знає, що відбувається “за кулісами”: люди просто реєструються та користуються. З одного боку, це безумовно зручно. З іншого - більшості і не потрібно розбиратись з криптографічними протоколами, які використовує Skype для того, щоб захищати наше спілкування. Але. У своїх Правилах Використання вони чесно говорять:
5.3 Updates to the Sofware: You may be required to enter into an updated version of these Terms to be able to download or otherwise take advantage of any Updates. Skype has no obligation to make available any Updates. However, Skype may in its sole discretion require you to automatically download and install Updates from time to time in order to allow you to use the Software and you agree to accept such Updates subject to these Terms.
З одного боку, Skype не зобов’язаний надавати користувачеві жодні оновлення програмного забезпечення, а з іншого - час від часу на свій розсуд може автоматично завантажувати на комп користувача та встановлювати оновлення, які визначені у пункті 1.1 як “any improvements, modifications, enhancements, fixes, updates, upgrades and future versions”.
Повна відсутність контролю користувача над оновленнями і бінарна форма цих оновлень веде до того, що у будь-який момент і проти будь-якого свого користувача Скайп може провести персоніфіковану атаку: на машину конкретного користувача може приїхати конкретно під нього заморфлений бінарний апдейт, який конкретно його сесійні ключі і конкретно його розмови зливатиме туди, куди захоче Skype. Причому я на 100% упевнений, що у скайпа такий модуль вже багато років як реалізований і всі ці крики про те, що Скайп недоступний спецслужбам - лажа.
Звісно, у нормальний суд отримані таким чином записи не понесеш, але на їх підставі можна добути багато доказів, які можна буде і віднести.
