¿Skype puede interceptar sus llamadas?

El blog de código abierto de Skype especula que Microsoft ha cambiado la arquitectura de Skype para facilitar las escuchas telefónicas:

Hace dos meses, Skype reemplazó los supernodos P2P alojados por el usuario con cajas grsec de Linux alojadas por Microsoft, pero ¿para qué?

[...]

La respuesta es: ESCUCHAS TELEFÓNICAS

¿Microsoft puede interceptar el contenido de las llamadas de Skype?

Te conectas a través de una conexión no encriptada a su servidor... sí pueden. Y estoy seguro de que cumplirán con las solicitudes legales. Esto probablemente debería trasladarse a IT Security SE
@Chad, sí, pertenece allí mejor. Pero sentí que la fuente era especulativa y merece una mirada crítica.
¿Por qué es escéptico de que se pueda interceptar una transmisión sin cifrar o de que Microsoft esté dispuesto a cumplir con los requisitos legales de los gobiernos de las naciones en las que opera su negocio (prácticamente todos)?
De hecho, era escéptico de que Skype no fuera puramente P2P. También esperaba que Skype estuviera encriptado.
Tienen una política de privacidad que es muy directa sobre el hecho de que utilizan prácticamente toda la información disponible que tienen sobre ti para lo que quieren. Y de sus términos de servicio : "5.7 Contenido de las comunicaciones: ... Skype se reserva el derecho (pero no tendrá la obligación) de revisar el contenido con el fin de hacer cumplir estos Términos".
Incluso si pudieran hacer escuchas telefónicas, eso no sería un gran problema. Todas las compañías telefónicas ya pueden hacer eso, de todos modos. Skype siendo el mismo no sería sorprendente.

Respuestas (2)

Ars Technica informó sobre el cambio de infraestructura el 1 de mayo de 2012.

Microsoft ha revisado drásticamente la red que ejecuta su servicio de voz sobre IP de Skype, reemplazando las máquinas cliente de igual a igual con miles de cajas de Linux que se han reforzado contra los tipos más comunes de ataques de piratería, dijo un investigador de seguridad. El cambio, que Kostya Kortchinsky de Immunity Security dijo que ocurrió hace unos dos meses, representa una desviación importante del diseño que ha impulsado a Skype durante la última década.

Debido a que Microsoft ahora controla el mecanismo de conexión entre cada llamada y controla el software que enruta la llamada, tienen la capacidad de enrutar los datos (de clientes seleccionados) a un servidor de terceros.

Contrariamente a lo que esperaba , Skype usa encriptación . Sin embargo, si lee la respuesta en las preguntas frecuentes de Skype:

Si realiza una llamada desde Skype a teléfonos fijos y móviles, la parte de su llamada que se realiza a través de la PSTN no está encriptada.

Por ejemplo, en el caso de llamadas de conferencia en las que participen dos usuarios de Skype a Skype y un usuario de PSTN, la parte de PSTN no está cifrada, pero la parte de Skype a Skype sí lo está.

Skype utiliza AES (Estándar de cifrado avanzado*), también conocido como Rijndael, que utiliza el gobierno de los EE. UU. para proteger información confidencial, y Skype utiliza el cifrado máximo de 256 bits. Las claves públicas de usuario están certificadas por el servidor de Skype al iniciar sesión con certificados RSA de 1536 o 2048 bits.

Entonces, dado que Skype es el que realiza el cifrado/descifrado, es concebible que incluso las llamadas cifradas puedan interceptarse en este punto y grabarse/retransmitirse.

Entonces, la respuesta a Can they aparentemente es sí. En respuesta a Will, lo remitiría a la respuesta de Vartec . Como resultado de la CALEA, cualquier llamada que involucre una red telefónica (línea fija o celular), caería dentro del ámbito de la ley. Microsoft estaría obligado, con las órdenes judiciales correspondientes, a proporcionar a las fuerzas del orden público acceso en tiempo real a las llamadas telefónicas a través de Skype.

Han reemplazado a los "supernodos", pero no hay proxies, sino más bien rastreadores en BitTorrent. En otras palabras, la comunicación real sigue siendo P2P. Por lo tanto, tienen la capacidad de saber quién llamó a quién y cuándo, pero no la conversación en sí. Lo cual es muy parecido a los datos de facturación típicos de la compañía telefónica tradicional.
Lo que, por supuesto, no significa que no puedan enrutar las llamadas interceptadas a través de los supernodos. Es solo que no es posible hacer eso para todas las llamadas.
@Vartec así no es como lo leo. La parte P2P ha sido reemplazada por una arquitectura de nube central (servidor) y todas las claves utilizadas por Skype están firmadas por un titular de clave propiedad de Microsoft.
la declaración de MS dice: "Esto no ha cambiado la naturaleza subyacente de la arquitectura peer-to-peer (P2P) de Skype, en la que los supernodos simplemente permiten que los usuarios se encuentren (las llamadas no pasan a través de los supernodos)". lidiar con problemas de alta escalabilidad, sí lo creo. No creo que enrutar todo el tráfico de VoIP a través de estas máquinas sea ni remotamente factible. Sin embargo, es factible enrutar algunos, los seleccionados para escuchas telefónicas.
POR CIERTO. cuando envío un archivo a otro usuario de Skype en la misma LAN, se transfiere con la velocidad de la LAN. Lo cual no sería posible si el archivo fuera enviado por proxy a través de un supernodo.
@Vartec He actualizado la respuesta. Sin embargo, Microsoft sigue siendo el poseedor de la clave del cifrado.
sí, mucho mejor ahora. +1

Está claro que desde el punto de vista legal, están obligados a hacerlo.

La ley de escuchas telefónicas de la Ley de Asistencia en las Comunicaciones para el Cumplimiento de la Ley (CALEA) se aprobó en 1994.

exigir que los operadores de telecomunicaciones y los fabricantes de equipos de telecomunicaciones modifiquen y diseñen sus equipos, instalaciones y servicios para garantizar que tengan capacidades de vigilancia integradas, lo que permite a las agencias federales monitorear todo el tráfico de telefonía, Internet de banda ancha y VoIP en tiempo real.

En 2004, la FCC dictaminó que CALEA se aplica a los "servicios de telefonía por Internet", que definieron como "proveedores de servicios de voz sobre protocolo de Internet (VoIP) interconectados (con la red telefónica pública conmutada)". Skype es un servicio de este tipo.

El fallo fue confirmado por la Corte de Apelaciones de los Estados Unidos en 2006.

Actualización: se ha confirmado que están filtrando mensajes de texto:

"Skype puede usar el escaneo automático dentro de los mensajes instantáneos y SMS para (a) identificar sospechas de spam y/o (b) identificar URL que se hayan marcado previamente como spam, fraude o enlaces de phishing".

Un portavoz de la empresa confirmó que escanea los mensajes para filtrar los sitios web de spam y phishing. Sin embargo, esta explicación no parece ajustarse a los hechos. Los sitios de spam y phishing generalmente no se encuentran en las páginas HTTPS. Por el contrario, Skype deja intactas las URL HTTP más comúnmente afectadas, que no contienen información sobre la propiedad. Skype también envía solicitudes principales que simplemente obtienen información administrativa relacionada con el servidor. Para verificar un sitio en busca de spam o phishing, Skype necesitaría examinar su contenido.

Actualización 2:

Skype es uno de los participantes en el programa PRISM

Pero ahora parece que no hay una línea clara que separe a Silicon Valley de las empresas de telecomunicaciones como pensábamos. The Washington Post y The Guardian abren aún más el escándalo de vigilancia de la Casa Blanca al descubrir un programa secreto llamado PRISM, un programa de inteligencia clasificado de hace seis años que "[accede] directamente a los servidores centrales de nueve empresas líderes de Internet de EE. audio, video, fotografías, correos electrónicos, documentos y registros de conexión.

(fuente de la cita: Diario Nacional )

ingrese la descripción de la imagen aquí

Más sobre esto en VentureBeat , que a su vez se basa en The Washington Post, The Guardian, National Journal y más.

¿Aprobaron una ley mencionando VoIP en 1994?
@gerrit - No, el tribunal concluyó que la ley los cubría tal como está escrito.
@gerrit: no, en 2004, la FCC dictaminó que VoIP conectado a redes telefónicas se rige por las normas telefónicas aprobadas en 1994. VoIP no conectado a redes telefónicas todavía no se rige por estas normas.
@Vartec: creo que le resultará difícil convencer a algunos jueces de que no se aplica. Pero estoy de acuerdo en que el fallo actual debería limitarlos allí.
@Chad: "Pero la FCC nunca accedió a la solicitud del FBI de reescribir CALEA para cubrir los programas de mensajería instantánea y VoIP que no son "administrados", es decir, programas de igual a igual como Facetime de Apple, iChat/AIM, video chat de Gmail y El chat en el juego de Xbox Live que no utiliza la red telefónica pública". - noticias.cnet.com/8301-1009_3-57428067-83/…
@Vartec: vea mi respuesta ... Skype ya no caería en esa categoría, ya que M $ ahora controla un servidor central para todas las llamadas.
Entonces, ¿está diciendo que sería ilegal en los EE. UU. vender un dispositivo/software de telecomunicaciones que use un cifrado fuerte? Vil.
@KonradRudolph: básicamente. ¡Gran Hermano te está mirando!
@vartec Yo no, nunca pondré un pie en este país fascista, si puedo evitarlo.
@KonradRudolph: bueno, en realidad es mucho más fácil para ellos observarte. Todas las limitaciones, requisitos para órdenes de registro, etc. son solo para ciudadanos estadounidenses en suelo estadounidense. En el extranjero, la NSA, la DIA, etc. pueden espiar libremente a cualquier persona, en cualquier lugar y sin supervisión. Como lo hicieron, por ejemplo, espiar a las empresas alemanas en beneficio de las empresas estadounidenses: cryptome.org/jya/nsa-f83.htm
¿Skype puede interceptar sus llamadas?
RespuestasAquíPolítica de privacidad1y, 0v