เว็บไซต์ Ars Technica และนักวิจัยด้านความปลอดภัยนามว่า Ashkan Soltani ได้ทำการทดลองส่งข้อความที่มี URL ของเว็บไซต์ 4 แห่งผ่านทาง Skype จาก log ที่ได้แสดงให้เห็นว่าลิงก์ 2 อันจากทั้ง 4 มีการเข้าถึงโดยเครื่องที่มีเลขไอพีที่ไมโครซอฟต์เป็นเจ้าของ จากผลลัพธ์นี้สรุปได้ว่า ข้อความที่ส่งด้วยโปรแกรม Skype นั้นอาจจะถูกถอดรหัสโดยไมโครซอฟท์ และถ้าในข้อความนั้นมี URL ที่ชี้ไปหาเว็บไซต์ด้วย ไมโครซอฟท์อาจจะเปิดเว็บไซต์นั้นเพื่อที่จะทำอะไรบางอย่าง
อันที่จริงการถอดรหัสข้อความและการกวาดหาเว็บไซต์ในข้อความนั้น ๆ ก็ไม่ใช่เรื่องผิดเสียทีเดียว เพราะว่าในนโยบายเรื่องความเป็นส่วนตัวของ Skype ก็มีการระบุว่า ระบบอาจจะใช้การกวาดหาข้อความแสปมและเว็บไซต์ที่เข้าข่ายการต้มตุ๋น (เช่น Phishing)
ตั้งแต่ Skype ถูกควบรวมกิจการเข้ากับไมโครซอฟต์เมื่อปีที่แล้ว วิธีการส่งข้อความก็ถูกยกเครื่องใหม่หมด จากในอดีตที่ที่ข้อความจะถูกส่งไปยังผู้รับผ่านผู้ใช้อื่น ๆ ที่มีเนทเวิร์คความเร็วสูง มาเป็นการส่งผ่านเซิร์ฟเวอร์ของไมโครซอฟต์เอง นั่นหมายความว่าวิธีการส่งข้อความถูกเปลี่ยนจากระบบกระจายมาเป็นแบบรวมศูนย์ โดยข้อความทั้งหมดนั้นจะผ่านระบบของไมโครซอฟต์ ทำให้การอ่านข้อความนั้นอาจจะเกิดขึ้นบ่อยกว่าที่เคยเป็นมามาก
ข้อเท็จจริงนี้ขัดแย้งกับความเชื่อเดิม ๆ ที่ผู้่ใช้หลาย ๆ คนรวมทั้งผู้เชี่ยวชาญด้านความปลอดภัยจำนวนมากเคยมี ที่ว่าข้อความที่ส่งโดย Skype จะถูกเข้ารหัส และจะถูกส่งในสภาพนั้นจนถึงผู้รับปลายทางโดยที่ไม่มีใครถอดมันออกมาอ่าน
ที่จริงการอ่านเนื้อความที่ผู้ใช้สร้างขึ้นเพื่อวัตถุประสงค์อะไรบางอย่างนั้นก็เป็นเรื่องที่ทำกันโดยทั่วไป ดังนั้นการที่เราจะเขียนอะไรหรือจะส่งข้อความอะไรก็ต้องระวังด้วยนะครับว่าสิ่งที่เราสร้างขึ้นมาอาจจะมีบุคคลอื่นเข้ามาอ่านได้โดยที่เราไม่รู้ตัว
ที่มา: Ars Technica
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- NVIDIA จะไปหยุดที่ตรงไหน ทำไมครองโลกดาต้าเซ็นเตอร์ | Cloudnone EP.22
- ถึงคลาวด์เคราะห์: ทำอย่างไรเมื่อบริการคลาวด์ที่ใช้ถูกยกเลิก | Cloudnone EP. 21
- รู้จักอาชีพ Site Reliability Engineer สำคัญยังไง? | Cloudnone EP. 20
- อธิบาย CrowdStrike ทางเทคนิค ทำไมถึงทำพีซีจอฟ้าเป็นล้านๆ เครื่อง | Cloudnone EP.19
- Kubernetes [Part 2] ยี่ห้อไหนดี งานไหนต้องใช้ แล้วเลือกยังไง? | Cloudnone EP.18
Comments
ช่างไฟสมัครเล่น (- -")
ผิดยันเลยคำนี้ - - ขอบคุณครับ
ท่องไว้ ผักตำลึงค์ๆๆ
ตำลึงคร๊าบบบบบบ
อ่านอันข้างบนแล้วรู้สึกเจ็บลึกๆ -*-
Dream high, work hard.
เข้าข่ายการต้นตุ๋น->ต้มตุ๋น
แก้ละครับ ขอบคุณครับ
url ---> URL ที่หัวข้อข่าวครับ
ผมนึกว่าใช้ตัวเล็กนะคำนี้ แต่ก็แก้(หมด)ละครับ ขอบคุณครับ
พอย้ายไปใช้ server ของ MS เลยทำให้มันส่งข้อความช้าๆ ป่าวหว่า พักหลังรู้สึกว่ามันส่ง im ช้าขึ้นแปลกๆ ทีแรกนึกว่าเป็นเพราะเน็ตเราเน่า แต่อ่านข่าวนี้ก็เริ่มสงสัยละ
ส่วนเรื่อง privasy ก็นะ ถ้าลับสุดยอดจริงๆ ก็น่าจะรู้ว่าไม่ควรใช้บริการฟรีพวกนี้อยู่แล้ว
@ Virusfowl
I'm not a dev. not yet a user.
ผลลัพท์ -> ผลลัพธ์ ครับ
เรียบร้อยครับ ขอบคุณครับ
จำได้ว่า ไมโครซอฟท์เคยออกโฆษณากัดกูเกิลเปิดอ่านอีเมลเรานะ (-*-)
Scroogle ไงคับ....ล่าสุดก็มีคลิป Chrome is watching you ด้วย
ช่างไฟสมัครเล่น (- -")
Microsoft has been watching you.
เทคโนโลยีไม่ผิด คนใช้มันในทางที่ผิดนั่นแหละที่ผิด!?!
โฆษณากับความเป็นจริงมันต่างกัน
ตอนที่เค้าบอกว่า google เก็บข้อมูลของคุณ คิดว่า bing / hotmail & outlook / wp / ie ไม่เก็บข้อมูลคุณจริงเหรอ ?
samsung ใหญ่แค่ใหน ?
https://youtu.be/6Afpey7Eldo
ไม่คิดครับ ผมไม่เคยส่งอะไรส่วนตัวจริง ๆ ที่ไม่คิดเปิดผ่านทางนั้น ๆ อยู่แล้ว
อิเหนาเป็นเอง
we can build a more peaceful.
Gmail man สิ ดูโฆษณาแล้วรู้สึกว่า MS แรงจัง
"You are being watched!!"
มิน่าละ msn ทั้งหลาย ไม่สามารถส่ง link bit หรือฝากไฟล์ได้ครับ
ผมว่ามันก็ทำมาตั้งแต่ MSN แล้วนะ
บาง Link ก็ส่งหากันไม่ได้ บางไฟล์ก็ส่งหากันไม่ได้
แต่ก็ดีแล้วหล่ะ ที่ยกเลิก Messenger Client เลยตัดสินใจเลิกใช้ MSN แล้วมาใช้ Line, Facebook Messenger แทนได้ไม่ยาก เพราะทุกวันนี้เพื่อนๆ ก็แทบจะไม่ออน MSN อยู่แล้ว พอยกเลิกก็ไม่มีใครออนเลย
ประเด็นของข่าว(?)นี้คือ ในอดีต Skype ใช้การส่งข้อความด้วยวิธีแบบ P2P ร่วมด้วย (ผ่านทาง super node ซึ่งเป็นผู้ใช้ที่เครื่องแรง+เนทแรงหน่อย) ดังนั้นข้อความจะไม่วิ่งเข้าไปยังระบบของคนใดคนหนึ่ง ถ้าจะถูกแกะอ่านจริงก็คงไม่เกิดขึ้นบ่อย ๆ
แต่พอถูก Microsoft ซื้อไประบบนี้ก็ถูกยกเลิกไป โดยทุกอย่างก็ผ่าน MS หมด ดังนั้นความเป็นไปได้ที่ข้อความถูกแกะอ่านก็สูงขึ้นด้วย จากการทดสอบ ส่งข้อความไปสี่ครั้ง ก็ถูกเอา URL ถึงไปใช้สองครั้งแล้ว นับเป็น 50% ทีเดียว ทั้งนี้นี่ไม่ได้ยืนยันว่าจำนวนการถูกแกะไปอ่านมันถี่ขนาดไหน ที่จริง MS อาจจะอ่านมันหมดทั้ง 4 ข้อความเลยก็ได้
ในความเป็นจริงการส่งจดหมายหรือพัศดุผ่านทางไปรษณีย์ก็อาจจะถูกเปิดซองหรือกล่องออกมาดูเนื้อในเหมือนกัน ดังนั้นส่วนตัวผมว่าถ้าไม่ใช่อะไรที่ลับสุดยอดจริง ๆ ก็อย่าไปซีเรียสมากเลยครับ
น่าซีเรียสนะครับ เพราะบางเรื่องแม้จะคุยกันเล่นๆ แต่อาจผิดข้อกฎหมายที่มีบทลงโทษเทียบเท่าหรือมากกว่าคดีฆ่าคนตายโดยไม่เจตนาในบางประเทศได้ ยิ่งคดีเก่าๆ MS เคยให้ความร่วมมือกับหน่วยงานรัฐเป็นอย่างดี ในการให้ข้อมูลการเข้าถึง email,ip
อย่าลืมว่าในบางคดี บางทีเราไม่ได้มีเจตนาร้าย แต่ถ้าคนอื่นเขาตีความในทางร้ายๆหรือจ้องจับผิดหาช่องทำลาย ก็โดนหางเลขได้เช่นกัน
แบบเครื่องของตาเล็กฯ ไงครับ
มี tool ที่ใช้ในการแฮ็กก็เลยถูกมองว่าเป็นจำเลย ซึ่งมันเป็นการตีความที่ไร้ความมีตรรกะมากๆ
ข่าวนี้เขียนดีครับ /ตบมือ
ปล. Microsoft is watching you
Every breath you take, every move you've made, every bond you break, every step you take, Redmond will be watching you...
I'm ordinary man; who desires nothing more than just an ordinary chance to live exactly what he likes and do precisely what he wants.
ถึงว่า ว่าทำไมหลังๆ นี่เวลาออฟไลน์ถึงยังส่งข้อความไป (เมื่อก่อนจะหมุนติ้วๆ ค้างอยู่อย่างนั้น จนกว่าอีกฝ่ายจะออน)
สำหรับข้อความที่ถูกแกะอ่านนี่คิดว่าน่าจะเป็นเรื่องสแปม เพราะตั้งแต่สมัย MSN แล้วครับ ที่มันจะส่งลิงค์บางอันไม่ได้
เช่นเดียวกับกรณีของกูเกิล ผมยังโอเคกับการเก็บข้อมูล ตราบใดที่เขาไม่ทำมันรั่วไปถึงข้างนอก หรือเอาไปขาย
ถึงเค้าเอาไปขาย ก็ทำไรเค้าไม่ได้อยู่ดี
เฟสบุคก็ขาย ไลน์ก็ขาย กูเกิลนี่ขายให้เห็นๆ ไมโครซอฟท์ก็ขาย...
ใช้ๆ ไป พวกบริษัทโฆษณามันรู้นี่กว่าเราอีก ว่าเราชอบอะไร
สามารถฟ้องร้องได้ครับ ถ้าหากมันขัดกับ Privacy Policy ซึ่งกรณีของกูเกิลบอกเอาไว้ว่า
We do not share personal information with companies, organizations and individuals outside of Google unless one of the following circumstances apply:
1. With your consent
2. With domain administrators
3. For external processing << ข้อนี้ยังสงสัยอยู่ว่า external processing นี่เค้าเอาไปทำอะไรบ้าง
4. For legal reasons
อย่างไรก็ตาม ถ้ามันขัดตาม policy ข้างบนนี้ เราฟ้องร้องได้ครับ
อธิบายตรง external processing คือ การประมวลผลภายนอก เพื่อปรับปรุงคุณภาพการให้บริการของสิ่งต่างๆ ต่อไปครับ
เอ่อ... กำปั้นทุบดินมาก ตกลงคุณหรือจริงหรือเปล่าครับ?
เค้าสงสัยว่าเจ้า external processing นี่คือเอาข้อมูลของเราไปทำอะไรบ้าง ทำอย่างไร กับบริการไหนบ้าง
เจ้านี้นี่บางทีผมก็ไม่แน่ใจว่าอันไหนเค้าเล่น อันไหนเค้าจริง
สับขาหลอกจนผมงงหมดแล้ว
น่าจะมีโปรแกรมแชตแบบที่เข้ารหัสโดยคนอื่นไม่สามารถเปิดอ่านได้นะ และมีระบบยืนยันตัวตนของผู้ส่งด้วย
ผมเข้าใจว่า ตราบใดที่กุญแจที่ใช้ถอดรหัสเนี่ยเป็นที่รู้กันแค่ผู้รับกับผู้ส่ง โปรแกรมแบบนี้ทำไ้ด้นะครับ
แต่ปัญหาคือการสร้างกุญแจเนี่ยผู้ให้บริการเป็นคนทำ ดังนั้นเขาก็รู้อยู่ดีว่ากุญแจนั่นคืออะไร
นั่นสิครับ ผมคิดมาตลอดว่า การเข้ารหัสข้อความ ไม่ใช่แค่รหัสข้อความสิ ข้อมูลส่วนตัว ร่วมทั้งสิ่งอื่นๆใดบนโลกนี้ ก็ล้วนมีคนเก็บรักษาและคนสร้างมันขึ้นมา ทางที่ดีถ้าไม่ได้ลับสุดยอดก็ปล่อยไป แต่ถ้าลับมากๆบางทีการสื่อสารแบบเสียงอาจจะทุเราลงได้ระดับหนึ่ง
มันมีวิธีอยู่คับ ที่ 3rd Party จะไม่รู้คีย์ ไม่ว่าจะเป็นผู้ให้บริการ หรือคนอื่นๆ จะไม่มีใครสามารถถอดรหัสข้อความได้นอกจากผู้รับเท่านั้น และผู้รับก็จะไม่ถูกปลอมแปลงผู้ส่งด้วย กล่าวคือ ระบบจะการันตีว่าข้อความนั้นมาจากผู้ส่งคนนั้นจริงๆ ไม่ได้มาจากบุคคลอื่น
ไม่ใช่แบบ P2P ด้วยนะคับ
งั้นหาโปรแกรมเข้ารหัสแล้วถึงเวลาก็เอาโปรแกรมนี้เข้ารหัสข้อความ แล้วเอารหัสที่ได้ไปส่งผ่าน messenging app อีกที
ไม่ค่อยเข้าใจคับ - -
สมมติว่าผมมีโปรแกรมใช้เข้ารหัสต่างหาก ชื่อ Encryptor
ผมเอาข้อความเข้า Encryptor ก่อนเพื่อให้ได้ output แล้วก็เอา output ไปส่งใน messenger ครับ
เพื่อความยุ่งยากของชีวิต
ถ้าใช้ pidgin ก็ไม่ยุ่งยากดอกครับ (ในมุมของ Developer)
ผมก็ใช้วิธีนี้แหละครับ เขียน Plug-in ใส่ pidgin ไว้ใช้สำหรับงานบริษัท
pidgin ผม Online อยู่ 4 protocol (4 IM) การใช้วิธีนี้ทำให้ข้อความถูก Encrypt ด้วย Algo เฉพาะของเราเองก่อนส่งทันทีกับทุก protocol
อุปกรณ์บางอย่างที่มาจากบริษัทผม (ซึ่งติดตั้งอยู่ต่างประเทศเกือบทั้งสิ้นและเชื่อมต่อกับ Internet ได้) ได้ทำให้รองรับการสั่งการบางอย่างที่ไม่ได้มีความสำคัญสูง โดยการรับคำสั่งทาง ICQ ด้วย climm ครับ (Build climm และ Decryptor ของเราเองลงไปใน Firmware ด้วยครับ)
ทำให้สะดวก รวดเร็ว กว่า ssh เสียอีก (ลดต้นทุนและเวลาพัฒนาด้วยครับ)
<==== Edit เพิ่ม ====>
ไม่ใช่ Idea บรรเจิดจ้าอะไรของผมดอกนะครับ ที่ทำแบบนั้น
ปีไหนก็จำได้ไม่ชัด มีคนไทยเราเอง ทำ Encryptor/Decryptor plug-in สำหรับ pidgin ขึ้นมา แล้วแจกจ่ายไป ซึ่งผมก็ปิ๊ง Idea จากตอนนั้นนั่นเอง
จำได้เลือนๆ ว่า เขาตั้งชื่อว่า รหัสหว้ากอ อะไรประมาณนี้แหละครับ
กะจะเครดิตเสียหน่อย แต่จำได้แค่นี้จริงๆ
ขอบคุณครับ ง่ายกว่าที่คิดเยอะเนอะ
เพิ่มเติมให้อีกหน่อย สำหรับคนที่คิดตามแล้วจะต้องสงสัยแน่นอน
บางคนอาจมีคำถามว่า ถ้าอุปกรณ์นั้นๆ เชื่อมต่อกับ Internet ได้อยู่แล้ว ทำไมต้องไปทำให้ยุ่งยาก ก็ใช้ ssh นั่นก็ได้ จะไม่ ssh เองด้วยมือ ก็เขียนเป็น Script เพื่อ ssh อันตโนมัติเลยก็ได้....
คือ ถ้าเราเปิด sshd ไว้บนอุปกรณ์เรา แล้วอยู่ใน Intranet ของลูกค้า ทำให้ IT ของลูกค้า จำเป็น ต้อง Forward port ให้อุปกรณ์ของเราครับ ซึ่งเป็นสิ่งที่วุ่นวายสำหรับลูกค้า แต่วิธีที่ผมทำ จะทำให้อุปกรณ์ผมอยู่หลัง NAT ได้ ไม่จำเป็นต้อง Forward port มาให้ (โดยปกติ Port 22 ฝ่าย IT ไหนๆ เขาก็หวงไว้ใช้งานของเขาอยู่แล้ว) และผมยังไม่ต้องสนใจด้วยว่า DHCP เขาแจก IP อะไรมาให้ (ขอให้แจกให้เป็นพอ)
ขอเพียง เขาไม่ปิด Port 5190 เท่านั้น (ICQ IM Protocol ใช้ Port นี้ครับ)
พอ climm สามารถ Connect กับ login.icq.com ทาง Port 5190 ได้ ก็เป็นอันเรียบร้อย
ไม่ต้องการอะไรพิเศษอีก ผมก็สื่อสารกับอุปกรณ์ของบริษัทเราได้ทั้งหมดครับ
แล้ว... สำหรับ climm ยิ่งง่ายกว่า pidgin เสียอีกครับ ไม่ต้องเขียนเป็น Plug-in อะไรเลยสักนิดครับ
เขียนไว้โปรแกรมเดียว Compile เป็น Binary ใส่ไว้ใน /usr/local/bin/[ตัวย่อบริษัท]decrypt แล้ว (ขอสงวนตัวย่อบริษัทผมนะครับ)
Execute climm เป็น Service ไว้โดย pipe ไปให้ /usr/local/bin/[ตัวย่อบริษัท]decrypt แล้วก็ pipe ต่อไปให้โปรแกรมที่ปฏิบัติงานตามคำสั่งเลย....
ถ้าพวก Spam ส่งข้อความอะไรเข้าไปที่ ICQ หมายเลขของอุปกรณ์นั้นๆ โปรแกรม Decryptor ก็ถอดไม่ออก และไม่ส่งอะไรต่อไปอยู่แล้ว ถ้าบังเอิญถอดออก (ฟลุ๊คๆ) เมื่อ pipe ต่อไป มันก็ไม่ตรงชุดคำสั่ง ก็ไม่มีผลอะไรอยู่ดีครับ
ลึกล้ำครับ
ตัวที่ว่านี้ใครเป็นผู้ออกแบบ ใครเป็นผู้พัฒนาครับ
เข้าใจว่าที่ถามคือ Encryptor และ Decryptor นะครับ
ใครออกแบบผมจำไม่ได้แต่ไม่ใช่ผมครับ เริ่มแรกที่ผมพบ Code เป็นภาษา C ของคนไทยแล้วปิ๊ง (Inspire) ผมสำเนา Code เขาทั้งดุ้น มาปรับปรุง/เปลี่ยนแปลง แก้ไขให้มันซับซ้อนขึ้นและกำหนดตาราง Crypto ขึ้นใหม่ แยกออกเป็น 3 Code
เสร็จแล้วส่งให้เหล่า Programmer ของผมไปทดสอบและปรับปรุงต่อครับ
แล้วผมก็เขียน Diagram คร่าวๆ ให้เขาไปประยุกต์ ประมาณนี้...
[pidgin message container] --> [pidgin Encrypt plug-in] --> Internet --> climm --> MYCOMPANYdecrypt --> Controller
Controller --> MYCOMPANYencrypt --> climm --> Internet --> [pidgin Decrypt plug-in] --> [pidgin message container]
แล้วเราก็ค่อยโละ Modem และสายโทรศัพท์สายตรงทั้งหลายที่ต่อเข้ากับเครื่องจักร/PLC ออกจนหมด มาเป็น Embedded ที่มี LAN Interface และ RS232 โดยมีเพียง Processor เล็กๆ Build Linux Kernel ใส่เข้าไปเบาๆ ตามด้วย climm และ MYCOMPANYdecrypt MYCOMPANYencrypt ของเราเท่านั้น ตัวไหนที่ต่อกับเครื่องจักรโดยตรง ก็มี Controller application เข้าไปต่อท้าย ส่วนที่ต่อเข้า PLC ก็รับ/ส่งทาง /dev/ttyS0 ไป
ผู้อ่านที่อยู่กับโรงงาน อยู่กับ PLC ที่ต่างชาติมาทำ คิดว่าคงรู้ทันที ว่าเขาต่อไว้ทำไม
ดังนั้น การพัฒนาจึงมีหลายคน แต่เอาของคนอื่นมาเป็นจุดเริ่มเพื่อต่อยอด จึงพูดเป็นเครดิตใครไม่ได้ทั้งนั้นแหละครับ อีกทั้งไม่ได้ทำแบบสุดยอดอะไรนักหนา แค่เป็นแบบของเราใช้กันเท่านั้นครับ
จุดประสงค์ที่อธิบายไป ก็เพื่อจะให้ความรู้แก่คนอื่นว่า มันไม่ได้ล้ำลึก ยากเย็น ซับซ้อนอะไรนักหนา ลองทำกันใช้ดูเองก็ได้นั่นเองครับ
ใช้ PGP ได้มั้ยครับ
โปรแกรมแชทแบบเข้ารหัสขั้นสูงสุด มีแต่ BBM เซิฟแคนาดาเท่านั้น เพราะเซิฟอื่น รัฐบวมดูได้ตลอดครับ
ทำเลยๆ
หาทุนๆ 555
เรื่องความเป็นส่วนตัวนี่พี่กูเกิ้ลจัดหนักกว่าเยอะ
Anonymous แจ้งในทวิตเตอร์ว่า Microsoft Redirect ข้อความใน Skype ไป Server ของ FBI อีกชั้นหนึ่ง ซึ่งก็แจ้งเตือนสมาชิกให้เลิกใช้ Skype แล้วด้วย (ซึ่งส่วนใหญ่ก็ Hangout กันเกือบหมดแล้ว)
ใช่แล้วครับ ลุงหนวดมี sniffer แต่เรียกว่า forbenet แทนครับ
โดยส่วนตัวคิดว่านโยบายความเป็นส่วนตัว ของgoogleเข้มแข็งกว่านะ แม้ว่าจะแอบอ่านอะไรเราหมด แต่เขาก็ไม่เปิดเผยให้คนอื่นง่ายๆ จากเคสคดี 112 ที่ผ่านมาเป็นตัวอย่าง ว่าหน่วยงานไทยขอความร่วมมือจากMS ได้สบายๆ ได้มาหมดทั้งip หรือการเข้าถึงemail แต่Google เขาไม่ให้ข้อมูลเลย เพราะถือว่านอกเขตอำนาจและละเมิดความเป็นส่วนตัว
ใช่แล้วครับ mail ของ ms ในไทยพรุนสกัดเข้มข้นแล้วครับ
ว่าแต่คนอี่น ทำเองชะนั้น