АРХИВИ ПРОДУКТИ УСЛУГИ FREETOOLS

НОРМАТИВНИ Д. БИБЛИОТЕКА LINKLIST


Колко сигурни са инстант месинджърите (IM) ?
Проучване на CNET news.

Броят на заинтересованите страни, готови да слушат вашите онлайн разговори, включително и това, което пишете чрез незабавни съобщения (IM), никога не е бил по-висок.
За хакерите е лесно да следят некриптираните безжични мрежи и да прихващат IM пароли, тъй като те преминават през ефира. Високоскоростните доставчици и техните бизнес партньори са заинтересувани от разговорите на своите клиенти. Двете партии мнозинство в Конгреса дадоха на ФБР и секретните правителствени агенции права за следене и надзор над комуникациите повече от всякога.
Необходимостта за защита на IM комуникаците никога не е била по-голяма. Не всички IM мрежи предлагат еднакви защити на неприкосновеността на личния живот и сигурността. За да очертае различията, CNET News изследва компаниите които предоставят популярни IM услуги и ги помоли да отговорят на едни и същи 10 въпроса.
Един от акцентите е как е защитена услугата "Лафче" (Chat), с други думи, защитени ли са потребителите срещу подслушване?
Открихме, че само половината от услугите, предоставят пълно криптиране: AOL Instant Messenger, Google Talk, IBM Lotus Sametime, както и Skype го правят. За да избегнат неприятности, нито една служба не съобщи, че поддържа дневници на съдържанието на комуникациите на потребителите (въпросът ни бе възприет като примамка от федералните следователи или пък от адвокатите на конкуренцията). Относно съхраняването на данни за връзките Microsoft заяви, че не поддържат такова, а Google и Skype заявиха, че техните логове се заличават, кратко време след приключване на връзката.
Криптирането е важно. Ако използвате отворена безжична връзка, всеки, който желае може с free софтуер като dSniff да се намеси в некриптираните комуникации и IM потоци. WildPacket, които продадоха на полицията EtherPeek Plug-in казват, че чрез него може да се намесват и декодират некриптирани IM разговори при задачи за подслушване и други специални ситуации (включително уеб-базирана електронна поща, VoIP разговори и др.)
Всички проучвания са ограничени, включително и нашето. Фактът, че IM защита се използва не е достатъчно. Винаги може да се окаже, че е избран неподходящ криптиращ алгоритъм, или може да има допуснати грешки, които позволяват да се преодолее защитата. Нашето изследване естествено няма да е последна дума в тази област.
Jabber е обект на специално внимание. Въпреки че почти всички участници в нашето проучване използват платени, затворени системи, Jabber е базирана на отворен (free) стандарт, определен от Internet Engineering Task Force. Официално e наречен XMPP. Jabber позволява организация и управление на свои собствени сървъри и е проектиран да бъде по-гъвкав.
Google го възприема за Google Talk, така както и други клиенти, поддържат Jabber включително Apple iChat, Adium (OS X), Trillian Pro (с Plug-in), и Psi. Jabber използва криптиране, за логване и за защита на разговорите след като се осъществи връзката. Ние не сме го включили официално в нашето изследване, защото всеки може да стартира свой собствен Jabber сървър със собствена конфигурация.
FaceBook чата е най-несигурен и при неприкосновеността на данните и при защитата на акаунта. Доколкото ни е известно те не използват криптиране за защита при логване (може да се прихванат пароли) и нямат защита на разговорите. Бихме желали да ви кажем повече за FaceBook чата, но от компанията ни изпратиха само в един ред съобщение по електронна поща, че отказват да отговарят на едни и същи въпроси, на които ще отговарят и конкурентите им.
Ние умишлено оставихме Apple iChat, тъй като софтуерът използва мрежата на AOL Instant Messenger. Macintosh потребителите, които са закупили Mac членство могат да активират криптиране за незабавни съобщения (IM), аудио и видео разговори и пренос на данни.

Yahoo отговори за Yahoo Messenger

Въпрос: Ползва ли вашата услуга криптиране при логване ?
За web и download месинджъра Yahoo ползва SSL за защита на паролата на потребителя и проверка на автентичността.
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Yahoo Messenger не ползва криптиране за доставка на съобщения.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Криптиране, както е описано по-горе в т. 1 е включена по подразбиране.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Yahoo Messenger не използва OTR протокол. Ние използваме Secure Sockets Layer (SSL) стандарт по време на достъпа както е описано в нашия отговор по т. 1.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
Yahoo Messenger води дневници за нуждите на уеб-базираните услуги като цяло.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Yahoo Messenger осигурява на потребителите възможност за съхраняване и използване на техните IM съобщения. Потребителите могат да изберат да не използват тази удобна функция. Повечето версии на download месинджъра водят дневник на компютъра на потребителя, докато при Yahoo Messenger за web, тези съобщения се съхраняват на сървърите на Yahoo.
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Yahoo запазва данни, доколкото е необходимо, за да се съобрази с финансовите, правните и секюрити задълженията, както и за изследователски цели за подобряване на работата на нашите потребители с Messenger.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Yahoo сътрудничи на силите на реда в съответствие с всички действащи закони.
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Предвид чувствителния характер на тази област и възможните отрицателни въздействия в разследването на държавните агенции за безопасност, Yahoo не обсъжда подробности за спазването на реда. Yahoo сътрудничи на силите на реда в съответствие с всички действащи закони.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Предвид чувствителния характер на тази област и възможните отрицателни въздействия в разследването на държавните агенции за безопасност, Yahoo не обсъжда подробности за спазването на реда. Yahoo сътрудничи на силите на реда в съответствие с всички действащи закони.

AOL отговори за AOL Instant Messenger (AIM)

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Да
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Да
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Да - включено по подразбиране.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Не. AIM поддържа TLS. (Transport Layer Security е наследник на Secure Sockets Layer. Той поддържа различни криптографски шифри за кодиране на съдържанието на съобщенията, включително AES и Triple DES. Той също така поддържа методи за автентификация.)
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
Да, водят се дневници с информация за връзката, като маркер за включване / изключване и IP адрес.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Не
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Логове за връзката се запазват в съответствие с потребностите за експлоатация и целите на качествения контрол, след което редовно се заличават.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Да
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Ние не споделяме информация за исканията, които получаваме от правоохранителните органи.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Ние не споделяме информация за исканията, които получаваме от правоохранителните органи.

AOL отговори за ICQ

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Да
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Не. Криптиране на съобщенията е предвидено за бъдещи версии.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Няма отговор
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Не
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
Да, водят се дневници с информация за връзката, като маркер за включване / изключване и IP адрес.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Не
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Логове за връзката се запазват в съответствие с потребностите за експлоатация и целите на качествения контрол, след което редовно се заличават.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Да
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Ние не споделяме информация за исканията, които получаваме от правоохранителните органи.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Ние не споделяме информация за исканията, които получаваме от правоохранителните органи.

Microsoft отговори за Windows Live Messenger (MSN)

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Windows Live Messenger акаунтите са достъпни след идентификация на потребителя с Windows Live ID и парола и са защитени от индустриален стандарт за криптиране SSL (Secure Sockets Layer, известен също като Transport Layer Security).
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Ние не осигуряваме криптиране на мигновените съобщения (IM) в този момент. Въпреки това, ако клиентът реши да изпраща и получава съобщения, които съдържат файлове, като документ или снимка, Windows Live Messenger защитава тези файлове с индустриален стандарт за криптиране SSL.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Криптиращата функция за прехвърляне на файлове е автоматична и не може да бъде изключена.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Windows Live не използва стандарта OTR. Windows Live Messenger акаунтите са защитени с индустриален стандарт за криптиране SSL.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
Windows Live Messenger не поддържа сървър-базирано натрупване на информация за връзките. Microsoft се задължава да пази неприкосновеността на личния живот на своите клиенти и вярва, че те заслужават личните им данни да се използват само по начини, описани в условията. Microsoft информира за правилата за поверителност на нашите клиенти и за начините, по които те могат да контролират събирането, използването и разкриването на лична информация. Повече информация може да намерите в декларацията за поверителност на Microsoft на адрес: http://privacy.microsoft.com/en-us/default.aspx.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Windows Live Messenger не поддържа сървър-базирано натрупване на информация за връзките. Microsoft се задължава да пази неприкосновеността на личния живот на своите клиенти и вярва, че те заслужават личните им данни да се използват само по начини, описани в условията. Microsoft информира за правилата за поверителност на нашите клиенти и за начините, по които те могат да контролират събирането, използването и разкриването на лична информация. Повече информация може да намерите в декларацията за поверителност на Microsoft на адрес: http://privacy.microsoft.com/en-us/default.aspx.
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Не е приложимо.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Ние не коментираме конкретни искания от страна на правителството. Microsoft се задължава да пази неприкосновеността на личния живот на нашите клиенти и в съответствие с всички приложими закони за поверителност. По-специално Electronic Communications Privacy Act (ECPA) защитава клиентските документи и комуникациите на потребителите на онлайн услуги. Както посочихме по-горе, обаче, Microsoft не води отчет за ползването от нашите клиенти на чат услугата и няма откъде да има информация, за да отговори на искане от страна на правоприлагащите органи.
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Ние не разкриваме колко правителствени искания сме получили, а в някои случаи, не е разрешено от закона да оповестим, че сме получили правителствена поръчка. Въпреки това, ние следваме ECPA в отговор на всички правителствени запитвания.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Ние не коментираме конкретни искания от страна на правителството, но по принцип, предлагаме на правителството съдържанието на съобщенията засечени в реално време само по силата на съдебна заповед.

Google отговори за GoogleTalk

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Да
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Нашият download клиент използва криптиране. Нашите web клиенти, изпращат съобщения с нормален текст, но потребителите могат да включат HTTPS (SSL) криптиране, ако пожелаят. HTTPS в момента не работи с Google Talk Gadjet.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Криптирането е включено по подразбиране за download клиента и изключено по подразбиране за web клиентa.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Google клиентите в момента не поддържаt OTR. Ние ползваме TLS за XMPP клиент-сървър връзките и HTTPS за web клиентите, ако потребителите го изберат. (Transport Layer Security е наследник на Secure Sockets Layer. Той поддържа различни криптографски шифри за кодиране на съдържанието на съобщенията, включително AES и Triple DES. Той също така поддържа методи за автентификация.)
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
В дневници се водят стандартни данни, включително адрес, потребителско име, времето, тип клиент, но не влиза чат съдържанието.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Потребителите могат да изберат да ползват "off the record" в този случай съобщенията не се записват в Gmail чат архива. Ако даден потребител не използва "off the record", тогава чат съобщенията се записват и са видими за участниците в чата на техния Gmail акаунт.
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
В дневници се водят стандартни данни (включително IP адрес, потребителско име, времето и тип клиент) и се съхраняват в продължение на четири седмици. Логове за връзката свързвани с профила в Gmail се съхраняват толкова дълго, колкото са полезни. Потребителите могат да изберат да ползват "off the record" в този случай съобщенията не се записват в Gmail чат архива. Ако даден потребител не използва "off the record" чат съобщенията се записват и са видими за участниците в чата в техния профил в Gmail.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
В интерес на политиката, ние не коментираме характера и съдържанието на исканията на правоприлагащите органи към Google. Когато е възможно, ние правим всичко възможно да уведомим обекта, посочен в тези искания, за да му се даде възможност официално да възрази.
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
В интерес на политиката, ние не коментираме и не предоставяме такава информация.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
В интерес на политиката, ние не коментираме характера и съдържанието на исканията на правоприлагащите органи към Google. Когато е възможно, ние правим всичко възможно да уведомим обекта, посочен в тези искания, за да му се даде възможност официално да възрази.

Skype отговори

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Да
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Да. Засилените мерки за сигурност на Skype модела са изцяло свързани със заложената peer to peer (P2P) архитектура. В резултат на това трафикът на Skype не може да бъде прихванат и декодиран при транзитиране. С други думи, Skype осигурява транспортен слой за сигурност, за да се гарантира, че съдържанието на съобщенията, пътуващи през Skype няма да могат да бъдат подслушвани или засечени.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Криптирането на Skype винаги е включено и не може да бъде изключено.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Не. Skype използва силна защита с end to end криптиране и използва 256-битов AES, което се удостоверява от PKI криптография, за да се гарантира автентичността и тайната на комуникация през Skype.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
При сървъри които предлагат продукт като SkypeOut, само потребителско име, версия, както и IP адрес се съхраняват.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Не. Skype не записва съдържание от комуникациите.
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Логове се съхраняват само за кратко време.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Да. Ние си сътрудничим с правоприлагащите органи, доколкото е юридически и технически възможно.
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Това е конфиденциална информация.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Ние не сме получавали призовки или съдебни заповеди нито молби да изпълним подслушване на живо или записване на Skype-to-Skype съобщения. Във всеки случай, поради архитектурата peer to peer na Skype и end to end техниките за криптиране, Skype няма да може да се съобрази с такова искане.

IBM отговори за Lotus Sametime

Въпрос: Ползва ли вашата услуга криптиране при логване ?
Като софтуер от корпоративно ниво, Lotus Sametime предлага високо ниво на сигурност, понеже бизнесът го изисква. Lotus Sametime има удостоверяване и предоставя на предприятията нужното ниво на защита. Така вие знаете, че хората, с които общувате и ви казват, че са те, са точно те. Защитата с парола гарантира, че само поканените участници могат да посещават уеб конференциите. По подразбиране всички удостоверявания и упълномощавания са криптирани с 128-битово криптиране. Lotus Sametime поддържа съответствие с FIPS-140, стандарт на американското министерство на отбраната.
Въпрос: Ползва ли вашата услуга криптиране при доставка на съобщения, което означава, когато вашите потребители изпращат и получават съобщения ?
Да, Lotus Sametime софтуера може да шифрова присъствен статус, мигновени съобщения, уеб конференции, VoIP гласови разговори от точка до точка, видео конференции и да помогне на фирмите за защитата на поверителната информация. По подразбиране, Lotus Sametime използва 128-битово криптиране. Lotus Sametime поддържа съответствие с FIPS-140, стандарт на американското министерство на отбраната.
Въпрос: Има ли вашата услуга криптиране включено или изключено по подразбиране ?
Криптирането е включена по подразбиране.
Въпрос: Има ли вашата услуга поддръжка на OTR (Off the Record) криптиране ? Ако се ползва друго криптиране, какъв тип ?
Lotus Sametime не поддържа стандарта OTR. По подразбиране Lotus Sametime използва 128-битово RC2 криптиране. Lotus Sametime поддържа съответствие с FIPS-140, стандарт на американското министерство на отбраната.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на информация за връзките, като например, когато потребител се включва или изключва, от какъв IP адрес и др.? Ако е така, каква информация се съхранява ?
Да, Lotus Sametime предлага разнообразие от опции за регистриране, които се конфигурират от системния администратор чрез Sametime Toоl Kits. Sametime също така се интегрира с различни други специализирани софтуери.
Въпрос: Има ли вашата услуга поддръжка на сървър-базирано натрупване на съдържанието на комуникацията, което даден потребител, изпраща и получава ?
Системният администратор е в състояние да конфигурира тези видове функции. Този тип информация може да бъде прихванат от други специализирани софтуери, като Facetime, Akonix и Symantec.
Въпрос: Ако някоя връзка или съдържание се съхраняват, колко време се запазват ?
Lotus Sametime осигурява гъвкавост, за да поддържа логове, докато бизнесът се нуждае. Администраторът на системата определя продължителността на съхранение на логовете в зависимост от нуждите на предприятието.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да предадете информация за акаунт на потребител, IM и др.?
Този въпрос не се отнася за Sametime, тъй като той не е услуга.
Въпрос: Ако това е така, колко искания от правоприлагащите органи сте получавали ?
Този въпрос не се отнася за Sametime, тъй като той не е услуга.
Въпрос: Получавали ли сте някога призовка, съдебно или друго искане от правоохранителните органи с искане да изпълнявате подслушване на живо или записване, което означава, че съдържанието на съобщенията и разговорите на потребителите ви ще бъдат незабавно изпращани за прилагане на закона ?
Този въпрос не се отнася за Sametime, тъй като той не е услуга.

По материал на CNET news.

 

INDEX ЗА НАС КОНТАКТ ВРЪЗКА ФОРУМ

 

ВСИЧКИ ПРАВА ЗАПАЗЕНИ © SSS ©