Skype on yksi internetin vanhimmista ja suosituimmista ääni- ja videokeskustelupalveluista. Maaliskuussa 2020 Microsoft paljasti, että Skypellä on 40 miljoonaa päivittäin aktiivista käyttäjää. Vaikka monia kilpailijoita on ilmaantunut, Skype on edelleen suosittu kaikkialla maailmassa.
Onko se siis turvallinen? Onko se yksityinen? Mitä Skypen käyttäjien tulisi huomioida soittaessaan puheluita ja lähettäessään viestejä? Vastaan kaikkiin näihin kysymyksiin tässä artikkelissa. Käsittelen pääasiassa Skypen vakiosovelluksia enkä Skype for Businessia.
Microsoftin tiedonkeruu
Microsoft osti Skypen vuonna 2011, joten Skypellä on samat tietosuojakäytännöt kuin kaikilla muilla Microsoftin kuluttajatuotteilla. Skypen käyttäminen edellyttää Microsoft-tiliä. Valitettavasti tämä tekee Skypen tiedonkeruukäytännöistä hyvin vaikeaselkoisia. Skypeä ei edes mainita nimenomaisesti Microsoftin tietosuojaselosteessa, eikä selosteessa edes täsmennetä, mitä tietoja kerätään.
Tästä huolimatta voimme tulkita tietosuojaselostetta niin, että voimme päätellä joitakin tietoja, joita Microsoft kerää Skypen käyttäjistä.
Skypen profiili koostuu seuraavista osista:
- Profiilikuvasta
- Käyttäjätunnuksesta
- Salasanasta
- Sähköpostiosoitteesta
- Sijaintipaikasta
- Syntymäajankohdasta
- Yhdyshenkilöluettelosta
Jos Skypeä käytät puhelimiin soittamista varten, Microsoft vaatii myös maksutietojasi.
Microsoft tallentaa myös käyttäjän vuorovaikutustapahtumia, joita voivat olla mm. seuraavat:
- Kenen kanssa soitat
- Puhelujen aika ja kesto
- Chat-historia
- Lähetetyt ja vastaanotetut tiedostot
- Soitetut puhelinnumerot
- Aktiivisuuden tila
Microsoft kertoo hankkivansa käyttäjiä koskevia tietoja myös kolmansilta osapuolilta, joihin voi kuulua myös tietojen välittäjiä.
Microsoft käyttää henkilötietoja kohdennettuun mainontaan, personointiin, tutkimukseen ja kehitykseen sekä tuotteidensa parantamiseen. Tietojasi jaetaan Microsoftin tytäryhtiöiden, tytäryhtiöiden ja myyjien kanssa. Se voi myös luovuttaa tietojasi vastauksena lakisääteiseen pyyntöön.
Voit hallita joitakin, mutta et kaikkia Microsoftin sinusta hallussaan pitämiä tietoja online-tietosuojapaneelin avulla.
Havaittavuus
Skypen oletusarvoisesti käyttäjät ovat helposti löydettävissä hakutoiminnon avulla. Jos et halua näkyä hakutuloksissa tai suosituksissa, voit poistaa tämän vaihtoehdon käytöstä profiiliasetuksissasi.
2FA:n määrittäminen
Microsoft tarjoaa kaikille tilinhaltijoille mahdollisuuden määrittää kaksitekijätodennus. Suosittelen lämpimästi sen tekemistä, sillä se on loistava pelote mahdollisille hakkereille.
Kaksitekijätodennus, jota kutsutaan myös kaksivaiheiseksi todentamiseksi, edellyttää, että syötät salasanasi lisäksi kertakäyttökoodin, joka lähetetään sähköpostitse, tekstiviestillä tai todennussovelluksella.
Voit halutessasi kirjautua sisään myös suojausavaimella, joka on yleensä USB-laite, joka on kytkettävä tilillesi kirjautuessasi.
Puhelujen tallennus
Skype-puhelujen osallistujat voivat tallentaa puhelunsa ja tallentaa ne Microsoftin palvelimille enintään 30 päivän ajaksi. Tämä on sisäänrakennettu ominaisuus. Tänä aikana he voivat ladata videon käyttääkseen sitä haluamallaan tavalla. Kaikille osallistujille ilmoitetaan, jos puhelu tallennetaan. Myös kuvien jakaminen tallennetaan.
Salaus
Skype ei käytä oletuksena päästä päähän -salausta. Se tarkoittaa, että jokainen viesti, puhelu ja tiedosto on Microsoftin nähtävissä.
Mutta vuodesta 2018 lähtien Skype tarjoaa päästä päähän -salauksen, jos käytät ”Yksityinen keskustelu” -ominaisuutta. Voit aloittaa yksityisen keskustelun valitsemalla laatimisvalikosta tai vastaanottajan profiilista ”Uusi yksityinen keskustelu”. Vastaanottaja saa kutsun, ja kaikki puhelut ja viestit kyseisessä keskustelussa ovat päästä päähän salattuja, kunnes ne lopetetaan. Huomaa, että käyttäjät voivat osallistua kerrallaan vain yhteen yksityiseen keskusteluun per laite. Voit vaihtaa yksityisen keskustelun toiseen laitteeseen, mutta kaikki lähetetyt ja vastaanotetut viestit ovat käytettävissä vain sillä laitteella, jota parhaillaan käytetään.
Oletusarvoisesti Skype-käyttäjien väliset ääni-, video-, teksti- ja tiedostolähetykset salataan, mutta vain laitteesi ja Microsoftin palvelimien välillä. Tiedot puretaan, kun ne saapuvat palvelimelle, jolloin Microsoft voi halutessaan nuuskia. Ottaen huomioon Microsoftin historian NSA:n kanssa, on parasta olettaa, että mitään Skypessä tekemääsi ei pidetä yksityisenä.
Skype-asiakasohjelma luo jokaista soittamaasi puhelua varten ainutlaatuisen 256-bittisen AES-salausavaimen kyseistä istuntoa varten. Tämä istuntoavain on yhtiön mukaan olemassa niin kauan kuin viestintä jatkuu ja tietyn ajan sen jälkeen. Kun soitat puhelun, Skype lähettää istuntoavaimen soittajalle, ja tätä istuntoavainta käytetään sitten viestien salaamiseen molempiin suuntiin. Tämäkään ei ole päästä päähän -salausta.
Skypen ja tavallisen lankapuhelimen tai matkapuhelimen välisiä puheluita ei salata lainkaan. Ääniviestit salataan, kun niitä ladataan, mutta ne tallennetaan salaamattomana tiedostona laitteeseen.
Microsoft pingaa URL-osoitteita
Vuonna 2013 Ars Technican tutkimuksessa todettiin, että Skype ”tutkii säännöllisesti viestien sisältöä petoksen merkkien varalta, ja yrityksen johtajat voivat kirjata tulokset lokiin määräämättömäksi ajaksi”. Ja tämä voi tapahtua vain, jos Microsoft voi halutessaan muuntaa viestit ihmisen luettavaan muotoon.”
Tutkimus, jossa tietoturvatutkija loi erityisesti muokattuja URL-osoitteita, jotka lähetettiin Skypen pikaviestijärjestelmän kautta, kumoaa Skypen vuonna 2007 esittämät väitteet, joiden mukaan se ei pystyisi suorittamaan salakuuntelua vahvan salauksen ja monimutkaisten vertaisverkkoyhteyksien vuoksi.
Haittaohjelmat
Skype on tietynlaisten haittaohjelmien kohteena, ja se toimii myös muunlaisten haittaohjelmien jakeluvälineenä. Vaikka kaikki tunnetut Skypen tietoturva-aukot on korjattu, käsittelemme tässä muutamia aiempia tapauksia:
Helmikuussa 2016 Palo Alto Networksin tutkijat paljastivat, että T9000-niminen haittaohjelma oli suunnattu erityisesti Skypen käyttäjille. Kun ohjelmisto on asennettu, se voi nauhoittaa Skype-video- ja äänipuheluita ja ladata ne yhdessä tekstikeskustelujen kanssa palvelimelle. Tähän liittyy kuitenkin varoitus. Vaikka haittaohjelma on asennettu, käyttäjän on annettava sille nimenomainen lupa käyttää Skypeä, vaikka se peittää pyynnön niin, että käyttäjä ei huomaa sen olevan haittaohjelma. ”Uhrin on nimenomaisesti sallittava haittaohjelmalle pääsy Skypeen, jotta tämä toiminto toimisi. Koska pääsyä pyytää kuitenkin laillinen prosessi, käyttäjä voi sallia pääsyn tajuamatta, mitä todellisuudessa tapahtuu. Kun haittaohjelma on otettu käyttöön, se nauhoittaa videopuheluita, äänipuheluita ja chat-viestejä”, tutkijat sanovat.
Skypen ja käyttöjärjestelmän pitäminen ajan tasalla on paras tapa estää haittaohjelmat. Myös virustorjunnasta on apua.
Spam ja phishing
Skype on vanha, mikä tarkoittaa, että siellä on paljon hylättyjä tilejä. Jos tietoverkkorikollinen onnistuu kaappaamaan yhden näistä tileistä, hän voi käyttää sitä haittaohjelmien ja phishing-linkkien levittämiseen kaikille tilin yhteystietoluettelossa oleville. Tätä pahentavat käyttäjät, jotka eivät tarkista yhteystietojaan ja hyväksyvät tuntemattomien pyyntöjä.
Vuonna 2019 Rietspoof-haittaohjelma levisi pääasiassa Skype-roskapostin kautta. Kyseessä oli troijalainen, joka oli suunniteltu saastuttamaan järjestelmiä, jotta se voi ladata tunkeilevampia ja tehokkaampia haittaohjelmia.
Turvallisuusyritys F-Secure paljasti vuonna 2016, että rikolliset esiintyivät Yhdysvaltain virkamiehinä ja tarjosivat apua sveitsiläisille, jotta he löytäisivät tietoa siitä, miten he voivat hakea viisumia Yhdysvaltoihin vierailua varten. He huijasivat uhreja lataamaan QRAT-haittaohjelman.
Yksinkertainen sääntö estää sinua joutumasta roskapostin ja tietojenkalastelun uhriksi Skypessä: älä koskaan napsauta ei-toivottuja linkkejä tai liitetiedostoja, etenkään yhteystiedoilta, joiden kanssa et ole ollut tekemisissä vähään aikaan.
Skype paljastaa IP-osoitteet
Skypen käyttäjät pystyvät saamaan selville soittajiensa IP-osoitteet listaamalla kaikki laitteeseesi tulleet TCP-verkon kautta tapahtuvat yhteydet. Tämä voidaan tehdä esimerkiksi Windowsin komentorivin yhdellä komennolla.
IP-osoite on yksilöllinen numero- ja desimaalijakso, joka yksilöi laitteen ja sen sijainnin.
Vaikka IP-osoite itsessään ei ehkä ole kovin arvokas, sitä voidaan käyttää yhdessä muiden henkilötietojen kanssa jotakuta vastaan. Yksi kiertotapa tähän on käyttää VPN:ää todellisen IP-osoitteen piilottamiseen.
TOM Skype
Maaliskuussa 2013 Jeffrey Knockel, New Mexicon yliopiston tietojenkäsittelytieteen jatko-opiskelija, paljasti, että Skypen erikoisversio, jota kiinalaiset käyttäjät joutuvat käyttämään ja joka tunnetaan nimellä TOM Skype, antoi Kiinan hallitukselle mahdollisuuden kerätä tietoja käyttäjistään, mukaan lukien tietoja heidän poliittisista vakaumuksistaan, ja sensuroida sitä, mitä he voivat sanoa toisilleen.
Samaisen vuoden toukokuussa arvostettu venäläinen julkaisu ”Vedomosti” kertoi, että sekä kansallinen turvallisuusvirasto että poliisi pystyvät kuuntelemaan Skype-keskusteluja ilman, että siitä tarvitsee edes oikeuden päätöstä.
Skypen vaihtoehdot
Luettelen muutamia Skypen lukuisista vaihtoehtoisista VoIP-sovelluksista turvallisimmasta turvalliseen vähiten turvalliseen:
- Signal: Jos haluat soittaa vain yhdelle henkilölle, Signal on turvallisin vaihtoehto. Se on viestisovellus, joka asettaa turvallisuuden ja yksityisyyden etusijalle ennen kaikkea. Kaikki puhelut ja viestit salataan päästä päähän, ellei toinen osapuoli käytä tavallisia SMS- tai MMS-tekstiviestejä. Se tukee kuitenkin vain kahden käyttäjän välisiä puheluita.
- Facetime: Facetime tukee jopa 32 henkilön ryhmäpuheluita. Se on yksi ainoista videoneuvottelusovelluksista, joka tarjoaa päästä päähän -salauksen puheluissa, joissa on enemmän kuin kaksi henkilöä. Tarvitset kuitenkin uudemman iPhonen tai iPadin käyttääksesi sitä. iMessagea käytetään tekstiviesteihin. Apple ei tallenna mitään tunnistetietoja lukuun ottamatta sitä, kenelle soitettiin, ja verkon kokoonpanoja, joita säilytetään 30 päivää.
- WhatsApp – WhatsApp on maailmanlaajuisesti suosittu viestisovellus, joka käyttää Signalin turvallista viestintäprotokollaa ääni- ja videopuheluiden salaamiseen päästä päähän käyttäjien välillä. Se ei ole aivan yhtä suojattu kuin Signal, mutta se on kätevämpi. Tekstiviestit salataan samalla tavalla. Videopuheluun voi liittyä jopa neljä henkilöä.
- Google Duo: Tämä sovellus on saatavilla älypuhelimiin tai verkkoselaimeen. Se salaa kaikki puhelut päästä päähän, joten Google ei pääse käsiksi puhelun sisältöön. Google kerää kuitenkin paljon muita tietoja tilinomistajista. Puheluun voi liittyä enintään 12 henkilöä.
- GoToMeeting, Google Meet ja Zoom: Nämä palvelut toimivat melko samalla tavalla ja tarjoavat samanlaisen turvallisuuden. Ne ovat hyödyllisiä videoneuvotteluissa suurempien ihmisryhmien kanssa. GoToMeeting on verkkopohjainen, eli kaikki tapahtuu selaimessasi. Zoom edellyttää natiivin sovelluksen asentamista. Hangouts Meet, Googlen versio, toimii kummallakin tavalla. Osallistujille lähetetään kutsukoodit puheluihin liittymistä varten. Isäntä voi hallita osallistujien oikeuksia ja käyttöoikeuksia. TLS-salausta käytetään kauttakulussa, mutta puheluita ei salata päästä päähän käyttäjien välillä. GoToMeeting, Google ja Zoom pääsevät käsiksi puhelun sisältöön, kun se saapuu niiden palvelimille.