斯盖普(Skype)是否安全(1)

来源:维权网
 
{维权网热线咨询}

本期主持人:张趣

2007年8月3日

"听说斯盖普(Skype)已被检控,用户还有通讯隐私吗?"

斯盖普(Skype)是一种聊天、传送文章、免费全球通话的软件。用户可以到skype网站去免费下载。

这里先提醒各位(下文会说明),在 http://skype.tom.com 下载的中文Tom-Skype 软件中添加了监控小软件!为了避免这个东西,用户可以到 Skype 首页www.skype.com去下载原版,原版软件也可以支持中文系统。  

SkypeMSN yahoo 雅虎"聊天"不同,主要是 Skype 采用加密传输信息的方法。根据skype 公司网站的说法,"Skype 加密所有端到端通话和即时消息,实现无与伦比的隐私保密。由于所有通话都通过公共互联网进行路由,因此加密非常必要"。从理论上讲,第三者很难从任何两位打字聊天或语音通话用户之间插手,去截获或窃听他们聊天或通话的内容,除非第三者掌握解读密码的信息和技术。(但是,即使如此,解密的程序相当繁琐,这是后话。)  

理论归理论。互联网跟别的技术(指南针、飞机、核技术)无异,既可有助天使,也可被魔鬼利用。有幸的是,网络技术发展很快,网民与网盗网监之间正在进行的必然是一场魔高一尺、道高一丈的持续战。在没有法规保护网络言论信息自由、因网上言论被治罪的情况不断发生的国度,网民们最好能借用最新技术,争取制高点,以此来保护自己合法的通讯隐私和言论表达自由。

Skype公司由38岁的 瑞典人Niklas Zennström 28岁的丹麦人 Janus Friis 2003年创建。 Skype 集团总部位于卢森堡,同时在伦敦和塔林均设有办事处。该公司现在已经卖给E-Bay。目前它的股票没有公开出售,难以通过有公共道义感的入股人施压、把它置于市场消费公众的监督之下。这家公司推销的软件程序完全保密,属于黑箱操作,外人无法了解并核实这些软件产品是否真的具有该公司自诩的那些加密功能。(现在国际上有不少软件公司,为了赢得公众信任,在推行 "公开软件" open software ),即,公开它们的软件程序,比如,用户由此能了解它们是否附加任何监控小软件。)

斯盖普网站上张贴了该公司邀请的电子加密技术专家撰写的调查报告,为该公司推销的Skype 加密通讯技术作出鉴定 http://www.skype.com/security/files/2005-031%20security%20evaluation.pdf )。但是,最近的专家评语也是2005年作的。那么,当斯盖普公司被网上拍卖公司E-Bay 买下来以后,继而又由大陆的无线上网服务商Tom.Online公司在中国开发推销中文系统 Tom-Skype)以来,这些专家还能为斯盖普中文系统的保密安全性担保吗? 

Skype 执行总裁Niklas Zennstrom 2006 418 接受《金融时报》采访时,承认 Skype 的中国伙伴Tom Online 公司对文字信息里面的所谓"敏感词"进行审查,如 "天安门广场","达赖喇嘛",等词语,并称在中国经商则不得不服从中国法,说这是必要的代价。到底哪条中国法规要求审查"敏感"词语? 官方从来没有公布过哪些词语按照法规必须受到审查。 Tom Online 多半是主动筛选它自认为敏感的词汇,还不是为了盈利而实行自律。Skype 集团总公司以及现在拥有Skype E-Bay 公司是否对Tom Online 的政治审查行为也有商业道德责任?这个问题值得探讨。据说E-Bay 创建者 Pierre Omidyar是一位颇有公益责任心的人!不过此话题到此打住,有兴趣的读者可深入探讨。 

话说回来,在目前情况下,Skype 在防范网警监视、网盗窃获信息方面到底有多大功效?Skype 网络通讯到底有多安全?本人带着这些问题请教专家,查阅了一些资料,初步得出以下答案。


一、Skype打字聊天 

有些国内用户在Skype 上给朋友在"会话" 窗口打字聊天时,有时发现打出的字句或拷贝进去的文章传输给对方后,对方看不见。 原因很简单,如果用户是在www.skype.tom.com 下载的软件,那是Tom Online在中国大陆开发的 Tom-Skype,  这个软件被添加了筛选监控软件,这个软件将带有所谓"敏感"字眼的文字挑出来,并屏蔽含有该字眼的整块文章。Tom.Online 公司专门为 Tom-Skype 的"会话"窗口设置了一份它认为网警不愿看到出现的"敏感"字眼的清单。  

20066月,在"互联网审查探索 "网站上,多伦多大学的互联网审查研究专家Nart Villeneuve http://ice.citizenlab.org/?p=219)介绍了他对 Tom-skype的测验结果。 他在下载Tom-Skype 2.0 软件的英文版后,通过一番测验, 查出Tom-Skype 使用"敏感词"筛选装置来删除或屏蔽文字聊天内容。

图一

图一左上角图像后面的英文是监控软件"Tom Word Review"的名称ContentFilter.exe.在你下载Skype软件时,这个把关小软件也同时被下载到你的电脑里,只要用户打开Skype,这个小软件也同时启动,并且会一直在后台运行,审查监视被传输的文字的内容,也就是说,把文字内容转送到一个可以解开密码阅读这些内容的第三者那里,如果发现其中有所谓敏感字眼,该文字就会被自动拦截或屏蔽。图二显示这个监控软件的后台运行可以在视窗的"任务管理"那里看到:

图二

据说,即使你去掉Tom-Skype软件后,这个监控小软件也很难去掉。相比之下,Skype.com原版网站声明它"没有间谍软件"——"间谍软件即涉及那些未获得电脑所有人的知情同意或了解而安装在电脑上、秘密地向某台遥远的主机传送或接收数据的软件。例如,间谍软件可能监视一个用户的行为,向某个第三方传递用户活动细节(比如其用户名或密码)"。

经过在两台电脑之间用英文聊天进行一番试验之后,这位专家初步发现:

(一)当使用Tom-Skype下载软件的用户给另一位使用同样软件的用户对话时,如果内容里面含有被Tom Online筛选的"敏感"字眼,对方就看不到含有那一字眼的整段话或整块文章。

(二)但是,如果使用Tom-Skype的用户把同样文字送给一个使用原版skype软件的用户,该用户则可以读出含有被禁词语的文字。

(三)还有,使用原版skype软件的用户把含有被禁词语的文字传给使用Tom-Skype软件的用户,后者则看不到传送的信息。

这位专家测试出来的是Tom-Skype筛选敏感英文词语的小软件!读者可以仿照以上办法去测试Tom-Skype中文版对哪些中文词语实行了把关。

此外,打字聊天还有另一种被"偷看"的可能。对任何skype版本来说,这种可能性都存在:对方也许并不是你的聊天伙伴!外人可以很容易地盗用他人的名字开设Skype账户或盗用你的朋友的现存账户来给你聊天。为了预防冒名闯入的生人,你可以先挂通语音、或接通地面电话,通过声音来确定对方的身份。

最后,一旦你的电脑被盗、或被人没收,有人可能会打开你的电脑、甚至非法进入你的Skype账户进行搜查,包括查阅你的聊天纪录。这种情况很难设防。有一点你可以做到,就是随时清除你的"聊天历史",并设置"不保留会话记录":

(1)登陆进入skype账户后,点击视窗左上角的"文件";

(2)当选项菜单出现后,点击"隐私(X)";

(3)这时,另一个视窗就会打开,在这个视窗里的"保留会话记录时长"下面,有两个地方供你选项:左边那个,你点击一下,就会看到五个选择:"永久保留","没有历史纪录","两周","一个月","三个月"。请选择"没有历史纪录"。这样一来,你的打字聊天内容今后在你的电脑上就不会留下纪录。在另一个小长方块里,如果你点击"清除会话纪录",你在此之前给朋友聊天的纪录也就会从你的电脑上消失。

(当然,除非Skype公司把你的原始记录拱手交出!Skype.com网站张贴的"Skype隐私权声明"说:"Skype十分重视您的隐私权。因此,Skype承诺尊重您的隐私,并对您的个人资料、流量资料和通讯内容加以保密。"当然,微软和雅虎公司也有类似声明,但"为了遵守当地法规",这些公司对中国用户的隐私权作了列外处理!)

以上的初步探讨,至少可以说明,对skype打字聊天目前还没有实现全面监控。用户可以采取以下步骤去提高skype聊天对话的安全系数:

www.skype.tom.com说不:切忌把Tom-Skype软件下载到你的电脑上,确定你下载的是 www.skype.com的原版软件,而不是添加了监控小软件的Tom-Skype版本。

避免所谓"敏感"字眼:打字聊天时尽量其他词语和符号。

弄清楚你在给谁聊天:即使你使用原版Skype,最好能事先确定你的聊天伙伴的真实身份,然后再开始打字会话。

清除聊天记录:按照以上介绍的步骤,把你的skype聊天选项设置好,减少网监网警和网盗侵犯你通讯自由和隐私权的机会。

2007年7月31日

(待续)

没有评论: