Em agosto deste ano, a Microsoft incluiu criptografia de ponta a ponta, chamada "Conversas Privadas", em seu novo lançamento do Skype. A criptografia funciona para chamadas, mensagens de texto e arquivos e usa o protocolo Signal desenvolvido pela organização sem fins lucrativos Open Whisper Systems.
Obviamente, no Skype, mesmo antes do advento das “conversas privadas”, era usada a criptografia, mas essa não era a criptografia do canal entre dois usuários, nas chaves geradas apenas para seus dispositivos finais. Antes da compra deste messenger pela Microsoft, o Skype usava a criptografia de canal AES com chaves de sessão de 256 bits, mas depois foi completamente abandonada. E agora, para comunicação normal, o Skype usa o protocolo TLS, que "cobre" o canal entre o usuário e a nuvem da empresa.
Quase todos os sistemas modernos de prevenção de vazamento de dados (sistemas DLP) aprenderam a rastrear (e alguns até controlam) a transferência usual de mensagens e arquivos para o Skype através de um método bastante padrão - falsificação de certificados, conhecido como ataque do tipo "homem do meio" (MitM). No entanto, para "conversas particulares" esse truque não funciona mais.
Nós da DeviceLock resolvemos esse problema usando o controle de conexão de rede e agentes locais trabalhando diretamente na máquina controlada. Como resultado, o DeviceLock DLP pode controlar totalmente as "conversas privadas" no Skype. Completo significa que o sistema não apenas monitora o fato da transferência de dados e até mesmo sua composição, mas também toma em tempo real uma decisão sobre transferir ou não arquivos e mensagens, dependendo do conteúdo e das políticas de segurança definidas para esse usuário.
Vou mostrar um exemplo real de como é proibido enviar mensagens contendo endereços de e-mail ou arquivos com um NIF em uma "conversa particular". Criamos duas regras para o protocolo Skype que proíbem o endereço de email e o NIF nos arquivos e mensagens enviados.
Tentamos transmitir o endereço de email em uma "conversa particular" por mensagem.
Enviar endereço de e-mail do bate-papo particular do Skype
Como você pode ver, o Skype não pôde enviar apenas a mensagem que contém o endereço de email. Ao mesmo tempo, toda a conversa foi gravada no log de cópia de sombra DeviceLock DLP:
Cópia sombra das mensagens do Skype Private Chat criadas pelo DeviceLock DLP
Agora tente em uma "conversa privada" para transferir dois arquivos, um dos quais contém
DCI
Transferindo arquivos no Skype Private Chat
Vimos que não foi possível enviar o segundo arquivo, mas, ao mesmo tempo, ele está presente no log de cópia de sombra:
Cópia de sombra do arquivo do Skype Private Chat criado pelo DeviceLock DLP
Este é o exemplo mais simples de aplicação da filtragem de conteúdo em tempo real, demonstrando a capacidade do DLP de controlar totalmente a transferência de dados no Skype, mesmo que ele use criptografia de ponta a ponta.