Något som skapat en del rubriker nu i februari är en säkerhetslucka i Skype som varit känd av Microsoft sedan i September men som ännu inte åtgärdats. Säkerhetsexperten som upptäckte denna läcka har nu kommenterat detta och vi har satt oss in i vad det är som har hänt. Hur många som drabbats är okänt och det också fråga om ett problem som vi vanliga användare har svårt att skydda oss mot. I det här inlägget ska vi titta närmare på det inträffade och även resonera kring vilka krav man kan ha på jättarna i branschen. Hur mycket ansvar måste man själv ta för sin säkerhet online medan man använder en tjänst utvecklad av, i det här fallet, Microsoft? Vi ska även titta på vad man trots allt kan göra för att minimera riskerna.

Ikoner sociala nätverk

Programmet som installerar uppdateringar “kapas”

Det är den tyske Säkerhetsexperten Stefan Kanthak som har rapporterat in felet i Skype denna artikel handlar om till Microsoft. Det gäller en bugg i Skypes program som installerar uppdateringar. Buggen innebär att installationsprocessen kan “kapas” och att filer av DLL typ kan installeras på vår dator utan att vi är medvetna om det och sedan gömmas i en temporär mapp på en Windows dator och förses med namn som gör att de liknar legitima filer. Detta kan sedan användas på ett sådant sätt att obehöriga får access som administratörer och möjlighet att påverka innehållet på våra datorer. Hotet har klassats som medium i fråga om hur allvarligt det är, på en skala med tre steg.

Stefan Kanthak har visat att denna lucka existerar i Windows men menar att även Skype versioner avsedda för andra operativsystem som Linux och macOS kan ha samma svaghet. Från början hävdade Microsofts talespersoner att den säkerhetslucka detta gäller bara kunde missbrukas av någon med fysisk tillgång till den enhet som drabbats. Det har dock visat sig att detta inte stämmer och problemet är därmed betydligt större än man tidigare befarat. Stefan Kanthak var i kontakt med Microsoft i redan i September 2017 och menar att det nu gått förvånansvärt lång tid utan att problemet åtgärdats.

Är Skype säkert?

Nej, Skype är inte säkert om man med det menar att man som användare är immun mot till exempel bedrägeriförsök där hackare använder Skype för att komma åt oss. Det har bland annat det här senaste problemet som kan drabba oss vid installation av uppgraderingar visat med all önskvärd tydlighet. Fråga är dock om det finns någon tjänst som är säker eller ens betydligt säkrare än Skype för oss vanliga användare som inte skyddar oss genom VPN tjänster och bara kommunicerar anonymt. Idén med Skype är att man ska kunna hitta människor man vill komma i kontakt med som inte är anonyma och då blir tjänsten mer sårbar.

Frågan i rubriken formuleras om en aning eftersom inget program kan anses vara helt säkert i dagens läge. Är Skype tillräckligt säkert i relation till andra likartade tjänster och utifrån hur Skype används? Det beror på vem man frågar. Alla samtal i Skype är krypterade. Det är alltså oerhört svårt för någon utomstående att avlyssna vad du säger eller skriver om vederbörande inte redan tagit sig in på din dator. Trafiken sparas dock på din enhet och hur säker informationen är efter det att ett samtal avslutats beror helt på de säkerhetsrutiner du själv ansvar för genom till exempel dina lösenord. Vissa av de kanaler där man använder Skype är mindre säkra än andra, när du beger ut på det vanliga telefonnätet är du till exempel mer utsatt än vid dator till dator kommunikation.

Inte första gången Skype visar säkerhetsbrister

I mer än tio år har datoranvändare haft anledning att ifrågasätta om Skype verkligen är tillräckligt säkert för deras ändamål. Många företag har under årens lopp gjort bedömningen att det inte är det och valt andra kanaler för kommunikation kring mer känsliga ämnen. På viss arbetsplatser har Skype varit helt förbjudet. Det problem som här tagit upp har också inträffat flera gånger tidigare. Detta är inte första gången skadliga program via Skype kan passera brandväggen och infektera enheter där Skype är installerat. Bristen på insyn är en annan fråga som kommit upp med jämna mellanrum under många år. Det finns det som menar att det är problematiskt att låta viktig information passera en tredje part utan att man riktigt har insyn i vem som kan komma åt informationen.

En av de mer sofistikerade attackerna som drabbat användare av Skype är programmet T9000 som upptäcktes 2016. Det kunde spela in samtal samt komma chatt loggar och ladda upp dem på en server. Användaren var dock tvungen att ge sitt godkännande till detta. Ett godkännande många gav av misstag eftersom förfrågan var gjord för att inte väcka misstankar. Ett annat avslöjande som innebär att många känt sig osäkra på Skype är att Microsoft tjänar etablissemanget genom att ge den amerikanska myndigheten National Security Agency möjlighet att avlyssna samtal i Skype. Detta är något man kan tycka är både och dåligt beroende på vad man har för värderingar.

Kan vi lita på Microsoft?

Det är givetvis mycket allvarligt och oroväckande att ett storföretag som Microsoft inte genast gör något åt en säkerhetsbrist i en av sina populäraste tjänster som används mer eller mindre dagligen av tiotals miljoner kunder. Man ska dock vara medveten om att det ligger i Microsofts intresse att se till så att deras tjänster och produkter är så konkurrenskraftiga som möjligt. Avseende bland annat säkerhet. Att fixa en liten bugg kan dock kräva en ganska omfattande och resurskrävande uppgradering av programvaran. Det går helt enkelt inte att omedelbart genomföra större förändringar utan vi får hålla till godo med de patchar som kommer regelbundet och adresserar de flesta nya problem som upptäcks.

Att skriva om Skype och ge ut en ny version av programmet är helt enkelt ett arbete som tar mycket tid i anspråk. Detta är en av anledningarna till varför datoranvändare idag själva måste vara beredda att ta ett större eget ansvar än tidigare. Vi kan alltså lita på att storföretagen gör sitt bästa för att möta nya hot men det det är inte alltid gott nog om vill kunna känna oss så säkra som möjligt när vi använder deras tjänster.

Kan vi lita på Microsoft?

Ett program som Skype, lider i det här fallet av sin egen storlek och popularitet. Det är helt enkelt väldigt attraktivt för hackare och bedragare att syna tjänster som har så många användare i sömmarna på jakt efter luckor som är möjliga att exploatera. Man kan dock vara kritisk till att Microsoft inte, trots sina enorma resurser, själva upptäckt problemet under sin felsökningsprocess och att det gått så pass många månader utan att man löst det, trots att man hade kunnat göra det snabbt. Lösningen är kanske inte alltid att så snabbt som möjligt och till vilket pris som helst åtgärda problem utan att införa nya rutiner när det gäller kvalitetssäkring och framtida tjänster och program.

Vad kan man göra för att skydda sig?

Som vi redan varit inne på måste man vara beredd att ta ett större ansvar för sin egen säkerhet idag än tidigare. Men vad innebär det i praktiken när det handlar om just Skype? Att vara mycket försiktig med att klicka på attachments är en bra grundregel. Även när du får en länk av en betrodd kontakt kan det vara bra att kolla med personen i fråga att allt är i sin ordning. Hackade Skype konton är nämligen ett problem som blivit mycket vanligt. Om ett meddelande är skrivet på ett annat språk eller i en annan stil jämfört med vad du brukar se från användaren i fråga är det en självklar varningsklocka. Länkar till sidor som infekterar din dator kan dock vara skickade i god tro, ofta som en form av kedjebrev som bara vidarebefordrats.

En annan säkerhetsåtgärd som ger skydd även mot de problem som vi tagit upp i den här artikeln är att alltid se till ha det senaste i fråga om virusskydd. En lite mer drastisk åtgärd är att sluta använda Skype tills det kommit en ny version som inte har det här säkerhetsproblemet. Det finns tillräckligt många lösningar för kommunikation online för att det ska vara möjligt. Det kan dock vara att att invagga sig själv i falsk trygghet eftersom inget säger att den nya versionen av Skype eller det program man använder som alternativ inte har ett lika allvarligt säkerhetsfel som ännu inte upptäckt.

Microsoft väntar med att vidta åtgärder

En tysk säkerhetsexpert har redan för sex månader sedan informerat Microsoft om en bugg i Skype som kan exploateras av hackers. Det handlar om att programmet som installerar uppdateringar av Skype kan kapas och fås att även installera skadliga filer. Det är långt ifrån första gången Skype visat sig ha allvarliga säkerhetsproblem men det som är intressant i detta fall är att Microsoft väljer att inte göra något åt saken innan nästa planerade version av programmet. Det är givetvis något man kan ha åsikter om och det visar hur viktigt det blivit att ta eget ansvar för sin säkerhet online.

Behöver du hjälp?

Använd formuläret och skicka ett mail till oss så kontaktar vi dig inom kort.

Not readable? Change text.