In questi giorni è uscita la notizia della proposta del nostro Ministro dell’Interno di intercettare anche le comunicazioni VoIP, come Skype.
E’ infatti emerso che alcuni esponenti di mafia abbiano già usato Skype per scambiarsi informazioni.
Non voglio soffermarmi sulla giustizia di questo provvedimento, ma sulla sua fattibilità o meno.
A dir la verità l’On. Maroni non è il primo e non sarà l’ultimo a parlare di ciò: già se ne era parlato durante il governo Bush in america e ora anche la Commissione Europea vuole mettere le mani su Skype.
Rispondiamo subito alla domanda principale: intercettare Skype al momento, ma anche probabilmente in futuro, è impossibile o quasi.
I motivi di questa difficoltà sono di due ordini di fattori:
- Il traffico Skype è crittografato (RSA + AES, funzionalità non disabilitabile)
- Il traffico di Skype scorre su una rete P2P che non è sotto il controllo di nessuno, nemmeno di Skype stessa.
Riguardo il primo profilo, Skype usa ben due sistemi di crittografia, considerati “military grade“, cioè assolutamente robusti, che non possono essere scalfiti neanche attraverso la metodologia “brute force” (attacchi di forza bruta).
Inoltre ad ogni sessione, vengono usate password sempre diverse.
Come Skype sia riuscita ad implementare questa crittografia non è dato sapere, di certo da questa strada è difficile scovare un metodo per intercettare le conversazioni.
Una possibile strada è invece quella delle vulnerabilità del software Skype: nel corso degli anni ne sono emerse più di una, ma quasi tutte sono state patchate o sono in procinto di esserlo.
Tecnicamente sono state rilevate alcune vulnerabilità nei mesi corsi relative ai sistemi VoIP, ma si tratta di bug di poco conto.
Piuttosto, sembra più plausibile ritenere che Skype abbia incluso nel proprio software un sistema di intercettazione che Skype stessa può utilizzare a proprio piacimento: sembra che tale sistema sia già stato usato in Cina, su richiesta del governo locale.
E’ infatti notizia di questi giorni che Skype si dice disposta a collaborare con Eurojust ( Agenzia Europea contro la criminalità organizzata)
Ma bisogna considerare che Skype è solo uno dei tanti software VoIP che si trovano in giro nel web, quindi quest’ultimo rischio, per chi vuole veramente sentirsi al sicuro, può essere aggirato.
Riguardo il secondo profilo, bisogna considerare che le reti P2P non sono, per definizione, sotto controllo di nessuno e né possono esserlo: non possono impedire al mio pc lo scambio di dati con un altro pc di un altro utente, e cosi via per milioni di utenti.
Il fatto che dopo ancora 10 anni, la rete P2P continua ancora ad essere usata ed essere la fonte di circolazione di musica e programmi, dimostra quanto detto sopra.
I governi di quasi tutto il mondo e associazioni come RIAA, MPAA stanno portando avanti una guerra spietata da almeno dieci anni. Nonostante questo, le reti P2P producono tuttora la stragrande maggioranza del traffico su Internet.
Ed ecco che sono emerse alcune proposte shock, alcune probabilmente messe in pratica: usare delle Backdoor oppure i c.d. “Trojan di Stato” per ottenere il controllo dei pc di milioni di utenti.
In particolare in America (ma anche qui e in Europa) è stato proposto l’uso di una backdoor, da imporre ai produttori di software VoIP, e da includere all’interno del programma, sui server e/o sui computer usati dagli utenti.
Una tale via risulta impraticabile per i seguenti motivi:
- I software Opern Source sarebbero del tutto immuni, in quanto il codice del programma, essendo libero, può essere sempre e da chiunque modificato, al fine eventualmente di eliminare eventuali backdoor all’interno
- Le società di questi software potrebbero trasferire la propria sede legale in paesi dove non esiste un tale obbligo
- Le società che rispettassero questa imposizione, col tempo, andrebbero in crisi, visto l’esistenza dell’Open Source
In Germania si è parlato dei cd “Trojan di Stato“: si tratta di diffondere veri e propri worm nella rete, in modo da infettare i pc di milioni di utenti e avere cosi il controllo su di essi.
Anche tale strada non è percorribile:
- Esistono sistemi immuni o quasi, come Linux o Mac
- Esistono comunque gli antivirus e altri programmi antimalware (centinaia, appartenente a centinaia di società diverse sparse in tutto il globo)
- Ammesso e non concesso l’esistenza di un cartello globale, se un malware writer avesse accesso al codice del trojan o backdoor di stato, avrebbe il controllo totale di tutti i pc: un rischio che non credo nessuno stato o organizzazione internazionale si accollerebbe
In conclusione: credo possiamo restare tranquilli, le nostre chiamate VoIP non saranno intercettate, almeno nell’immediato futuro.
Approfondimenti...
Nell’articolo “Registrare le chiamate di Skype con Scx Tools“, vi ho spiegato come registrare le chiamate di Skype sotto Ubuntu. All’epoca della...
La nota società di sicurezza Symantec ha scovato in rete una nuova variante del famoso worm che, in base a varie analisi, ha già infettato più di 9...
Non si è ancora spenta l'eco della presentazione di iPad, con le conseguenti polemiche fra entusiasti e delusi che la Apple fa nuovamente parlare di se, e...
Oggi voglio parlarvi di Ear Candy, un semplice tool che permette gestire tramite PulseAudio, il volume delle singole applicazioni. Per chi non lo conoscesse...
FrostWire è un interessante software open source multi-piattaforma per la condivisione P2P, grazie al quale si possono scaricare files tramite la rete...