spam

Skype decriptato. Crepa nel più famoso sistema Voip.

10 luglio 2010 in Net Rumors, Sicurezza Informatica

Circa un anno fa, un’agenzia dell’Unione Europea, la Eurojust, avviò un’indagine per valutare la possibilità di decriptare le telefonate VOIP e stabilire quali siano i mezzi giuridici e tecnici necessari per implementare un meccanismo di wiretapping, monitoraggio ed intercettazione di telefonate cellulari e fissi. Anche l’Italia si dimostrò interessata e tramite la rappresentanza italiana presso Eurojust si dichiarò disposta a ricoprire un ruolo fondamentale nel coordinamento e nella cooperazione per l’investigazione nell’utilizzo dei sistemi di telefonia VOIP, tenendo sempre conto delle differenti regole per la protezione dei dati e il diritto alla privacy in vigore nei vari paesi. Lo stesso ministro Roberto Maroni nel febbraio 2009 diede mandato di formare una task force con “l’obiettivo di ricercare soluzioni tecnologiche e normative per rendere fruibili ai fini investigativi e giudiziari le intercettazioni telematiche.” E’ chiaro che la principale preoccupazione è rivolta all’utilizzo che malviventi e organizzazioni criminali possano fare della tecnologia VOIP, un pensiero che pochi potrebbero contestare.

La stessa rappresentante italiana di Eurojust, Carmen Manfredda dichiarò che lo scopo di questa iniziativa comunitaria “non è impedire agli utenti di giovarsi di queste tecnologie, ma di prevenire che i criminali utilizzino Skype e altri sistemi per organizzare le loro azioni illegali.”

Però la cifratura del protocollo Skype è una questione abbastanza complessa. Ne l 2008 la Cina comunicò di aver iniziato l’intercettazione di tutte le chat testuali e a seguire anche l’Austria era giunta notizia che la cifratura delle telefonate non fosse così indecifrabile.

Skype, dal canto suo, si dichiarò favorevole a collaborare con le autorità.

E’ notizia odierna quella di un esperto di reverse engineering , Sean O’Neil, che dichiara di essere in possesso del codice in grado di decifrare le comunicazioni VOIP, una versione modificata del bel noto algoritmo RC4, usato in sistemi come SSL per le sessioni HTTP e WEP per le reti wireless.

Attraverso il suo blog egli dichiara di aver deciso di rendere pubblico il codice in grado di decriptare le chiamate VOIP di Skype perchè già in molti sono attivamente impegnati ad abusare della piattaforma VOIP e quindi tanto vale non lasciargli il vantaggio dell’iniziativa.

E’ possibile che un solo uomo sia riuscito dove anche organizzazioni militari hanno fallito ? Ovviamente la questione è molto delicata e già in molti si dichiarano scettici e hanno iniziato a verificare l’esattezza del codice pubblicato da Sean O’Neil.

La risposta di Skype ovviamente non si è fatta attendere:

“Crediamo che il lavoro svolto da Sean O‘Neil, che noi sappiamo essere formalmente noto come Yaroslav Charnovsky,  stia facilitando in maniera diretta gli attacchi di spam contro Skype e stiamo valutando le azioni legali da intraprendere. Anche se comprendiamo il desiderio di de-ingegnerizzare i nostri protocolli con l’intento di migliorarne la sicurezza, il lavoro fatto da questo individuo dimostra chiaramente l’opposto. Skype ha investito pesantemente nella sicurezza e nella privacy del nostro software  e siamo orgogliosi dell’alto livello di sicurezza che siamo in grado di offrire ai nostri clienti.   Skype era e continua a essere estremamente sicuro,  e la distribuzione di questo codice “non compromette in alcun modo questo fatto. Skype resta un metodo sicuro ed efficace di comunicazione globale e la società difenderà vigorosamente la propria sicurezza da tutte le minacce note“.

In attesa di altri sviluppi io stesso ho scaricato il codice C e ho proprio voglia di provarne l’efficienza.