markvp

Ma il VoIP si intercetta? Forse, anzi, sì

Alcuni ricercatori ne parlano al Simposium su sicurezza e privacy dell'IEEE: il VoIP si intercetta, e con buone probabilità di decodifica, anche se cifrato e compresso. Almeno in certi casi

Roma - Secondo alcune analisi presentate all'IEEE Symposium su Sicurezza e Privacy ci sono almeno il 50 per cento di possibilità che una conversazione in VoIP, anche se cifrata e fatta transitare con un protocollo compresso a tasso variabile, possa contenere informazioni sufficienti a ricostruirne almeno parte del contenuto.

È quanto hanno dimostrato ricercatori della Johns Hopkins University: agendo su telefonate in VoIP, effettuate impiegando un determinato insieme di tecnologie, alcune frasi preselezionate possono essere individuate in condizioni ottimali fino al 90 per cento.

Tutto parte da due osservazioni alquanto semplici: i ricercatori spiegano che la cifratura della conversazione cambia il contenuto dei pacchetti, ma non la loro lunghezza. In secondo luogo, l'impiego di tecniche di compressione (CODEC) a tasso variabile (Variable Bit Rate encoding) rende più prevedibile il contenuto di un pacchetto in quanto la sua lunghezza diventa dipendente dalla complessità del contenuto stesso.
La somma di queste due osservazioni ha portato all'effettuazione di alcuni test, in cui i ricercatori della Hopkins hanno ricostruito i pacchetti generati da alcune combinazioni di compressione e cifratura, prodotti con la pronuncia di determinate frasi.

Di certo, un esempio reale di come un interlocutore sotto mira avrebbe pronunciato una determinata frase avrebbe dato grande aiuto a chi intendesse intercettare secondo questa metodologia. Ma i ricercatori hanno voluto servirsi di varie versioni degli stessi suoni nella stessa frase, allo scopo di analizzare diversi "accenti" e variazioni nella pronuncia, migliorando così il proprio metodo. Si sono poi serviti di tecniche probabilistiche per individuare, nel flusso di pacchetti, possibili presenze della frase cercata tramite confronti con database di frasi preregistrate.

Charles Wright, principale autore dello studio, sostiene che il metodo riesce a individuare la frase 5 volte su 10 e, quando viene individuata, corrisponde quasi sempre proprio a quella che si riteneva dovesse essere. Se chi parla ha un timbro e un accento molto simili ai campioni di cui si dispone, secondo il ricercatore l'accuratezza del suo metodo può raggiungere il 90 per cento.

Poiché chi intercetta, normalmente, non ha idea di cosa si dice, "la minaccia è più probabile nell'ambito tecnico e professionale, piuttosto che in chiamate informali tra amici o familiari", sostiene Wright.

Da quanto si legge, dunque, sembrerebbe che economizzare sulla banda a disposizione di una chiamata VoIP facendo ricorso a CODEC basati su un bit rate variabile esponga a qualche rischio in più, anche se - per ora - l'intercettazione non è certo alla portata di tutti. Ne deriva che chi ritiene necessario tutelare il più possibile la riservatezza delle proprie comunicazioni farà saggia scelta impiegando CODEC a tasso di compressione fisso o, meglio, senza alcuna compressione.

I più curiosi ora si chiederanno che tipo di CODEC viene usato sulle più comuni forniture in VoIP. Pur ricordando che, in telecomunicazioni come in altre discipline correlate, non esiste nulla di definitivamente non decifrabile, possono stare "relativamente" tranquilli: nel tratto che unisce il fornitore di servizio con l'utente sono praticamente tutti a tasso di compressione fisso, come si può apprendere esaminando quelli relativi allo standard ITU in questa pagina.

La tecnica individuata, invece, si applicherebbe più facilmente in punti della rete per loro natura più difficilmente accessibili, come le interconnessioni tra centrali telefoniche o i grandi ponti radio per telecomunicazioni, dove i CODEC professionali con compressione a tasso variabile trovano più spesso ragione di essere impiegati.

Marco Valerio Principato
38 Commenti alla Notizia Ma il VoIP si intercetta? Forse, anzi, sì
Ordina
  • La notizia riportata, forse per ricercare sensazionalismo, sembra essere caduta in una svista non banale.

    Chi può leggersi il testo originale in inglese su Technology Review (che non è neppure questo l'articolo scientifico a cui si fa riferimento) può leggere infatti che "[...] frasi predefinite possono essere evidenziate [...]"

    Suppongo quindi che scegliendo una frase chiave, ovviamente con un contenuto interessante per l'intercettatore, l'analisi statistica permetta di stabilire se c'è probabilità di trovarla in un flusso di conversazione.
    Trovo che sia molto diverso dal dire "sufficiente a ricostruirne una parte del contenuto", dove quest'affermazione diventa decisamente fuorviante.

    Come nota collaterale: rammento che SRTP (il procollo responsabile del transito dati sicuri in VOIP) usa AES come sistema crittografico. Se fosse possibile ricostruire il contenuto dei dati, l'affermazione implicherebbe che AES sia molto insicuro: questa notizia da sola avrebbe fatto molta più eco del caso VOIP.
    Tutto questo non perché AES debba essere forzosamente di grande sicurezza (anche se approvato dal Governo degli USA per i documenti di massima sicurezza), ma per la sua ampia diffusione.

    Se mi si permette il sarcasmo, qualcuno citava che al mondo esistono tre tipi di bugie, quelle semplici, quelle pesanti e le statistiche: forse doveva elencare anche gli articoli giornalistici?
  • Augh,

    SE esistesse DAVVERO qualcosa di SICURO, i Servizi Segreti Militari di qualunque nazione passarebbero su innumerevoli cadaveri pur di appropriarsene.

    Ho parlato

    Nilok
    Nilok
    1925
  • Impossibile? No certo!
    penso però che sia piuttosto complesso e costoso.

    Secondo me hanno diffuso questa notizia proprio per scoraggiarne l'uso.
    non+autenticato
  • sicuramente si intercetta meno che una chiamata al cellulare cordless o telefono...

    il pizzino è più sicuroA bocca apertaA bocca aperta
  • E adesso grazie alla "legge Berlusconi" non ci sara' piu' di che preoccuparsi!Sorride
    non+autenticato
  • Purtroppo no perché la legge protegge la privacy dei cittadini da intercettazioni telefoniche, non intercettazioni via voip.

    Speriamo estendano.

    L'italia fa schifo.

    Abbiamo 125.000 cittadini spiati.

    Negli Stati Uniti ne hanno meno di 2000!

    In Gran Bretagna ne hanno 5000.

    L'italia fa schifo. Non riesco a non ripeterlo.

    E questa cosa non solo denuncia il regime giudiziario in cui viviamo, ma anche l'incapacità della giustizia italiana di scoprire alcunché se non sentendolo dire dalla viva voce degli interessati.

    Non pretendo investigazioni alla colombo, ma cavolo in questo schifo di italia si finisce in galera solo con le tre confessioni:
    - confessione
    - intercettazione (= confessione senza saperlo)
    - pentito (confessione di terza parte)

    Le indagini? Ca..ate lasciate a CSI e ai paesi degni. Quindi italia rigorosamente esclusa.
    non+autenticato
  • > Purtroppo no perché la legge protegge la privacy
    > dei cittadini da intercettazioni telefoniche, non
    > intercettazioni via
    > voip.
    >
    > Speriamo estendano.
    Certo a tutti i cittadini che si chiamano silvioA bocca aperta
    non+autenticato
  • Spero per te che la estendano anche a te, nel momento in cui vorranno qualcosa da te o ti vorranno sbattere dentro, ti chiameranno in caserma e con anni di intercettazioni alle spalle su cui basarsi, decine di possibili violazioni di leggi e tu farai qualsiasi cosa per tornare a casa. Si ha la quasi certezza che, prendendo qualche centinaio di telefonate di una persona, puoi trovare decine di possibili imputazioni... pensa te quanto e' facile disporre di chi vuoi come vuoi. La giustizia italiana si basa pesantemente su questo metodo: se vogliono ti mettono dentro per quanto tempo vogliono e con l'imputazione che vogliono. In parte, anche grazie alle intercettazioni usate come si fa ora.


    - Scritto da: pippo
    > > Purtroppo no perché la legge protegge la privacy
    > > dei cittadini da intercettazioni telefoniche,
    > non
    > > intercettazioni via
    > > voip.
    > >
    > > Speriamo estendano.
    > Certo a tutti i cittadini che si chiamano silvio
    >A bocca aperta
    non+autenticato
  • > Spero per te che la estendano anche a te, nel
    > momento in cui vorranno qualcosa da te o ti
    > vorranno sbattere dentro, ti chiameranno in
    > caserma e con anni di intercettazioni alle spalle
    > su cui basarsi, decine di possibili violazioni di
    > leggi e tu farai qualsiasi cosa per tornare a
    > casa. Si ha la quasi certezza che, prendendo
    > qualche centinaio di telefonate di una persona,
    > puoi trovare decine di possibili imputazioni...
    > pensa te quanto e' facile disporre di chi vuoi
    > come vuoi. La giustizia italiana si basa
    > pesantemente su questo metodo: se vogliono ti
    > mettono dentro per quanto tempo vogliono e con
    > l'imputazione che vogliono. In parte, anche
    > grazie alle intercettazioni usate come si fa
    > ora.
    Staranno applicando i metodi democratici sviluppati a guantanamo...
    E comunque è difficile cavare sangue da una rapa...A bocca aperta
    non+autenticato
  • - Scritto da: MyWay
    > La giustizia italiana si basa
    > pesantemente su questo metodo: se vogliono ti
    > mettono dentro per quanto tempo vogliono e con
    > l'imputazione che vogliono.

    E allora non ci rimane che vendere cara la pelle.
    ruppolo
    33147
  • [Plutonio dixit]
    > cavolo in questo schifo di italia si finisce in
    > galera solo con le tre
    > confessioni:
    > - confessione
    > - intercettazione (= confessione senza saperlo)
    > - pentito (confessione di terza parte)

    Dimentichi che in Italia ci sono almeno altre tre chances per sottrarsi alla galera:
    - la ritrattazione (sono stato frainteso, sig. giudice!);
    - la ricusazione (il giudice mi guarda male, sostituitelo!);
    - la legge ad personam (quel giudice mi perseguita, arrestatelo!)
  • Premetto non sono un comunista avrei votato destra se non ci fosse stato berlusconi a capo di tutto, ma guarda che i numeri che dai tu sono sono quelle autorizzate dai giudici... all'estero le intercettazioni non le fanno solo i magistrati per esempio in america la maggior parte le fa la FBI , CIA e NSA che non vengono contate.

    Per informazioni maggiori vai <a href="http://www.beppegrillo.it/iniziative/passaparola/&...;

    Forse non ti piace travaglio, neanche sono daccord0 del tutto con lui, ma non importa ascolta i dati che da lui che di solito sono molto attendibili, non le sue opinioni, se ti danno fastidio poi puoi fregartene se poi credi a Emilio Fede fregatene.

    E poi scusa tu di cosa ti preoccupi? Se non hai nulla da nascondere te ne freghi se poi discorsi privati che non centrano nulla finiscono sui giornali prenditela con il giornalista e querelalo se vuoi ma i magistrati se volgiono indagare indaghino pure.

    Poi il discorso che fai tu sulle indagini non sta in piedi, perchè se ho un mezzo con il quale scopro velocemente il colpevole o un crimine perchè non dovrei usarlo... è come togliere la possibilità alla polizia di confontare le impronte digitali.
    non+autenticato
  • Minchia quanta (beata) ignoranza!
    Smetti di guardare la tv, ed inizia a leggere i giornali, possibilmente esteri visto il clima.

    http://voglioscendere.ilcannocchiale.it/?id_blogdo...

    Ce l’hanno condita e intortata dicendoci che negli altri paesi ce ne sono meno. Ho sentito ancora ieri qualche demente in televisione, naturalmente ministro, dire che negli Stati Uniti vanno avanti a reprimere i reati con 1.500 intercettazioni all’anno, in un paese che ha il quintuplo della nostra popolazione. Com’è possibile invece che noi abbiamo 125.000 intercettazioni all’anno e ancora non siamo contenti? In realtà, l’abbiamo già visto, noi non abbiamo 125.000 intercettazioni. Noi abbiamo 75.000 decreti per intercettare che riguardano spesso i vari telefoni di una stessa persona. Quindi le persone intercettate, l’altra volta abbiamo detto essendo molto ottimisti 80.000, i magistrati calcolano che siano circa 20-30.000 all’anno. Negli Stati Uniti non sono affatto 1.500. Sono milioni le persone intercettate, soltanto che la non risulta nelle statistiche perché là a intercettare sono l’FBI, la CIA, i vari servizi di sicurezza e le varie polizie locali e federali. Pensate, Giancarlo Caselli soltanto nella procura di Torino ha calcolato che lo 0,2% dei processi che si fanno contiene intercettazioni. Lo 0,2% dei processi. Altro che “tutto intercettato, tutti intercettati”.
    non+autenticato
  • > L'italia fa schifo.
    > Abbiamo 125.000 cittadini spiati.

    No, sono 125.000 le linee telefoniche intercettate.
    Non è difficile trovare un'azienda con 50-100 linee telefoniche.

    > Negli Stati Uniti ne hanno meno di 2000!
    > In Gran Bretagna ne hanno 5000.

    Certo. Questi dati dove li hai trovati?
    Ah, dimentichi forse che NSA, FBI, etc non pubblicano statistiche su chi intercettano?

    > E questa cosa non solo denuncia il regime
    > giudiziario in cui viviamo, ma anche l'incapacità
    > della giustizia italiana di scoprire alcunché se
    > non sentendolo dire dalla viva voce degli
    > interessati.

    Regime giudiziario? Ma fino a ieri non si parlava della necessità di garantire la "certezza della pena"?

    Scusa ma non capisco il problema. Se sei indagato, non vuoi essere intercettato? Perché, speri di passarla liscia?
    Se sei un delinquente allora spero che ti intercettino e ti arrestino al più presto. Tanto poi in galera probabilmente non ci finisci comunque. Ed è qui che l'Italia fa schifo. Non per le intercettazioni.
    non+autenticato
  • Probabilmente i ricercatori dell'Universita' Johns Hopkins, con dispiego di potenti mezzi e risorse di ogni genere, riescono gia' ad interpretare, o meglio, "traslitterare" il 50% di frasi ricorrenti da conversazioni VoIP (le stesse probabilita' del ben piu' economico metodo noto come "testa o croce"), ammesso che queste frasi ricorrenti siano molto ben pronunciate e in assenza dei rumori di fondo: basterebbe infatti tenere accesa la radio mentre si parla nel microfono VoIP, ad esempio, per sporcare irrimediabilmente i "pacchetti generati da alcune combinazioni di compressione e cifratura".
    Non mi sembra nulla di rilevante ne' utilizzabile in campo legale insomma, tranne, eventualmente, un'odiosa minaccia in aggiunta alle altre intercettazioni illegali e spionaggi politico-industriali, originate da echi lontani-lontani (diciamo oltreoceano, va').
    Ad ogni modo, se ancora vi fosse bisogno di dimostrarlo, cio' sottolinea il valore aggiunto di quelle lingue che utilizzano molti più fonemi, espressioni dialettali e sinonimi del ristrettissimo vocabolario angloamericano.
    Cylon
  • - Scritto da: Zeugma

    > Ad ogni modo, se ancora vi fosse bisogno di
    > dimostrarlo, cio' sottolinea il valore aggiunto
    > di quelle lingue che utilizzano molti più fonemi,
    > espressioni dialettali e sinonimi del
    > ristrettissimo vocabolario
    > angloamericano.
    > Cylon

    Non hai mai studiato inglese, dillo...A bocca aperta
    non+autenticato
  • Si fa così:

    Si crea un archivio (chiamiamolo X) di byte casuali (molto ben casuali), diciamo 4.7 gigabyte così ci sta su un normale, piccolo, trasportabile, dvd.

    Di questo archivio si fanno due copie, una la tiene A, l'altra la tiene B. La consegna avverrà di persona, così da evitare che qualcuno se le appropri e ne faccia copia.

    Un software di chat testuale o voip farà il suo usuale lavoro, ma in più sarà studiato per far sì che ogni singolo byte venga crittografato (basta un add, un sub o uno xor) con un byte dell'archivio X (partendo dal primo fino all'ultimo dei 4.7 gigabyte) e ogni byte dell'archivio X sia usato una e una volta soltanto. Ad ogni riconnessione i programmi di chat o voip si comunicheranno da quale byte puntare per riprendere a crittografare dei 4.7 gigabyte disponibile, come detto senza mai riutilizzare lo stesso byte per crittografare due volte.

    Con questo sistema con un chat testuale si possono inviare 5.000.000.000 di caratteri oppure si possono fare 700 ore di chat voip per ogni archivio X prima che venga usato tutto e vada sostituito.

    In mezzo può ascoltare il mondo intero. Non c'è nessun supercomputer che possa decrittografare un sistema del genere. Ed è anche enormemente semplice.

    Riguardo allo scambio a mano dell'archivio X, sarà magari scomodo ma oltre al fatto che si possono studiare altri metodi per la spedizione in contenitori che denuncino l'apertura e quindi la compromissione dell'archivio X (che in quanto non ancora utilizzato può tranquillamente cadere in mani altrui, basta saperlo e quindi non utilizzarlo, crearne uno nuovo e ri-effettuare la consegna o spedizione all'altra parte), c'è sicuramente chi può avere interesse ad avere un livello di sicurezza alto.

    Io aspetto che implementino questo elementare sistema (che non ho mica inventato io, è quanto di più elementare esista nella crittografia). Anzi mi domando perché non l'abbiano ancora fatto. Si gioca con sistemi a doppia chiave e altro quando la soluzione definitiva è il più elementare dei sistemi crittografici che ci siano in giro.
    Bo.
    non+autenticato
  • Il sistema a cui fanno riferimento e' diverso; consisterebbe non nell'estrarne il contenuto ma esminare le caratteristiche del pacchetto per aquisirne una serie di informazioni;
    ad esempio le interruzioni determinano le interruzioni delle parole e la loro durata, l'aumento di dati la presenza di suoni piu' complessi come quelli contenenti certe consonanti e questi creerebbero una matrice che applicata ai dizionari e alla costruzione di frasi sensate permetterebbero di ricostruire parzialmente il contenuto delle frasi (su di un lungo discorso si possono abbinare piu' contesti e vedere quali generano una frase sensata o di interesse).
    La trasmissione a velocita' fissa o con manipolazione temporale dei dati nel flusso a scapito della latenza risolve.
    non+autenticato
  • Non hai capito.

    Io rispondevo a quella frase dell'articolo che dice che nulla è definitivamente indecifrabile.

    Il sistema che ho descritto invece è totalmente indecifrabile.
    non+autenticato
  • Si chiama One Time Pad, ed ha la caratteristica che appunto la chiave usata e' lunga quanto il messaggio da cifrare, il che porta appunto ad una situazione in cui ogni carattere del messaggio cifrato puo' statisticamente essere qualsiasi carattere dell'alfabeto usato nel messaggio (considerando la chiave generata randomicamente).

    Dopodiche' c'e' un grosso problema, che tu dovresti crearti i tuoi 4Gb di chiave per ogni coppia di comunicatori che puoi prevedere, quindi se hai 10 amici, solo tu hai 40Gb di chiavi, e in tutto avete 400Gb di chiavi per parlare solo tra voi. capisci che non e' praticabile a livello di rete.
    non+autenticato
  • Non è comodo se devo cazzeggiare con gli amici ma con gli amici una crittografia forte non serve neanche.

    Se invece ho contatti importanti, che devono rimanere riservati (peggio se magari sono anche illeciti), con pochi soggetti (es. clienti se si ha un business importante o altro), il sistema funziona perfettamente.

    Con un sistema automatizzato dal software di creazione/caricamento degli archivi non è difficile.

    E se devo comunicare con 5,6 soggetti, dedicargli ad ognuno 1,2,3 giga non è certo un dispendio di risorse impossibile.

    Soprattutto teniamo presente che chi ha bisogno di cifratura forte non si spaventa di certo all'idea di dedicare 10 giga di spazio.

    Per le chiacchiere con gli amici o per broccolare la tipa in chat, mica serve questa crittografia. Anzi forse non serve neanche crittografia.
    non+autenticato
  • > Se invece ho contatti importanti, che devono
    > rimanere riservati (peggio se magari sono anche
    > illeciti), con pochi soggetti (es. clienti se si
    > ha un business importante o altro), il sistema
    > funziona
    > perfettamente.

    Funziona tanto perfettamente che se non distruggi il DVD in modo *perfetto* dopo che hai spedito il messaggio, chi ne viene in possesso può tranquillamente decodificare parte o tutta la comunicazione.
    non+autenticato
  • devi averla proprio combinata grossa se ti proccupi così
    non+autenticato
  • No, si tratta solo di preoccuparsi del problema sicurezza e privacy per pensarci.
    non+autenticato
  • Direi che si chiama sistema One Pad (e il cifrario si usa una volta e una volta sola) ed effettivamente non c'e' un cavolo da fare. Solo che e' duretta avere un cd per telefonata ...
    non+autenticato
  • >Si fa così:
    >
    >Si crea un archivio (chiamiamolo X) di byte casuali (molto >ben casuali),


    http://img502.imageshack.us/img502/2996/pmeo9hcjp7...
    non+autenticato
  • /dev/randomOcchiolino
    non+autenticato