Luca Annunziata

Quel colabrodo di Skype

Le autorità austriache sarebbero riuscite in quello che ai vicini tedeschi non è stato possibile. Tracciare, ascoltare, loggare, registrare le chiamate VoIP attraverso la più nota applicazione del settore. E non solo

Roma - Altro che trojan di stato. Per tenere sotto controllo le chiacchiere su Skype, per arginare il montante pericolo del terrorismo, non occorre dividere le spese per comprare un software in grado di intercettare le conversazioni VoIP. Basta chiedere al produttore le chiavi di accesso a Skype: almeno è quanto ha fatto intendere un funzionario austriaco durante una recente conferenza sul tema delle intercettazioni, tenutasi in terra asburgica la scorsa settimana.

Come riporta Heise Online, un alto dirigente del ministero degli Interni austriaco ha chiarito che per il suo paese "non è un problema ascoltare le conversazioni via Skype". Una affermazione che in un attimo riporta all'attualità le innumerevoli chiacchiere sull'esistenza di una fantomatica backdoor del servizio di telefonia via Internet, da qualcuno ritenuta una bufala, da altri una possibilità concreta: ora più che in passato.

Heise rincara ulteriormente la dose, citando le dichiarazioni dell'emittente locale ORF: nella minuta del meeting sarebbe riportata a chiare lettere l'affermazione che "la polizia austriaca è in grado di monitorare le connessioni su Skype", sebbene il ministero degli Interni abbia declinato l'invito a confermare o smentire questa informazione. Da parte sua, anche Skype ha preferito non pronunciarsi sull'argomento.
In ogni caso, prosegue la testata tedesca, all'evento erano presenti massimi rappresentanti di istituzioni e ISP. Obiettivo dell'incontro era "convincere i provider a consentire l'installazione di bridge di rete e computer nei propri nodi di rete, da usare per registrare e filtrare il traffico dati e trasmetterlo al ministero degli Interni attraverso un collegamento cifrato". Per semplificare la questione, ai netizen indagati si dovrebbero assegnare IP fissi.

Se gli ISP non avessero voglia di collaborare, gli sarebbe stata promessa e prospettata una modifica alle leggi vigenti per costringerli convincerli a farlo. "La ragione addotta per non modificare subito la legislazione - chiarisce Heise - alla luce della attuale mancanza di una certa attività terroristica, è che non sarebbe possibile mobilitare il supporto politico per questo tipo di azione".

Sempre secondo queste indiscrezioni, i funzionari sarebbero consci dei limiti che questo tipo di approccio avrebbe nella capacità di intercettare i pesci grossi del crimine: solo i malviventi più sprovveduti utilizzerebbero cifrature deboli come quelle contenute nei software come Skype, mentre le menti delle organizzazioni internazionali ricorrono senz'altro per le loro comunicazioni ad algoritmi e sistemi più complessi e più difficili da tracciare e decodificare.

A dispetto degli sforzi delle amministrazioni teutoniche, dunque, in Austria il processo di allestimento di un network parallelo di sorveglianza procederebbe spedito. Ufficiosamente sarebbero già due gli ISP che hanno accettato di installare questo tipo di apparecchiature nelle proprie centrali, anche se non mancano i comunicati ufficiali che fanno a gara a smarcarsi da un marchio di collaborazionismo che forse non costituirebbe la migliore pubblicità verso l'utente finale.

Luca Annunziata
51 Commenti alla Notizia Quel colabrodo di Skype
Ordina
  • Ciao Luca,
    non vorrei criticarti, ma dovresti verificare le tue fonti, o le fonti di chi ti ha portato a pubblicare quest'articolo dai toni che mi sembrano un po' senzazionalistici ma che non mi hanno fatto scomporre dalla sedia gridando "OH MIO DIO!!!". Mi spiego...

    Il dato di fatto e' che skype stessa collabora con i governi per fornire quanto necessario al wiretapping.

    La germania non e' arrivata prima, e l'italia non e' l'ultimaSorride, in questa macabra corsa, dove non c'e' competizione.

    Cito la policy di skype:

    Please be informed that, notwithstanding the abovementioned, in the event of a designated authority lawfully requesting Skype or Skype’s local partner to retain and provide personal data, communications content and/or traffic data, Skype and/or its local partner will provide all reasonable assistance and information to fulfil this request.


    "all reasonable assistance and information tu fulfil this request"

    Quanto sopra, riassunto in termini semplicistici, significa che skype "ti da' una mano" se sei un governo e vuoi intercettare il traffico. E' naturale che funzioni cosi. Non potrebbe fare altrimenti e non puo' rifiutarsi di farlo.

    Ora vorrei lanciare un messaggio a tutti questi che si riempiono la bocca nel forum con parole come Crittografia, DRM, TC, Closed Source etc....

    sappiate che voi siete gli unici fautori della sicurezza delle vostre comunicazioni.

    ...usate la crittografia nell'uso di tutti i giorni, e assicuratevi di trustare i vostri end-point.

    Non ha senso pensare di essere sicuri "perche' tanto skype usa la crittografia", se sapete che la sessione l'avete negoziata col server skype e non con il vostro end-point, e che c'e' lui che ha in carico il layer crittografico (tutto closed tra l'altro). Marco Andrea Calamari (scusa se ti cito) si SVENA IN CONTINUAZIONE per far capire questo genere di cose.

    Cosa diranno quelli che non hanno nulla da nascondere, quando perderanno il diritto di poterlo fare?


    Saluti,
    giobbe


    rif:
    http://www.skype.com/intl/en/legal/privacy/general/
    non+autenticato
  • Grazie per la precisazione,

    Tuttavia direi che l'aspetto centrale della notizia riportata da Heise, oltre all'intercettazione di Skype, è il programma di monitoraggio complessivo delle comunicazioni che avrebbe avviato il governo austriaco.

    E non mi pare poco.Occhiolino

    Un saluto,
    Luca
  • come da copione: chi ha in mano (skype) le chiavi di crittografia ha in mano il potere assoluto...

    piano, piano, sull'onda dei DRM, il TC (Trusted Computing) arriverà dappertutto (cellulari, pc, notebook, palmari, foto/videocamere, memorie usb, TV, ecc. ecc. ecc. ogni e qualsiasi dispositivo elettronico...

    il TC funziona con un chip (hardware), essenziale al funzionamento del dispositivo, che decide cosa/come il sistema fa, e cosa l'utente può fare...

    il TC funziona con chiavi di crittografia forte gestite dal chip, ovvero dal produttore e/o da quelli a cui il produttore dà le chiavi...

    quando ci sarà su PI un articolo su come il TC (ossia quelli che avranno le chiavi "del mondo") abbia preso il completo sopravvento su tutto e su tutti... sarà troppo tardi...

    altro che skype

    http://en.wikipedia.org/wiki/Trusted_computing
    http://it.wikipedia.org/wiki/Trusted_computing
    http://www.no1984.org/
    http://www.no1984.org/Dettagli_sul_Trusted_Computi...
    http://www.eff.org/issues/trusted-computing
    http://www.gnu.org/philosophy/can-you-trust.html
    http://www.schneier.com/blog/archives/2006/05/who_...
    http://drm.info/
    http://www.lafkon.net/tc/
    non+autenticato
  • [...]
    > quando ci sarà su PI un articolo su come il TC
    > (ossia quelli che avranno le chiavi "del mondo")
    > abbia preso il completo sopravvento su tutto e su
    > tutti... sarà troppo
    > tardi...

    a parte che sei OT, comunque PI parla da anni di TC..basta fare qualche ricerca..per evitare figure del cavolo
    non+autenticato
  • - Scritto da: marco
    > [...]
    > > quando ci sarà su PI un articolo su come il TC
    > > (ossia quelli che avranno le chiavi "del mondo")
    > > abbia preso il completo sopravvento su tutto e
    > su
    > > tutti... sarà troppo
    > > tardi...
    >
    > a parte che sei OT,

    non vedo proprio perché

    > comunque PI parla da anni di
    > TC..

    ne parla sì... ma tenendosi "neutrale"...
    un articolo nel senso di cui dicevo non c'è mai stato

    > basta fare qualche ricerca..per evitare
    > figure del
    > cavolo

    si... basta anche solo leggere meglio i post degli altri
    non+autenticato
  • Non ho capito perchè tirare in ballo backdoor, vulnerabilità (che come tutti i programmi di questo mondo skype avrà) o chissà cosa. Skype sarà pure cifrato, ma non mi sembra di aver generato una chiave che custodisco al sicuro con password come ho fatto per gpg.

    Quando si inizia una sessione skype genera delle chiavi per cifrare il traffico, queste chiavi quindi le ha skype. Se si vuole intercettare qualcuno si registra tutto dal provider e poi si chiedono le chiavi a skype.
    non+autenticato
  • - Scritto da: kjg
    > Non ho capito perchè tirare in ballo backdoor,
    > vulnerabilità (che come tutti i programmi di
    > questo mondo skype avrà) o chissà cosa. Skype
    > sarà pure cifrato, ma non mi sembra di aver
    > generato una chiave che custodisco al sicuro con
    > password come ho fatto per
    > gpg.
    >
    > Quando si inizia una sessione skype genera delle
    > chiavi per cifrare il traffico, queste chiavi
    > quindi le ha skype. Se si vuole intercettare
    > qualcuno si registra tutto dal provider e poi si
    > chiedono le chiavi a
    > skype.

    E chi fa sicurezza perde tempo vero? Chi la studia, progetta, crea...chi la implementa dentro i programmi...basta una registratina al traffico no?!

    La gente ne sa così poco ma parla così tanto!
    non+autenticato
  • - Scritto da: Mr.God
    > - Scritto da: kjg
    > > Non ho capito perchè tirare in ballo backdoor,
    > > vulnerabilità (che come tutti i programmi di
    > > questo mondo skype avrà) o chissà cosa. Skype
    > > sarà pure cifrato, ma non mi sembra di aver
    > > generato una chiave che custodisco al sicuro con
    > > password come ho fatto per
    > > gpg.
    > >
    > > Quando si inizia una sessione skype genera delle
    > > chiavi per cifrare il traffico, queste chiavi
    > > quindi le ha skype.

    Non c'è bisogno che skype abbia niente, vengono scambiate solo le chiavi pubbliche.
    Tu col gpg custodisci una chiave non per criptare (per questo basterebbe generare una chiave nuova ogni volta) ma per essere identificato, cioè per firmare.
    Ciao
  • - Scritto da: kjg
    > Non ho capito perchè tirare in ballo backdoor,

    Perche' un tribunale tedesco deve poter disporre della collaborazione di un infrastruttura non di quel paese. L'"infrastruttura" di skype rende impossibile fare quello che si fa normalmente con gli operatori locali, da qui l'idea della backdoor. Ovviamente come cita l'articolo se un paese ottiene la collaborazione dell'azienda la backdoor non serve.
    non+autenticato
  • >L'"infrastruttura" di skype rende
    > impossibile fare quello che si fa normalmente con
    > gli operatori locali, da qui l'idea della
    > backdoor. Ovviamente come cita l'articolo se un
    > paese ottiene la collaborazione dell'azienda la
    > backdoor non
    > serve.

    Ma che cavolo stai dicendo? Quali sono le tue fonti?

    TROLL
    non+autenticato
  • - Scritto da: anonimo
    > >L'"infrastruttura" di skype rende
    > > impossibile fare quello che si fa normalmente
    > con
    > > gli operatori locali, da qui l'idea della
    > > backdoor. Ovviamente come cita l'articolo se un
    > > paese ottiene la collaborazione dell'azienda la
    > > backdoor non
    > > serve.
    >
    > Ma che cavolo stai dicendo? Quali sono le tue
    > fonti?
    >
    > TROLL

    ? Capisco che il caldo di questi giorni possa avere degli effetti sulle persone, ma alle 00:21 ormai dovrebbe essere passato. Nonostante cio' ti porto a riflettere su un paradigma generale, indipendente dall'oggetto in discussione (skype).
    Un' azienda implementa un sistema voip organizzando un cluster di server che costituiscono la sua infrastruttura, infrastruttura che usa internet come media. Il tuo client voip per quel servizio usa detti server localizzati geograficamente su un paese terzo, diverso cioe' dal tuo e da quello di un altro utente di quel servizio che tu stai contattando. A questo punto un inquirente del tuo paese ha bisogno di intercettare le tue conversazioni, ma non puo' farlo mediante un ingiunzione all'operratore locale che ti fornisce la connessione internet, e questo perche' il canale voip, pur passando su quel media, e' criptato. Per intercettarti l'inquirente deve ottenere tramite rogatoria internazionale l'accesso alle chiavi che gli consentono di decrittare il traffico sniffato(offuscamento o non offuscamento). Qualora questo percorso non sia praticabile, l'inquirente si pone il problema di avere un alternativa, senza la quale l'intercettazione non e' evidentemente possibile. Puo' darsi che tecnicamente ci siano delle lacune o inesattezze in quello che ho scritto, in caso contrario...

    hola
    non+autenticato
  • Se non voglio farmi ascoltare, è vero ti "possono" ascoltare tutti (e pochi la possiedono/la sanno usare), ma visto la larghezza di banda a disposizione (1.8->1200 Mhz da 160 metri ai 23 cm e oltre) e le emissioni disponibili (comprese le digitali anche criptate (non è lecito in teoria il criptato però...) oltre che la fonia (anch'essa criptata volendo) in am/fm/ssb), e soprattutto il fatto che a nessuno viene in mente di intercettare le emissione cosiddette radiantistiche, mi sembra un mezzo più sicuro.

    Ps. io non uso la radio per fare il delinquente o per non essere intercettato, sono radioamatore con regolare licenza ormai da 20 anni, ma mi stupisco di come con mezzi semplici come quelli marconiani, si possano eludere dei mega sistemi di sorveglianza elettronica.
    E' un pò come usare i "pizzini" nell'era di Matrix.
    Ma forse è meglio così, almeno ci lasciano esercitare in pace il nostro amato hobby.
    non+autenticato
  • - Scritto da: Usavich
    > Se non voglio farmi ascoltare, è vero ti
    > "possono" ascoltare tutti (e pochi la
    > possiedono/la sanno usare), ma visto la larghezza
    > di banda a disposizione (1.8->1200 Mhz da 160
    > metri ai 23 cm e oltre) e le emissioni
    > disponibili (comprese le digitali anche criptate
    > (non è lecito in teoria il criptato però...)

    Ma tu stai maluccio.... Hai mai sentito parlare di scanner ???

    > oltre che la fonia (anch'essa criptata volendo)
    > in am/fm/ssb), e soprattutto il fatto che a
    > nessuno viene in mente di intercettare le
    > emissione cosiddette radiantistiche
    Proprio perché si sa quali sono le frequenze, sono ascoltatissime da radioamatori e non..
    , mi sembra un
    > mezzo più
    > sicuro.

    Ribadisco stai maluccio..

    > Ps. io non uso la radio per fare il delinquente o
    > per non essere intercettato, sono radioamatore
    > con regolare licenza ormai da 20 anni, ma mi
    > stupisco di come con mezzi semplici come quelli
    > marconiani, si possano eludere dei mega sistemi
    > di sorveglianza
    > elettronica.

    Ma che.... Sei come un libro aperto...

    > E' un pò come usare i "pizzini" nell'era di
    > Matrix.
    > Ma forse è meglio così, almeno ci lasciano
    > esercitare in pace il nostro amato
    > hobby.

    Rifletti..... 73's


    DOG
    non+autenticato
  • Se il codice e' chiuso non saprai mai se il sistema e' sicuro o meno o se e' stato costruito per permettere ai dati di prendere altre strade da quelle che tu vorresti.

    La questione e' tutta qui.
    non+autenticato
  • Peccato però che con l'OPEN (quindi codici sorgenti in mano) sia decisamente più facile fare la procedura inversa e decriptare i dati.
    Non sto dicendo che sia SEMPLICE, però lo è decisamente di più che non avere la minima alba di che tipo di protocollo/compressione/criptazione usi.

    Qualcosa è meglio di niente...
    non+autenticato
  • - Scritto da: Antony
    > Peccato però che con l'OPEN (quindi codici
    > sorgenti in mano) sia decisamente più facile fare
    > la procedura inversa e decriptare i dati.
    > Non sto dicendo che sia SEMPLICE, però lo è
    > decisamente di più che non avere la minima alba
    > di che tipo di protocollo/compressione/criptazione
    > usi.

    Si usano protocolli standard, conosci qualche baco recente a riguardo ?

    > Qualcosa è meglio di niente...
    krane
    22544
  • Da quel che so non basta conoscere l'algoritmo usato per la crittografia, per riuscire a ricostruire i dati.

    Anche perche' gli algoritmi sono conosciuti un po' da tutti (ad es. https).

    La questione qui e' che non sei piu' sicuro che i dati viaggino su canali paralleli, uno crittato e uno in chiaro per la polizia.
  • Mi sa che tu non ne sia un bel niente di crittografia...
    non serve a niente conoscere l'algoritomo, se l'algoritmo
    non ha buchi e i recenti non ne hanno(o non se ne conoscono), l'unico modo(a parte il tempo infinito) per decrittare un messaggio e' conoscere le chiavi.
    non+autenticato
  • Assolutamente corretto.
    E' la struttura matematica dell'algoritmo che lo rende reversibile con estrema difficoltà senza conoscere le chiavi. Ed in ogni caso "qualcosa" non è meglio di niente, perché nel primo caso non ha certezza alcuna sull'affidabilità dello strumento che usi, mentre nel secondo sei assolutamente certo che non vada utilizzato quando la riservatezza è importanteOcchiolino
    non+autenticato
  • - Scritto da: WTF

    > Mi sa che tu non ne sia un bel niente di
    > crittografia...
    > non serve a niente conoscere l'algoritomo, se
    > l'algoritmo
    > non ha buchi e i recenti non ne hanno(o non se ne
    > conoscono), l'unico modo(a parte il tempo
    > infinito) per decrittare un messaggio e'
    > conoscere le
    > chiavi.

    E' quel che ha detto infatti...

    "...Da quel che so non basta conoscere l'algoritmo usato per la crittografia, per riuscire a ricostruire i dati..."
  • - Scritto da: -Mc-
    > Da quel che so non basta conoscere l'algoritmo
    > usato per la crittografia, per riuscire a
    > ricostruire i
    > dati.
    >
    > Anche perche' gli algoritmi sono conosciuti un
    > po' da tutti (ad es.
    > https).
    >
    > La questione qui e' che non sei piu' sicuro che i
    > dati viaggino su canali paralleli, uno crittato e
    > uno in chiaro per la
    > polizia.

    studia crittografia prima di parlare..
    non+autenticato
  • Se è facile lo è sia per i malintenzionati sia per gli utenti /programmatori onesti, che si spera siano molti di più dei primi...
    Funz
    13017
  • - Scritto da: Antony
    > Peccato però che con l'OPEN (quindi codici
    > sorgenti in mano) sia decisamente più facile fare
    > la procedura inversa e decriptare i
    > dati.

    I maggiori esperti di crittografia sostengono che per stare veramente tranquilli sulla robustezza sistema l'algoritmo deve essere conosciuto, io che ne so molto meno preferisco attenermi alla opinione dominante in letteratura in merito (vd. Applied Criptography di Bruce Schneier).

    Inoltre sottolineo che anche a voler adottare la tua posizione i tuoi dati sono crittografati cosi' bene (ma comunque in genere io parlavo di closed) che non solo un possibile attaccante non sa cosa succede ma nemmeno tu, quiindi sei nelle mani dei programmatori, dei loro amici e degli amici degli amici. Spiacente ma io non mi fido, non firmo assegni in bianco a nessuno e uno che utilizza sistemi proprietari per la propria sicurezza è proprio quello che sta facendo.
    non+autenticato
  • - Scritto da: Antony
    > Peccato però che con l'OPEN (quindi codici
    > sorgenti in mano) sia decisamente più facile fare
    > la procedura inversa e decriptare i
    > dati.
    Non necessariamente vero
    Tra i crittografi esiste il detto che la sicurezza
    la si fa con gli algoritmi pubblici e non con l' oscurità degli stessi.
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 10 discussioni)