Luca Annunziata

Skype intercetta tutto, ma anche no

Dalla Germania parte un tam tam che pone l'attenzione su alcune strane pratiche rilevate nel client del servizio VoIP. Microsoft è andata troppo oltre? Non esattamente

Roma - "Microsoft legge tutto quello che scrivi": con questo titolo ad effetto, The H la scorsa settimana aveva lanciato quello che a tutti gli effetti era un sasso nello stagno degli scoop. Ovvero, Skype intercetta e invia a Microsoft ogni URL contenuta in una conversazione testuale avviata nel software in questione: ce ne sarebbe abbastanza per gridare alla invasione della privacy via intercettazione sistematica delle conversazioni. Ma il fenomeno, che è stato confermato da più parti, va spiegato per essere compreso appieno.

Alla richiesta di The H di chiarimenti, Skype ha risposto citando un paragrafo delle proprie condizioni d'uso:
Skype may use automated scanning within Instant Messages and SMS to (a) identify suspected spam and/or (b) identify URLs that have been previously flagged as spam, fraud, or phishing links
Ovvero, il servizio di messaggistica interno (così come gli SMS inviati tramite la piattaforma) possono essere controllati per verificare che non contengano spam o indirizzi che puntino a pagine pericolose (phishing). Quando si inserisce un URL nella casella di testo, come ha potuto verificare The H, si attiva questo meccanismo: la questione, appurato che si tratta di un comportamento noto, ruota attorno semmai alle modalità con cui ciò accada.

Secondo la testata tedesca, il fatto che vengano tracciati solo gli indirizzi HTTPS e a distanza di ore da quando sono stati postati non depone molto bene ai fini della trasparenza. Tanto vale rispolverare "vecchie" polemiche su Skype, nate soprattutto dopo l'acquisizione da parte di Microsoft e relative al cambio di architettura a cui è andato incontro il servizio VoIP e che Redmond ha già cercato di dissipare in passato. A gennaio era stata anche pubblicata una lettera aperta, firmata da molti individui e organizzazioni che da anni si battono per la privacy in Rete, che chiedeva maggiori dettagli sulle tecniche e le policy adottate per quanto riguarda le comunicazioni via Skype.
La questione ruota anche attorno alla natura stessa di Skype come azienda: in passato si era dibattuto sulla necessità, dopo l'arrivo di Microsoft, di adottare nuovi protocolli per garantire il rispetto delle leggi statunitensi, con tutto ciò che questo comporta sotto il profilo dell'aggressività delle forze dell'ordine USA rispetto alla riservatezza delle comunicazioni personali dei cittadini. Polemiche che non hanno mancato di coinvolgere, negli anni, anche Google e altre aziende che operano in Rete.

Sulla faccenda specifica, le conclusioni a cui giunge ZDnet sono opposte a quelle tratte da The H: non c'è niente di cui preoccuparsi, il servizio si comporta esattamente come ci si aspetterebbe, ovvero cercando di verificare URL sconosciute o potenzialmente problematiche senza per questo intrufolarsi troppo in profondità nelle conversazioni private.

Quanto, infine, alla questione sulla cifratura delle conversazioni: se è vero che Skype incorpora un sistema di cifratura di tipo AES-256, quest'ultimo serve a garantire la comunicazione end-to-end tra gli utenti, non la possibilità per l'intermediario di verificare le informazioni che transitano sui propri sistemi. In altre parole, esiste un problema di percezione da parte degli utenti del reale scopo della cifratura delle conversazioni su Skype: se si è in cerca di un sistema di comunicazione a prova di intercettazione esistono mezzi più adeguati allo scopo, mentre Microsoft (come molti altri operatori) adotta formule automatiche di controllo dei messaggi allo scopo di evitare abusi nel proprio network.

Luca Annunziata
87 Commenti alla Notizia Skype intercetta tutto, ma anche no
Ordina
  • Ehi Luca, sei tu quel bel fico nell'avatar? InnamoratoInnamoratoInnamorato
    non+autenticato
  • mando foto autografate alle fan, scrivimi!
  • Io non uso nessun prodotto microsoft e nessun servizio di google.
    EPIC WIN!

    Tra google e microsoft è comunque più pericoloso l'estesissimo controllo che potrebbe fare (leggi: può e sicuramente fa...) google, piuttosto che quello della microsoft.
    non+autenticato
  • - Scritto da: Fai il login o Registrati
    > Io non uso nessun prodotto microsoft e nessun
    > servizio di
    > google.
    > EPIC WIN!
    Non sei collegato a internet?A bocca aperta
    non+autenticato
  • ssssh, non dirglielo!
  • - Scritto da: Luca Annunziata
    > ssssh, non dirglielo!

    Hai cambiato look? Con la lingua fuori
    non+autenticato
  • > Tra google e microsoft è comunque più pericoloso
    > l'estesissimo controllo che potrebbe fare (leggi:
    > può e sicuramente fa...) google, piuttosto che
    > quello della
    > microsoft.
    yes, google ti conta anche il numero dei respiri che fai in un giorno... ma nessun utonto pollo si lamenta...
    non+autenticato
  • - Scritto da: Basta Basta pirateria
    > > Tra google e microsoft è comunque più
    > pericoloso
    > > l'estesissimo controllo che potrebbe fare
    > (leggi:
    > > può e sicuramente fa...) google, piuttosto
    > che
    > > quello della
    > > microsoft.
    > yes, google ti conta anche il numero dei respiri
    > che fai in un giorno... ma nessun utonto pollo si
    > lamenta...

    Beh, la nuova kinect puo' contare le pulsazioni... Non so cosa sia meglio...
    krane
    22544
  • Tutto sommato hai fatto un buon compito.
    Mi permetto, eh:

    1-non lo dice ZDnet ma Ed Bott, che guardacaso con Microsoft ci vive:
    http://www.edbott.com/weblog/about-ed/
    Doh !Imbarazzato

    2-Google intercetta ? meh, perchè Hotmail e Bing siamo sicuri che sono così diversi ?

    3-Microsoft ha cambiato l'architettura di Skype, e ora usa 10000 supernodi linux, controllati direttamente da Microsoft, e col traffico Skype ora ci fa quello che vuole.
    http://arstechnica.com/business/news/2012/05/skype...
    Microsoft che usa Linux, how ironic, isn't it ?

    4- Come funziona il famigerato "SmartFilter" con delle URL private lo avete capito solo voi. Ma ora sappiamo che le URL con tanto di password sono finite nel database della Microsoft, conservate "for as long as is necessary". E tanti saluti ai polli che non leggono le 2000 righe delle Privacy Policy che sottoscrivono.

    5-Il governo USA vuole cambiare la legge CALEA per mettere backdoors obbligatorie dappertutto, quindi possiamo stare sereni che se passa la legge, tutti si dovranno adeguare. Questa vicenda in prospettiva è insignificante.

    Conclusioni: probabilmente è anche vero che Microsoft usa tutto ciò solo ai fini dello spam. Ma tutto ciò fa ribadire che di robaccia come Hotmail, Gmail, Office 365, Cloud, Facebook, social network vari, non ci si può fidare, perchè gli utenti non sono utenti, ma sono il prodotto. A bocca storta
    non+autenticato
  • non dimenticare il tuo casco di stagnola!
  • - Scritto da: Luca Annunziata
    > non dimenticare il tuo casco di stagnola!
    A bocca aperta
    non+autenticato
  • - Scritto da: Luca Annunziata
    > non dimenticare il tuo casco di stagnola!

    cercare di squalificare le argomentazioni altrui, facendo passare il tuo interlocutore per complottista, anzichè entrare nel merito di quanto affermato, è un comportamento poco degno di chi svolge attività di informazione e comunicazione (che sia iscritto all'albo o meno).
    non+autenticato
  • In effetti... comportamento non professionaleTriste

    1. E' una precisazione lecita.

    2. non so: non ho letto le policyA bocca aperta

    3. Chiaramente concentrando i supernodi (prima erano distribuiti) si hanno a disposizione le informazioni e le chiavi = tutti i dati in chiaro.
    Dov'é la cospirazione? E' una constatazione tecnica documentata.

    4. Riportate notizie date da altri. Le avete verificate? Mi permetto solo una osservazione sui titoli: "ma anche no"... si potrebbe evitare di usarlo?

    5. non so.

    Inoltre l'equazione "utenti = prodotto" é interessante.

    Insomma la "risposta" di una riga é degna di essere segnalata e cassata come "non pertinente".
  • stai forse sostenendo che un prodotto closed source quale skype, gestito da un'azienda che è sul mercato per profitto, e che deve sottostare alle leggi dello stato in cui è "incorporata", DEBBA garantire anonimato e inviolabilità?

    ciao, mi chiamo TOR, forse vi ricorderete di me come la rete a cipolla
  • Era o no closed source anche prima di diventare proprietá M$?
  • certo che era closed, sempre stato closed che io ricordi
  • E infatti... Skype prima di essere "incorporata" in un'azienda USA, nonostante fosse "chiuso", con il sistema di supernodi distribuiti garantiva una estrema difficoltá nelle intercettazioni.
    Direi praticamente impossibile, ovvero, non ci si é mai riusciti. (Tanto che alcune autoritá se ne erano lamentate, un po' come il Blackberry!)

    Quindi la M$ avrebbe potuto mantenere intatta la reputazione di un prodotto come Skype. Peccato, opportunitá sprecata.

    Se fossi un complottista direi che il governo ha spinto a M$ a comprare l'aziendina di VoIP. Ma su una cosa hai ragione: tutto in nome del profitto!

    In ogni caso se scrivi articoli per come te lo dice il tuo editore, allora capisco il tuo punto di vista. Se invece mantieni le tue idee e il tuo editore te le lascia pubblicare inalterate questo si chiama principio di libertá di pensiero! E tra profitto e pensiero, io preferisco...
    ...entrambi!A bocca aperta
  • - Scritto da: Luca Annunziata
    > cosa c'entra l'editore qui?

    > a ogni modo, per skype si parla di
    > intercettazioni da PRIMA
    > dell'acquisizione

    > 2008 ....
    > e nel 2012
    > http://punto-informatico.it/3624150/PI/News/german

    > devo continuare?

    Dai tuoi link sembra che solo i governi potessero intercettare chiedendo le chiavi a skype, aggiungerei questo link:

    http://www.mrwebmaster.it/news-video/anonymous-int...
    krane
    22544
  • Non credo che Skype ci spii in continuazione. Una ricerca portata avanti da Ars Technica, infatti, sottolinea per prima cosa il fatto che Microsoft non solo possiede gli strumenti per leggere e decifrare i messaggi, ma li utilizza anche in forma attiva, come tra l'altro si evince dalla politica sulla privacy da voi citata.
    L'ironico paradosso che a mio avvisio si è creato, riguarda le polemiche della stessa azienda Microsoft mosse nei confronti dei concorrenti, in primo luogo Google, relative, non a caso ad una presunta violazione della privacy delle mail.
    Un aricolo a questo proposito: http://www.ma-no.org/it/content/index_attenzione-c...
    non+autenticato
  • - Scritto da: Silvia Mazzetta
    > Non credo che Skype ci spii in continuazione. Una
    > ricerca portata avanti da Ars Technica, infatti,
    > sottolinea per prima cosa il fatto che Microsoft
    > non solo possiede gli strumenti per leggere e
    > decifrare i messaggi, ma li utilizza anche in
    > forma attiva, come tra l'altro si evince dalla
    > politica sulla privacy da voi
    > citata.
    > L'ironico paradosso che a mio avvisio si è
    > creato, riguarda le polemiche della stessa
    > azienda Microsoft mosse nei confronti dei
    > concorrenti, in primo luogo Google, relative, non
    > a caso ad una presunta violazione della privacy
    > delle
    > mail.
    > Un aricolo a questo proposito:
    > http://www.ma-no.org/it/content/index_attenzione-c

    Confermo il paradosso! Del resto, che garanzia di privacy ci si può aspettare da sistemi closed, tanto più se passano per le mani di M$?

    La garanzia di vera privacy non si otterrà mai con regole di crittografia decise da altri e per di più utilizzate pubblicamente in rete da cani e altri animali meno nobili.

    Volete la vera privacy? inventatevi un sistema di trascodifica anche banale, ma NUOVO, non usato da altri che da voi e da chi con voi comunica!

    A titolo di esempio, per comunicazioni in viva voce occorrerebbe un apparecchietto HW che spezzetti il flusso audio in pacchetti di pochi decimi di secondo alterandone la sequenza in funzione di una chiave che solo voi e l'interlocutore conoscete: chi riceve deve riordinare secondo la stessa regola, ovviamente sopportando il delay temporale necessario per la ricostruzione dei pacchetti maggiormente ritardati. Per comunicazione dati bastano poche istruzioni Assembler per fare analoga funzione a livello di singolo Byte (ogni Byte è un "pacchetto"), previa traslazione del singolo byte in altro secondo una tabella shiftata di un valore funzione della chiave stessa. La chiave in ambedue i casi potrebbe essere una parola convenuta a priori con una comunicazione in chiaro tra voi ed il vostro interlocutore remoto, ricavata da un episodio cui in passato solo voi e lui avete partecipato: potrebe essere ad esempio il nome della ragazza che gli avete presentato in quell'occasione...): in quella stessa comunicazione viene indicato il sistema di crittografia adottato, vocale o stringa dati che sia.
    non+autenticato
  • - Scritto da: rockroll
    > - Scritto da: Silvia Mazzetta
    > > Non credo che Skype ci spii in continuazione.
    > Una
    > > ricerca portata avanti da Ars Technica, infatti,
    > > sottolinea per prima cosa il fatto che Microsoft
    > > non solo possiede gli strumenti per leggere e
    > > decifrare i messaggi, ma li utilizza anche in
    > > forma attiva, come tra l'altro si evince dalla
    > > politica sulla privacy da voi
    > > citata.
    > > L'ironico paradosso che a mio avvisio si è
    > > creato, riguarda le polemiche della stessa
    > > azienda Microsoft mosse nei confronti dei
    > > concorrenti, in primo luogo Google, relative,
    > non
    > > a caso ad una presunta violazione della privacy
    > > delle
    > > mail.
    > > Un aricolo a questo proposito:
    > >
    > http://www.ma-no.org/it/content/index_attenzione-c
    >
    > Confermo il paradosso! Del resto, che garanzia di
    > privacy ci si può aspettare da sistemi closed,
    > tanto più se passano per le mani di
    > M$?
    >
    > La garanzia di vera privacy non si otterrà mai
    > con regole di crittografia decise da altri e per
    > di più utilizzate pubblicamente in rete da cani e
    > altri animali meno
    > nobili.
    >
    > Volete la vera privacy? inventatevi un sistema di
    > trascodifica anche banale, ma NUOVO, non usato da
    > altri che da voi e da chi con voi
    > comunica!
    >
    > A titolo di esempio, per comunicazioni in viva
    > voce occorrerebbe un apparecchietto HW che
    > spezzetti il flusso audio in pacchetti di pochi
    > decimi di secondo alterandone la sequenza in
    > funzione di una chiave che solo voi e
    > l'interlocutore conoscete: chi riceve deve
    > riordinare secondo la stessa regola, ovviamente
    > sopportando il delay temporale necessario per la
    > ricostruzione dei pacchetti maggiormente
    > ritardati. Per comunicazione dati bastano poche
    > istruzioni Assembler per fare analoga funzione a
    > livello di singolo Byte (ogni Byte è un
    > "pacchetto"), previa traslazione del singolo byte
    > in altro secondo una tabella shiftata di un
    > valore funzione della chiave stessa. La chiave in
    > ambedue i casi potrebbe essere una parola
    > convenuta a priori con una comunicazione in
    > chiaro tra voi ed il vostro interlocutore remoto,
    > ricavata da un episodio cui in passato solo voi e
    > lui avete partecipato: potrebe essere ad esempio
    > il nome della ragazza che gli avete presentato in
    > quell'occasione...): in quella stessa
    > comunicazione viene indicato il sistema di
    > crittografia adottato, vocale o stringa dati che
    > sia.
    >


    Stai descrivendo Pidgin + OTR.
    http://www.cypherpunks.ca/otr/
    krane
    22544