Avviso ai naviganti. La privacy su Skype fa acqua da tutte le parti. Ed il mito della sua impenetrabilità cola a picco. È tempo di abbandonare la nave?
Una settimana nell’occhio del ciclone per la l’azienda produttrice del software di telefonia VOIP (Voice over IP) più popolare al mondo. Skype, acquistata poco più di un anno fa da Microsoft per la cifra da capogiro di 8,5 miliardi di dollari, è finita al centro delle polemiche per aver siglato dei nuovi protocolli di collaborazione con le autorità di polizia statunitensi. Grazie al suo ausilio tecnico, l’FBI ed altre agenzie di intelligence si troverebbero ora nelle condizioni di entrare facilmente in possesso dei dati personali e delle conversazioni degli utenti. È quanto sostenuto da un articolo apparso sul Washignton Post pochi giorni fa.
Dubbi, segreti e bug nel codice
Quella del quotidiano statunitense è una notevole stoccata al mito dell’impenetrabilità di Skype. L’ennesima a dire la verità. Nata nel 2003, acquistata da Ebay nel 2005 e passata poi sotto l’ombrello di casa Redmon nel 2011, Skype era originariamente basata su un’efficace combinazione di crittografia forte e di un’architettura P2P decentralizzata. Fatto che rendeva l’intercettazione delle chiamate internet e delle sessioni di chat da parte delle autorità quantomeno complessa. Ma certo, non impossibile.
Già in passato infatti, alcuni documenti resi pubblici da Wikileaks avevano rivelato come la polizia tedesca avesse commissionato ad un’impresa privata la realizzazione di una sorta di “trojan di stato”: un software malevolo, dal costo economico proibitivo, il cui compito era precisamente quello di intercettare le comunicazioni degli utenti Skype. Una vicenda questa che aveva suscitato non poco clamore e che aveva attirato anche l’attenzione della Electronic Frontier Foundation (storica associazione statunitense per la difesa dei diritti e delle libertà digitali), immediatamente attivatasi per capire se anche l’FBI fosse dotato di simili strumenti di sorveglianza. Sempre l’EFF durante la primavera araba, aveva messo in guardia i rivoltosi nord africani dall’utilizzare Skype con troppa disinvoltura in caso di comunicazioni sensibili: già allora erano note diverse vulnerabilità nel software, tali da permettere l’intercettazione delle sessioni di chat da parte di soggetti terzi. Anche in Italia, durante le indagini sulla cosiddetta “P4”, gli investigatori avevano fatto ricorso a tecniche di intercettazione che avevano reso possibile la registrazione delle conversazioni dei soggetti coinvolti, traditi proprio dalla troppa fiducia risposta nel famoso software VOIP.
Ma la più grossa problematica legata alla sicurezza di Skype risiede da sempre in tre parole: security through obscurity (o sicurezza tramite segretezza). Tema da sempre caldissimo all’interno della comunità hacker mondiale, si tratta di un principio (più volte rivelatosi fallimentare in passato) secondo cui tenere segreto il funzionamento interno di un sistema lo renda più sicuro. Un modello di sicurezza adottato anche da Skype che, come è noto, è un programma proprietario, i cui codici sorgenti sono chiusi e non accessibili all’occhio attento degli esperti. Nessuno, a parte ovviamente l’azienda produttrice, sa davvero come funzioni il software e quale livello reale di sicurezza sia in grado di garantire.
Intercettazioni per tutti!
Quel che è invece certo è che le rivelazioni del Washington Post segnano un punto di svolta rispetto al passato. Se fino a questo momento la sorveglianza degli utenti che utilizzavano il servizio VOIP era demandata ad escamotage piuttosto complessi, mirati contro singoli o gruppi ristretti di utenti e la cui realizzazione poteva richiedere un notevole dispendio di risorse dal punto di vista economico, ora lo stato dell’arte dell’intercettazione sembra aver voltato pagina.
E le notizie di questi ultimi giorni appaiono come una conferma dei rumors che si rincorrevano in rete già da diverso tempo. O almeno da maggio, quando il il ricercatore Kostya Kortchinsky ha pubblicato sul suo blog i risultati di un’indagine effettuata sull’infrastruttura del network di comunicazione VOIP. Dall’analisi dell’esperto di sicurezza è emerso come negli ultimi mesi i connotati della rete Skype abbiano subito profonde modifiche: il design P2P di un tempo ha lasciato il passo ad un’architettura centralizzata, in cui le comunicazioni degli utenti sono smistate da un numero sempre minore di “supernodi”, direttamente in mano ai gestori del network. Ovvero Microsoft: un nome che certo non è sinonimo di tutela della privacy o delle libertà digitali degli utenti.
L’eccezione che conferma la regola
Dopo il polverone sollevato dal quotidiano statunitense, la replica dell’azienda è arrivata a stretto giro dalle colonne del suo blog. Affidata ad un articolo firmato da Mark Gillet, Chief Development and Operations Officer, la versione ufficiale della compagnia smentisce che la ristrutturazione tecnica del network di Skype sia stata posta in essere per motivi di sorveglianza. Al contrario, si tratterebbe di una misura realizzata per migliorare l’esperienza degli utenti e che in nessun modo «facilita le intercettazioni, né aumenta l’accondiscendenza di Skype nei confronti di eventuali richieste da parte di organi di sicurezza». L’unica eccezione, chiosa Gillet, è rappresentata dalla Cina dove la legge impone il filtraggio delle comunicazioni. Ma proprio questo passaggio del comunicato sembra esserne il punto debole. Non è chiaro infatti che cosa dovrebbe impedire a tali eccezioni di moltiplicarsi – siano esse dichiarate o meno, legali o illegali – anche ad altre latitudini. Una preoccupazione condivisa anche da Tamir Israel, avvocato e docente di politiche di internet presso l’Università di Ottawa in Canada. Commentando le possibili ricadute dell’ultima mossa di Skype, Tamir ha dichiarato : «Se tali back door venissero implementato da Skype in Canada e negli Stati Uniti, allora probabilmente saranno implementate in tutto il mondo». La “sicurezza nazionale”, si sa, è un argomento valido per tutte le stagioni e per tutti i regimi politici. Non passerà probabilmente troppo tempo prima che altri governi si presentino alla corte di Steve Ballmer per accampare a loro volta pretese di sorveglianza. E Microsoft avrà tutto l’interesse ad accontentarli. E, perché no, a farci affari insieme.
I precedenti
Va detto che la mossa di Skype si inserisce in un trend, consolidatosi da diversi anni, che vede le multinazionali dell’ICT uniformarsi alle legislazioni dei paesi in cui operano – e spesso fornire tecnologie di controllo ai governi locali – pur di ottenere tutela giuridica e mantenere salda la propria presenza all’interno di mercati considerati come strategici. E questo a maggior ragione se la multinazionale in questione si chiama Microsoft e da sempre coltiva rapporti privilegiati con Washington. Ma la collaborazione di Skype con i man in black del bureau non è il primo caso di cyber-repressione salito agli altari della cronaca (e, temiamo, non sarà l’ultimo). Era già successo in passato alla RIM in occasione dei London Riots dell’agosto 2011 e prima ancora nel 2010, quando l’azienda canadese aveva offerto la propria collaborazione all’Arabia Saudita, consegnandole i PIN ed i codici dei BlackBerry registrati all’interno dei propri confini nazionali. E solo pochi giorni prima che il caso Skype scoppiasse, era stato Facebook ad essere investito dalla bufera: pietra dello scandalo in quella circostanza un algoritmo segreto, recentemente adottato dal social network in blu, il cui compito è quello di scandagliare ed archiviare le conversazioni di milioni di utenti. La bontà di questa misura di controllo sarebbe dimostrata, secondo Repubblica, dal fatto che «almeno un pedofilo sia stato identificato e bloccato grazie all’intervento dell’algoritmo». Motivazione non dissimile da quella addotta dalla dirigenza Skype («Misura necessaria per contrastare l’Islam radicale»). Pedofilia e terrorismo dunque: da dieci anni a questa parte, due buzzword tra le più gettonate per addomesticare un’opinione pubblica internazionale inebetita un clima di emergenza infinita. A cui oggi viene presentato il conto. E da pagare c’è un prezzo inaccettabile: la sistematica violazione della privacy e delle libertà di centinaia di milioni di utenti.
Software update in progress… please, don’t wait!
“It’s time for Skype”. Così recitava lo slogan dell’ultima campagna di marketing lanciata solo un paio di mesi fa dalla divisione VOIP di Microsoft. Ed in effetti si, è vero. Anche per Skype è arrivato il tempo di dismettere quell’ultimo impalpabile brandello di ethos libertario dei primordi per vestire i panni del grande fratello.
Ma verrebbe da dire che è anche l’ora di cominciare a praticare alternative con cui mantenere un certo controllo sui propri dati personali. Se è vero che Skype ha ormai raggiunto una massa critica, tale da renderlo (almeno per ora) un servizio insostituibile nella nostra comunicazione quotidiana, è altrettanto vero che non mancano le opzioni per quanti desiderino mettersi al riparo dall’occhio elettronico di multinazionali e governi impiccioni. L’espansione del mercato degli smartphone segna sicuramente lo zenith di un’epoca ben descritta dal motto “Privacy? You can have zero privacy!”. Ma allo stesso tempo sembra aver ridato nuova linfa ai propositi cypherpunk di coloro che ambiscono ad escogitare soluzioni efficaci per aggirare le maglie, sempre più strette, del controllo in rete. Un esempio? Guardian Project, una comunità di hacker ed esperti di sicurezza il cui obbiettivo è quello di «creare applicazioni e firmware open source modificato per telefoni commerciali, che possano essere usati in tutto il mondo, da chiunque voglia proteggere le proprie comunicazioni ed i propri dati personali da intrusioni e monitoraggi ingiustificati».
A buon intenditor poche parole… purché siano criptate!
Approfondimenti
- Skype makes chats and user data more available to police: l’articolo del Washington Post
- Microsoft – Skype, ultima chiamata per il mobile: sull’acquisizione di Skype da parte di Microsoft
- Have German cops commissioned Skype-hacking Trojan? : i cybercop tedeschi alle prese con Skype
- Skype and SSL Interception letters – Bavaria – Digitask : Wikileaks 1
- Skype and the Bavarian trojan in the middle : Wikileaks 2
- Skype surveillance: il dossier dell’EFF sul monitoraggio di Skype da parte dell’FBI
- Autodifesa internazionale contro la sorveglianza: il manuale di difesa digitale diffuso dalla EFF durante la primavera araba e tradotto da Autistici/Inventati.
- Sicurezza tramite segretezza: una breve spiegazione
- Skype apre alla intercettazioni? : un ottimo ed accessibile articolo tecnico di Corrado Giustozzi
- Skype does away with random supernodes : l’articolo di Kostya Kortchinsky
- #UKriot! Cyberinsorti ed hacker contro la polizia diffusa: la collaborazione di RIM con le autorità britanniche durante i London Riot dell’agosto 2011
- What does Skype architecture do? : la replica di Skype all’articolo apparso sul Washington Post
- GuardianProject.info: il sito di Guardian Project
#1 di Florian il Agosto 11, 2012 - 6:34 pm
Interessante, i progetti di questo Guardian Project me li guarderò.
Una cosa che secondo me potreste fare al giorno d’ oggi e di cui forse il web sente la necessità è non tanto l’ ennesimo (ma importantissimo) allarme sulle minacce quotidiane alla privacy, ma portare qualche contributo a livello teorico sul sostegno di questo diritto individuale.
So che può sembrare anche una questione banale, forse per chi questi temi li tratta periodicamente, ma a livello generale credo che non farebbe male un’ analisi sull’ importanza dell’ anonimato oggi, come pratica sia individuale che collettiva. Così, anche un pò per rispondere “una volte per tutte” ai “ma se non fai nulla di male cos’ hai da nascondere?” 😛