Skype, una crepa nel VoIP cifrato?

Un esperto di reverse engineering dichiara di essere in possesso del codice in grado di decifrare le comunicazioni che viaggiano sul network VoIP. Il dibattito infuria mentre Skype professa sicurezza e annuncia azioni legali
Un esperto di reverse engineering dichiara di essere in possesso del codice in grado di decifrare le comunicazioni che viaggiano sul network VoIP. Il dibattito infuria mentre Skype professa sicurezza e annuncia azioni legali

Sono anni che hacker, cracker e le autorità di tutte le parti del mondo hanno messo gli occhi sul sistema di protezione usato da Skype, il software di comunicazione che ha reso popolare la tecnologia VoIP . Un esperto di reverse engineering annuncia ora di essere in possesso delle “chiavi” dell’algoritmo di cifratura implementato nel programma , una versione modificata del ben noto algoritmo RC4 (usato in sistemi quali SSL per le sessioni HTTP e WEP per le reti wireless).

Il più importante segreto di Skype è stato finalmente rivelato, annuncia Sean O Neil sul suo blog (al momento irraggiungibile). Skype usa in effetti una serie di meccanismi di protezione per rendere sicuro l’accesso e l’uso del servizio, ma la versione “custom” di RC4 (su cui la società ha sempre mantenuto il più stretto riserbo) ha il compito di blindare il sancta sanctorum della piattaforma vale a dire le comunicazioni vere e proprie.

L’esperto mette le mani avanti e dice di essere stato spinto alla pubblicazione del codice in C capace di decodificare le comunicazioni su Skype perché in molti sono già attivamente impegnati ad abusare della piattaforma di VoIP e quindi tanto vale non lasciargli il vantaggio dell’iniziativa . L’esperto avrebbe provato a contattare Skype con risultati che lui stesso definisce come un “abuso” da parte dell’amministrazione della società.

Un uomo solo avrebbe dunque definitivamente scardinato un sistema di cifratura che molti altri – incluse organizzazioni militari e soggetti poco raccomandabili – stavano provando a battere da 10 anni a questa parte? Qui le cose tendono a complicarsi, e in attesa della dimostrazione completa di tutti i dettagli del suo lavoro in occasione del prossimo Chaos Communication Congress di Berlino, O Neil deve al momento fronteggiare lo scetticismo di chi parla di implementazione tutta da verificare e soprattutto la dura posizione di scontro assunta da Skype .

“Crediamo che il lavoro svolto da Sean O Neil, che noi sappiamo essere formalmente noto come Yaroslav Charnovsky – ha dichiarato la società – stia facilitando in maniera diretta gli attacchi di spam contro Skype e stiamo valutando le azioni legali da intraprendere. Anche se comprendiamo il desiderio di de-ingegnerizzare i nostri protocolli con l’intento di migliorarne la sicurezza, il lavoro fatto da questo individuo dimostra chiaramente l’opposto”.

“Skype ha investito pesantemente nella sicurezza e nella privacy del nostro software – chiosa la società – e siamo orgogliosi dell’alto livello di sicurezza che siamo in grado di offrire ai nostri clienti.” Skype era e continua a essere estremamente sicuro , dice la società, e la distribuzione di questo codice “non compromette in alcun modo questo fatto. Skype resta un metodo sicuro ed efficace di comunicazione globale e la società difenderà vigorosamente la propria sicurezza da tutte le minacce note”.

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

09 07 2010
Link copiato negli appunti