Skype è stato violato (?)
In questi giorni è apparsa la notizia che l’algoritmo di cifra che protegge le comunicazioni Skype è stato violato:
Un hacker annuncia di aver decifrato l’algoritmo RC4 che protegge la riservatezza delle comunicazioni.
Gli estremi si toccano: con l’intento dichiarato di migliorarne la sicurezza, un certo Sean O’Neil – forse lo pseudonimo del noto programmatore e cracker Yaroslav Charnovsky – ha rivelato sul blog EnRupt di essere finalmente riuscito a produrre una libreria in linguaggio C da utilizzare nella compilazione di software di terzi interessati.
Da “Zeusnews”
L’articolo originale in inglese è qui:
http://www.enrupt.com/index.php/2010/07/07/skype-biggest-secret-revealed
ed i sorgenti sono qui:
http://cryptolib.com/ciphers/skype
Qualche mia personalissima nota sparsa…
Protezione di un monopolio, non security
Lo stesso Sean O’Neil spiega molto bene di cosa si tratta effettivamente:
It’s an *obfuscation* layer. Its “security” was mere securing an impossibility for others to design Skype-compatible applications by making sure no one can encrypt or decrypt Skype packets without the algorithm we have published. That is why it was so heavily obfuscated inside Skype binaries, better protected than anything I’ve ever seen in my career – it was protecting Skype monopoly. Yes, it is a monopolstic tactic.
In buona sostanza, Skype usa questo sistema per offuscare il traffico prodotto dai suoi programmi e renderlo difficilmente riconoscibile. Questa tecnica viene usata per impedire ad altre aziende (ed al mondo Open Source) di produrre programmi compatibili con Skype, NON per proteggere le comunicazioni dei clienti. A quello provvede un normale stream cypher AES.
La sicurezza NON è compromessa
Sempre Sean spiega anche:
“This publication was not meant to harm Skype security. It doesn’t. On contrary. It will allow antivirus and firewall companies to add ability to scan Skype traffic for vulnerability exploits.”
“Our publication does not affect privacy of Skype calls, messages or file transfers. They are still encrypted with AES with 256-bit secret keys negotiated using 1024-bit RSA algorithm authenticated with a 2048-bit RSA key of the Skype server. It is all quite secure. Do not panic.”
Quindi, la sicurezza delle comunicazioni dei clienti Skype NON è compromessa. Lo stream di dati è ancora protetto, in modo estremamente efficace, da uno strato di cifra AES con chiavi a 256 bit e lo scambio delle chiavi è protetto a sua volta da uno strato RSA con chiavi a 1024 bit, autenticato sui server con chiavi a 2048 bit. Insomma: non c’è modo di crackare un “coso” del genere a forza bruta.
Non è tutta la storia
Nonostante quello che sostiene Sean in questo frammento:
“The published Skype RC4 IV expansion algorithm is ALL one needs to decrypt the traffic between Skype clients and supernodes. There is no key. I repeat, there is no secret key to break.”
NON è vero che bastino quei sorgenti per decifrare il traffico Skype. Infatti:
“The compression algorithm required to complete the decoding of Skype packets will be published in December this year at 27C3.”
Oltre a questo, ci vuol una bella quantità di tempo e di “manico” per mettere insieme un programma che possa essere effettivamente di qualche utilità.
Il materiale pubblicato sinora permette solo di dimostrare che il traffico Skype è inaccessibile anche e soprattutto a causa di questo strato di offuscamento, OLTRE che agli strati AES e RSA sottostanti, e che non sono coinvolte altre chiavi segrete (a parte quelle degli stream cypher sottostanti). Insomma, è solo una parte di tutta la storia, anche se la più importante.
Utile
Come fa notare Sean, la rivelazione di queste informazioni può essere molto utile:
“This publication was not meant to harm Skype security. It doesn’t. On contrary. It will allow antivirus and firewall companies to add ability to scan Skype traffic for vulnerability exploits.”
“Everyone’s ability to provide compatibility with other products is their legal right, at least according to the competition law. Skype will also benefit financially from all the network administrators no longer being afraid to use it on their networks because their firewall and antivirus software can finally see inside the packets and they can finally put it under control – monitor it, throttle it or even block it if necessary.”
Giustissimo:
- Finalmente il mondo Open Source potrà creare software compatibile con Skype.
- Finalmente sarà possibile riconoscere e gestire il traffico Skype sulle reti.
- Finalmente sarà possibile verificare il traffico Skype per intercettare eventuali minacce.
Insomma: ben venga.
Chissenefrega
Però, in fondo, chissenefrega. Io, personalmente, NON uso Skype (uso altra roba) e, se siete davvero interessati alla vostra sicurezza e riservatezza, non dovreste usarlo nemmeno voi. Per definizione, non si può essere sicuri di qualcosa che, a causa della sua natura chiusa e commerciale, non può essere esaminato e verificato.
Alessandro Bottoni
La foto è di OSDE ed è coperta da licenza CC. L’originale si trova qui:
Alessandro Bottoni 
Usi altra roba tipo Ekiga?
Si, anche Ekiga. In realtà, però, ho ben poche ragioni di usare Skype: per le chiamate nazionali ho una normalissima “flat” (insieme all’ADSL) e quindi non pago nulla in ogni caso. Per le (rare) chiamate internazionali uso callbuster (http://www.callbuster.eu/). A parte questo, lavoro “on the Net” e quindi quasi tutte le mie comunicazioni avvengono via email, via im o attraverso i server di sviluppo.
Interessante: così, conoscendo il protocollo di offuscamento, ANCHE i PROVIDER potranno limitare il traffico di Skype! Non mi sembra una grande bella trovata: pensateci. Ed invece cosa potrebbe interessare un software Open Source compatibile con Skype e perchè? Per quanto riguarda la sicurezza basta essere consapevoli di ciò che si sta usando ( e vale per TUTTO quello che si sta usando) .
Quello della net neutrality è un problema (serissimo) che va comunque affrontato e risolto sul piano politico e legislativo, non sul piano tecnico, diversamente si creano due categorie di applicazioni (e di utenti): quelli che, grazie a qualche artificio tecnico possono sfuggire ai filtri e quelli che non possono farlo.
Per quanto riguarda la creazione di un programma compatibile con Skype, credo che sia auspicabile per ovvie ragioni di lotta agli oligopoli.
Infine, sulla sicurezza posso solo essere d’accordo. Va però sottolineato che quando si mettono le proprie comunicazioni nelle mani di un sistema di cui non è possibile conoscere il reale funzionamento, in pratica si affida la propria privacy ad uno sconosicuto.