mercoledì 18 agosto 2010

Rivelato il segreto di Skype...!



Crolla un altro mito: la "sicurezza" di Skype, che finora era stata affidata al metodo security by obscurity (cioè "finché l'algoritmo resta segreto allora dovrebbe sicuro").

Le routine di base della "espansione RC4" di Skype (in sorgente C portabile e ricompilabile) sono già disponibili nella libreria CryptoLib, tipicamente disponibile su tutti i sistemi Unix; se qualcuno volesse scrivere qualche altro migliaio di linee di codice per sbroccare Skype e decodificarne flussi di traffico dati audio/video/chat, si può già accomodare. C'è anche l'elenco degli indirizzi IP dei server di Skype.

La crittografia di Skype utilizzava diversi protocolli: AES-256 sui server, tre varianti dell'RC4 tra i "super-nodi" e i client su PC, con un ulteriore ricodifica AES-256 sopra il flusso dati già codificato in RC4.

Due considerazioni:

1) era già noto da tempo che il traffico Skype non garantiva privacy assoluta, e che qualche governo (in primis USA) poteva già accedere al contenuto delle conversazioni Skype (per di più in automatico, quando sistemi di riconoscimento vocale rilevavano parole-chiave come "terrorismo" e affini);

2) la segretezza degli algoritmi di cifratura è paradossalmente un punto debole: quando un algoritmo è straconosciuto in tutto il mondo e tutto il mondo tenta per decenni di craccarlo senza riuscirci, allora vuol dire che è davvero sicuro. Quando invece un algoritmo è "segreto", può anche essere un segreto assai ben tenuto (come è stato per Skype), ma prima o poi qualcuno riesce a "reingegnerizzare" la procedura per decifrare (come hanno fatto i collaboratori della CryptoLib). E allora apriti cielo...

Nel sito web della libreria CryptoLib c'è anche una "Hall of Shame" (classifica della vergogna) dove si prendono in giro diverse aziende che ingenuamente vantano algoritmi supersegretissimi e superpotentissimi (che non sono stati craccati solo perché nessuno si è cimentato, in quanto non proteggono ancora banche o missili o prodotti diffusi in tutto il mondo).

Nessun commento:

Posta un commento