Si crede (a torto) che tutte le telefonate e videochiamate fatte con il VoIP siano criptate. Quando parliamo di VoIP dobbiamo citare il client più diffuso: Skype. Sull'argomento abbiamo prodotto un video esaustivo qui: PC/Mac audio sicuro.

Veniamo subito al dunque. In un articolo di "Panorama" del 23/08/2007, il fondatore della società HT - Hacking Team di Milano presenta il loro prodotto Cimex, un software da 100.000 dollari che "si insinua nei computer proprio come un virus ed è invisibile a tutti i programmi antivirus, anche i più sofisticati. Intercetta la telefonata prima che questa venga inviata sul web, la clona e la trasmette anche a chi è nella sala intercettazioni che la registra sull'hard disk".

Grazie a un giornale svizzero, veniamo a sapere che una società di nome ERA IT Solutions ha sviluppato un software, che verrà installato nel PC tramite il provider di internet. Una volta presente nella macchina, invia piccoli pacchetti dati all'azienda prima che la voce venga compressa, in modo invisibile per gli antivirus e il firewall. E può anche accendere da remoto il microfono per sorvegliare la stanza.

Ma veniamo a conoscenza anche del software tedesco, capace di dare la possibilità di intercettare le comunicazioni che passano attraverso i canali VoIP come Skype, nonchè la possibilità di controllare le comunicazioni sicure SSL trasmesse mediante Web (il famoso HTTPS con cui vi connettete alla vostra banca). Il software, prodotto da Digitask (v. articolo de "Il Giornale"), è un malware che una volta installato nel sistema operativo dell’utente da intercettare, permette di convogliare le chiamate VoIP verso un ufficio della Polizia senza che l’utente possa rendersene conto. Gli unici a guadagnarci sarebbe solo i proprietari della Digitask, che chiede circa 3.500 euro al mese per il sistema applicato al VoIP, mentre quello di controllo su SSL costa 2.500 euro al mese.

Tornando a Skype, l'azienda di sicurezza Network Box indica in un rapporto in che modo un'azienda può essere attaccata tramite Skype. Skype impiega un protocollo proprietario e riservato per ostacolare le intrusioni e non essere rilevato da firewall e altri strumenti di controllo del traffico di rete. In caso di compromissione, Skype potrebbe trasformarsi in una perfetta testa di ponte invisibile per l'intercettazione delle altre comunicazioni di qualunque struttura.

"La sicurezza del sistema Skype dipende per intero dalle buone intenzioni dei suoi programmatori e dall'organizzazione che tiene in funzione i server del back-end di Skype. Potrebbero esservi delle backdoor nel sistema, che permettono all'organizzazione di Skype - o ad altri - di intercettare le comunicazioni", dice il rapporto.

In merito al fatto che Skype potrebbe filtrare e/o intercettare le telefonate, giova ricordare che questo è già avvenuto in Cina e probabilmente avverrà presto anche in Italia.

Skype ha stabilito alcune fasi di continui aggiornamenti al software e ha scelto di mantenere riserbo sui suoi protocolli, il che rende difficile gestire e amministrare la sua presenza a livello centralizzato.

"Il programma di Skype utilizzato dai PC si può auto-aggiornare ogni volta che parte e ciò impedisce una vigilanza sistematica e mirata da parte di chi lo lascia usare. Inoltre, un qualsiasi errore in fase di aggiornamento può lasciare scoperte parti vulnerabili dell'applicazione", sostiene il rapporto.

Con riferimento all'ultimo "black-out" di Skype, il rapporto di Network Box conclude evidenziando che le aziende in condizione di fornire connettività Internet alla propria rete interna mediante proxy, in presenza di client Skype farebbero bene a considerare presente un alto grado di inaffidabilità e scarsa sicurezza, in confronto all'adozione di soluzioni VoIP standard su VPN.

Altre raccomandazioni, spesso lette in rete, comprendono l'essere attenti alla apparente legittima identità di alcuni contatti della ribrica Skype, all'uso di nomi di login per Skype che non coincidano con nessun nome di login in grado di utilizzare servizi interni alla rete e che non identifichino, comunque, in alcun modo l'azienda o la struttura presso la quale sono in uso. I timori sulla sicurezza di Skype non sono cosa nuova, in ogni caso, al punto che Skype ha cercato di affrontare il problema realizzando una "versione business" del suo prodotto, a proprio dire più semplice da gestire e da amministrare per gli amministratori di sistema e di rete.

Un altro articolo, stavolta su Computer World, sguaina la spada degli utenti sulle spiegazioni date da Skype in proposito del black-out: non convince, in particolare, il fatto che la rete sia collassata "a causa della massiva richiesta di login verificatasi dopo un considerevole numero di client che sarebbero ripartiti dopo un semplice Windows Update". Se fosse vero, significherebbe che un qualsiasi aggiornamento di Windows manda in black-out Skype? A voi le conclusioni.

Invece per molti la spiegazione sta in un codice, pubblicato dal programmatore russo Maranax Porex, in grado di mandare in tilt Skype. Vi rimando al seguente articolo che spiega nel dettaglio cosa potrebbe essere successo in realtà.

Insomma, la vostra riservatezza scivola sopra uno specchio.