La versione del software Skype utilizzabile in Cina sarebbe sfruttata dal governo per spiare le conversazioni degli utenti e monitorare costantemente il flusso delle informazioni. È quanto sostiene Jeffrey Knockel, un accademico dell’Università del New Mexico che ha posto sotto la lente il comportamento del client Skype sul territorio cinese.
La release di Skype che viene puntualmente aggiornata ed arricchita da parte della società ora di proprietà di Microsoft non può essere impiegata in Cina per via dell’atteggiamento censorio delle autorità. Così, l’unica possibilità per utilizzare Skype è installare ed impiegare la versione modificata da “TOM Online”, un provider Internet wireless con cui Microsoft ha stretto un accordo.
“TOM-Skype” viene descritta dalla stessa Microsoft come una versione modificata di Skype che rispetta totalmente le disposizioni normative vigenti in Cina.
Secondo Knockel, però, tale client favorirebbe le attività di monitoraggio da parte delle autorità cinesi che possono specificare una lista di parole chiave da tenere sotto controllo. In altre parole, ogniqualvolta l’utente di “TOM-Skype” digiti, nella chat testuale del programma, una frase contenente parole associate a termini solitamente usati dai dissidenti, riferibili a personalità governative, ad enti internazionali per la libertà di parola e così via, il programma consente al personale governativo di averne immedita segnalazione.
Knockel, insieme con i suoi collaboratori, ha spiegato nel dettaglio (vedere questo documento) il funzionamento del software sostenendo come sia ormai assimilabile ad una vera e propria piattaforma per il controllo delle comunicazione e per lo spionaggio di tutti i cittadini cinesi.
Il timore è che qualcosa di simile possa avvenire anche nel resto del mondo. Skype fa uso di un algoritmo attraverso il quale tutti i dati immessi all’interno del network vengono automaticamente crittografati. Alla base del processo di cifratura vi è l’impiego del noto algoritmo AES (Advanced Encryption Standard) a 256 bit e, quindi, un classico schema di crittografia asimmetrica. I server di Skype, infatti, detengono una chiave privata mentre la chiave pubblica viene distribuita ad ogni client collegato alla rete. In fase di registrazione di un account, il programma provvede a generare – sul sistema dell’utente – una coppia di chiavi privata-pubblica. La chiave privata e l’hash della password scelta dall’utente vengono conservati sul suo sistema. Il passo seguente consiste nell’instaurazione di una sessione di comunicazione cifrata AES 256 bit fra il sistema client ed il server Skype.
Per le varie comunicazioni il programma impiega la porta 80 in modo da non creare problemi a chi impiega, ad esempio, firewall aziendali. Le informazioni vengono tuttavia veicolate utilizzando un protocollo di comunicazione proprietario peer-to-peer.
Uno dei punti “strategici” alla base del funzionamento di Skype, consiste anche nell’usare la banda a disposizione sui sistemi degli utenti finali per veicolare parte delle comunicazioni attraverso la rete Skype stessa. In pratica, Skype sceglie – tra tutti gli utenti collegati – un insieme di essi che dispongano di una buona connessione a banda larga, di una CPU valida e non vincolati alla configurazione del firewall quindi assegna automaticamente loro il ruolo di “supernodo”: in questo modo la banda viene sfruttata dal network per veicolare altre comunicazioni VoIP.
Ed è proprio dall’architettura della rete Skype che derivava (almeno fino a qualche tempo fa) l’impraticabilità di un’eventuale attività di intercettazione. I dati scambiati tra i vari client sono infatti crittografati in modo trasparente per l’utente e possono seguire dei percorsi di fatto quasi casuali rendendone impossibile il recupero neppure dagli stessi amministratori della rete.
Il ricercatore Kostya Kortchinsky, attivissimo sul reverse engineering di Skype, ha recentemente dichiarato di aver scoperto come il numero dei supernodi sia sceso da 48.000 a circa 10.000. Kortchinsky sostiene che sia stata Microsoft, dopo l’avvenuta acquisizione di Skype, ad aver scelto di concentrare a sé la maggior parte dei supernodi che, secondo quanto rilevato, sarebbero macchine Linux in grado di gestire un gran numero di utenti contemporaneamente (circa 4.000 l’una). L’allestimento dei “megasupernodi” presso Microsoft, per stessa ammissione dei responsabili dell’azienda, sarebbe stato effettuato con il preciso scopo di migliorare le prestazioni della rete scongiurando incidenti come quello occorso tempo fa. Riducendo la “casualità” con cui vengono impiegati i supernodi, spiega Kortchinsky, e concentrando tali macchine presso Microsoft, però, l’azienda di Redmond potrebbe avere gioco molto più facile per “intercettare” le conversazioni.
Per Maksim Emm, direttore di Peak Systems, Microsoft avrebbe già aggiornato Skype integrandovi una tecnologia capace di rendere più semplici le attività di intercettazione. Così, le autorità governative potrebbero d’ora in avanti – ed è questa la valutazione comune a molti analisti – chiedere l’attivazione di una speciale login che permetterebbe il controllo privilegiato delle comunicazioni operate da sistemi desktop, notebook, smartphone, tablet e dispositivi mobili in generale.
La FSB russa, struttura che ha sostituito il KGB, stando alle dichiarazioni rilasciate, sembra molto ottimista giudicando Skype come una piattaforma che non fa più paura per la sicurezza del Paese. Così come sta accadendo in Francia (Skype è equiparabile ad un operatore telefonico?) anche il servizio segreto russo sta cercando di obbligare Skype all’iscrizione nel registro degli operatori telefonici. L’obiettivo è chiaro: Skype, in questo modo, sarebbe tenuto a conservare tutti i dati delle conversazioni degli utenti per un periodo pari ad almeno tre anni.