Skype non è sicuro, Jitsi sì

Un’ultima cattiveria su Skype e poi basta… se non altro per una settimana (che poi io lo uso pure, Skype… e non mi piace, ma questo s’era capito).

Nel corso di una lunga conversazione, Jacob Appelbaum (per inquadrarlo sommariamente, diciamo che lavora per Tor) ha, tra le altre cose, sconsigliato di usare Skype, con una semplice spiegazione, che qui traduco rozzamente.

Se usi Skype su un computer che non hai mai usato prima, trovi la cronologia di tutte le tue conversazioni. Perché? Perché Skype l’ha, e se Skype può darla a te, può darla anche alla polizia, e lo faranno.

E non si tratta solo delle comunicazioni testuali, si può credere, dato che Microsoft, proprietaria di un brevetto per realizzare intercettazioni di conversazioni VOIP, rifiuta di dire se Skype è sicuro o meno.

L’alternativa? In attesa di WebRTC, per alcune funzioni di Skype, si può provare ad usare Jitsi (consigliato da Jacob Appelbaum). Lo uso da tempo, partendo con un pregiudizio positivo perché si tratta di un programma multipiattaforma: per me la recente versione 2.0 conferma il bene che ne pensavo.

27 Commenti

  1. Perché dovresti temere la polizia? Se temi la polizia, è probabile che le tue conversazioni non siano a rischio sicurezza, ma a rischio crimine. Se non temi la polizia, Skype è perfetto. Imho.

  2. forse vi manca un piccolo “la”:
    qualunque società è obbligata a consegnare alla polizia tutti i dati di un utente, se viene richiesto da un giudice.

    • Un richiamo senza dubbio importante, Andrea, ma impreciso, innanzi tutto perché non presta attenzione alla differenza tra intercettazione e consegna di dati relativi all’attività passata.
      Comunque ascolta l’estratto, e noterai ad esempio che viene segnalato come Twitter si distingua. Infine, dato che sei attento alla questione, leggi la pagina dedicata al tema dalla EFF e capirai quanto una società possa fare la differenza, di fronte ad un ordine dell’autorità giudiziaria, in tanti modi.

      https://www.eff.org/pages/when-government-comes-knocking-who-has-your-back

      D

  3. @Andrea: per tua informazione, se la società ha la sede legale all’estero, alla richiesta di informazioni del giudice italiota risponderà, in genere, con una sonora pernacchia; provare per credere!

  4. Prima di tutto sappi che dal momento in cui sei sulla madre delle reti non c’è niente di sicuro.

    Uso Skype da sempre e da qualche anno sono consapevole che non sia sicuro ma non ho nulla da nascondere e non vivo in Siria.
    Devo anche dire che da quando Skype è stato acquistato da Microsoft lo uso meno volentieri anche perché sono riusciti a castrare il programma con un’interfaccia meno intuitiva, introducendo qualche bug e a proporre la condivisione dello schermo, una volta gratuita, a pagamento.

    Comunque grazie per l’informazione, proverò Jitsi e vedremo cos’ha sotto il cofano, se mi convince lo adotto altrimenti cestino.

    Ciao.

  5. Bisogna prima mettersi d’accordo sul significato del termine “sicurezza”: a seconda del significato che ognuno attribuisce al termine, Skype può essere sicuro oppure no.
    Per chi non ha nulla da nascondere e ha fiducia nelle forze dell’ordine e nelle istituzioni in generale, Skype non presenta alcun problema di sicurezza. Addirittura per queste persone ben venga la circostanza che i dati possono essere forniti a chi di dovere, questo aspetto viene percepito come una vera sicurezza di Skype.
    Ripeto, bisogna essere a posto e riporre fiducia nel buon uso delle cose fatto da chi di dovere.

  6. Ma siamo proprio sicuri “Se usi Skype su un computer che non hai mai usato prima, trovi la cronologia di tutte le tue conversazioni. ”

    Io lo uso tra il computer ipad iphone.
    Esempio:
    Apro su iphone scrivo qualcosa.
    SPENGO su iphone.
    Ritorno al computer non trovo nulla di quanto scritto su iphone.
    ACCENDO su iphone e LASCIO ACCESO su computer e dopo qualche istante su computer arrivano messaggi iphone e su iphone quelli del computer.

    Deduco che forse quando i due o più sono collegati si sincronizzano poi nemmeno con tutta la cronologia forse vanno indietro di qualche giorno, settimana, mese.

    Poi con “…computer che non hai mai usato prima…” se è un mac è fai importa dati da utente si prende la cartella in Library/Application Support/Skype dove hai tutta la tua storia digitata. Tempo fa con una installazione da zero ricordo che dovetti spostarmi la cartella.

    Detto questo sicuramente terranno quanto scriviamo e parliamo ma secondo me non sono quei dati che si sincronizzano.

    ciaociao corrado

    • Sicuro non lo sono: confesso che non ho fatto la prova, ma considererei la fonte attendibile; in ogni caso gli strumenti di intercettazione messi a punto dall’interno esistono.

      D

    • Bello avere le idee chiare: però non dici cosa non ti è piaciuto!
      Comunque, gusti a parte e cifratura esclusa, Jitsi è tecnologicamente superiore grazie al codec Opus.

      D

  7. Pingback: Cryptocat ha un’applicazione per Mac | Signor D

    • questa sera mentre parlavo tra Inghilterra ed Italia ad un certo punto si è inserita una musicchetta strana con delle specie di versi registrati, ho avuto l’impressione che qualcuno voleva far sapere che stava ascoltando la comunicazione!!!
      vi è mai capitato?

      • L’intercettazione in tempo reale tramite Skype è una certezza. Sarei però molto sorpreso se l’intercettante avesse un microfono aperto. Al tempo stesso Google ha (aveva?) l’abitudine di farti accettare delle clausole quando accedevi ai suoi servizi dopo che era iniziata una sorveglianza personale su di te: il loro modo per allertarti, pare (ma non ritrovo più l’indirizzo).

        D

  8. Be’, per quelli che ancora si illudono che “chi di dovere” raccolga solo informazioni utili su ordine dell’autorita’, e poi usi sempre e solo le informazioni che raccoglie per fini assolutamente onesti, forse e’ meglio che si informino un po piu dettagliatamente su quante intercettazioni illegali AreaSpa, SioSpa e Research Control Systems (per citare solo le tre principali societa’ Lombarde di spionaggio di stato) in collaborazione con la “cara” Telecom hanno realizzato negli ultimi anni (basti pensare che nel 2008 il debito dello stato nei confronti di queste tre societa’ era di 140 MILIONI di Euro, e solo per circa 17 milioni di intercettazioni telefoniche, che dubito siano state tutte autorizzate una per una come richiederebbe la legge :P) … e che poi vadano a vedersi per cosa sono stati utilizzati i dati e le informazioni raccolte … e cambiano subito idea.
    Quanto poi all’onesta’ e all’integrita’ dei famosi “chi di dovere” di cui sopra, basta andare a leggersi un po di sentenze penali emesse da alcuni di questi “personaggi” (leggersele bene, esaminare le “motivazioni” e soprattutto il modo in cui sono presentate, e non limitarsi alle ultime righe come fanno i telegiornali :P), per inorridire, sentirsi male al punto di voler vomitare, e chiedersi se davvero viviamo in un paese civile, o se per caso una notte ci hanno tutti trasferiti in una qualche dittatura centroafricana senza che ce ne accorgessimo.
    Pero’ bisogna aver voglia di farlo … 😉
    Non e’ mai una questione di “se sei onesto non hai nulla da temere” … e’ sempre invece una questione di “se nessuno ha interessi personali nel danneggiarti, indipendentemente dalla tua onesta’, FORSE per il momento non hai ancora nulla da temere, ma non esserne troppo sicuro, perche’ le cose potrebbero cambiare anche mentre stai leggendo questo” … 😉

    • Non sapevo nulla di quello che riporti: di Area sapevo solo che avesse lavorato in Siria per fare ammazzare gli anti Assad. Se avessi qualche indirizzo da fornire ti sarei grato.
      E quindi niente Hacking Team usato in interno? Perché abbiamo anche avuto ricorso a FinFisher, come rivelano gli ultimi SpyFiles…

      • Sono notizie abbastanza vecchie, non ricordo ora tutti i kink, perche’ mi ero salvato i testi in locale e non avevo pensato di registrarli … ma dovrebbe essere facile trovarli ancora in rete, molti erano di quotidiani e giornali online, ad esempio l’Espresso e simili, altri erano link da wikileaks e da altro materiale simile …
        Hacking Team, altra “simpatica” azienda italiana, che nascondendosi dietro il paravento del cosiddetto “ethical hacking” (divertente, detto da loro :P) si diverte a vendere (a prezzi altissimi, tra l’altro) trojan sofisticati (basta vedere le caratteristiche del loro RCS Galileo, https://wikileaks.org/spyfiles/files/0/31_200810-ISS-PRG-HACKINGTEAM.pdf ) facendoli passare per “strumenti di sorveglianza” per la cosiddetta pubblica sicurezza … peccato che se uno ha abbastanza soldi e le amicizie giuste, lo puo acquistare per farci quelo che vuole 😛 … a proposito, e’ interessante una delle caratteristiche principali del trojan, cioe’, come dicono loro stessi, la possibilita’ di modificare in remoto e senza che l’utente lo sappia il contenuto dell’hard disk … il che’, oltre ad essere una caratteristica assolutamente vietata da qualsiasi regola e protocollo di analisi forense (che, ovviamente, vertono tutti sull’assoluta inalterabilita’ del contenuto dell’oggetto esaminato), e’ ottimo per “costruire”, se si vuole, qualsiasi prova di reato ai danni di chiunque, indifferentemente dal fatto che il soggetto sia colpevole o meno (esempio banale, riempire da remoto il disco di qualcuno di materiale pedopornografico o di documenti riservati mezz’ora prima di una perquisizione) … bel programmino, davvero per “addetti alla sicurezza” …
        Qui c’e’ qualche altra info su di loro https://citizenlab.org/2014/02/mapping-hacking-teams-untraceable-spyware/
        Per quanto riguarda le sentenze, basta spulciare gli archivi dei tribunali (le sentenze in giudicato sono di pubblico dominio), ma e’ roba da incubo … a volte arrivano a scrivere 80 o 90 pagine o piu di “motivazioni” assurde ed intricate tutte in termini giuridici e citazioni latine, solo per non far esattamente capire il perche’ di una decisione piuttosto che di un’altra, riuscendoci tra l’altro benissimo 😛 … una delle piu “istruttive” che ho letto ultimamente (94 pagine di assurdita’ e 7 righe di decisione finale :P) parlava di uno condannato per detenzione di materiale informatico illecito, ed il giudice di turno l’ha dichiarato colpevole perche’ in uno degli oltre 130 dischi sequestrati (nota bene: era una ditta di recupero dati) c’era del materiale illecito, giustificando la condanna con il fatto che, nonostante le generalita’ dei proprietari dei dischi fossero state rimosse (in presenza di testimoni) dagli agenti che avevano effettuato il sequestro (per leggere i numeri di serie, pare), il fatto era ininfluente perche’ non era a verbale (gia, come se qualcuno che manomette oggetti sequestrati all’atto del sequestro stesso, si accusasse poi da solo riportandolo pure nel verbale 😛 :D), e quindi TUTTI i dischi (nota bene: indifferentemente dal loro contenuto, il cui esame avrebbe potuto rivelarne il proprietario, esame che sembra nessuno abbia pensato di eseguire) dovevano essere “CONSIDERATI DI PROPRIETA’ DELL’IMPUTATO, PERCHE NON C’E’ PIU MODO DI ASSEGNARNE LA PROPRIETA’ AD ALTRI SOGGETTI” (cito letteralmente), e che quindi era colpevole a prescindere (il che’ tra l’altro, e’ pure incostituzionale, perche’ prefigura illecita inversione dell’onere della prova … vale a dire, lo condanno non perche’ ho dimostrato la sua colpevolezza, come era mio dovere, ma perche’ lui non puo piu dimostrare la sua innocenza … viene da vomitare, a leggere certa roba) … e ti assicuro che su altre sentenze ho trovato anche di molto peggio …

  9. Chiedo scusa, rileggendo il mio post mi sono accorto di aver divagato un po dall’argomento (e’ una mia brutta abitudine, mi spiace … inizio con un’argomento e parto per la tangente :P) … tornando in tema Jitsi e Skype, da quando l’ho installato, dopo cheho eliminato Skype perche’ ha cercato di costringermi ad installare una nuova versione che non volevo (e che non funzionava), ho notato fra molti dei miei amici molta “pigrizia” nel dismettere il vecchio Skype a favore di Jitsi, nonostante questo sembri una discreta alternativa … la risposta piu frequente e’ “ma lo usate in quattro gatti, con chi comunicate ?”
    Potrebbe essere un’idea quella di suggerire al team di Jitsi di integrare un plugin per comunicare con la rete Skype (il software Skype e’ proprietario, ma l’emulazione del protocollo non dovrebbe esserlo, se non usa il loro codice) … certo, si perde il vantaggio della sicurezza e della riservatezza quando si dialoga con utenti Skype, ma allo stesso tempo si darebbe un’impulso notevole alla sua diffusione, e potrebbe convincere sempre piu utenti a passare all’alternativa piu sicura …

    • Assolutamente: gli utenti hanno una grande inerzia. Il protocollo di Skype è stato retro ingegnerizzato e sarebbe possibile sfruttarne la rete. Ma sicuramente Jitsi non vuole, e la considero una posizione corretta. Senza esagerare, ci sono persone che muoiono per colpa di Skype. Io non lo uso, e se per questo perdo la possibilità di comunicare con qualcuno sono solo fatti suoi. Se mi costa di più, sono pronto a pagarne il prezzo.

      • Sui rischi di Skype e sul tuo “e se per questo perdo la possibilità di comunicare con qualcuno sono solo fatti suoi” sono pienamente d’accordo con te’, ma sulla scelta di Jitsi di non emulare la connessione con gli utenti Skype, mica tanto … ti faccio solo due esempi di quello che intendo …

        utente con skype: ho il pc che fa strani scherzi
        tecnico con jitsi: ok, mi mandi il desktop in condivisione, che vedo cosa si puo fare
        utente con skype: non posso, sto usando skype e non me lo permette
        tecnico con jitsi: oh, allora dovrei venire li, ma posso passare solo fra un giorno o due … oppure potrebbe installare jitsi al volo, che magari in una decina di minuti riusciamo a risolverla …

        oppure

        impiegato con skype: mi servono quei documenti riservati il piu presto possibile
        impiegato con jitsi: te li mando al volo, attiva il protocollo criptato
        impiegato con skype: non posso, skype non ce l’ha
        impiegato con jitsi: allora te li devo spedire per corriere, ma se ti va bene prima di domani non ti arrivano, e devi pagarlo tu … oppure puoi provare ad installare jitsi al volo, ed in una decina di minuti hai i tuoi documenti senza rischi …

        … e ce ne sarebbero molti altri :p 🙂
        Comunque io la proposta al team di Jitsi l’ho mandata, chissa’ che non gli venga voglia di pensarci 🙂

        • Capisco il tuo punto di vista, ma Skype è una rete bacata: aprire la porta a Skype significa instradare l’utente Jitsi verso un protocollo di comunicazione gravemente insicuro.

Lascia un commento

I campi richiesti sono evidenziati con *.