Falla in Skype, spiffera cosa scaricate dai Torrent

È facile sapere nome e cognome di chi scarica dai circuiti P2P, se è anche un utente Skype. Lo ha scoperto un gruppo di ricercatori di diverse università in Germania, Stati Uniti e Francia. L'applicazione per la comunicazione VoIP e chat infatti espone l'indirizzo IP, che poi si può usare per verificare chi è attivo sul circuito di download.

Lo studio che s'intitola "So dove sei e cosa stai condividendo", e dimostra che l'operazione è possibile qualsiasi siano le impostazioni scelte dall'utente di Skype. Basta che sia noto uno dei dettagli per individuare la persona: nome, indirizzo email, posizione. 

Un'operazione semplice, perché basta sfruttare le API del programma per recuperare in un attimo migliaia di identità valide. Una volta individuato il "bersaglio" basta una falsa chiamata per inviare i pacchetti necessari ed estrarre l'indirizzo IP.

A questo punto si può abbinare un indirizzo IP a un nome; un'informazione in teoria riservata, a cui hanno accesso solo i provider (ISP), che a loro volta devono proteggerla per rispettare le norme sulla privacy. Solo un giudice, sempre in teoria, può ordinare di comunicare l'abbinamento tra indirizzo IP e persona. Legale o no, gli scienziati ritengono che con 500 dollari si potrebbero tracciare 10.000 utenti per una settimana.

Il problema è che l'indirizzo IP è una sorta di "identità online" sempre presente. Come avrete letto in passato, per esempio, è semplicissimo compilare liste con migliaia d'indirizzi IP appartenenti ad altri utenti che hanno scaricato questo o quel film. Fino ad ora però abbinare i nomi a quei numeri non era semplice.

La scoperta comunque non è preoccupante solo per gli utenti P2P (BitTorrent, eMule e altri), perché per esempio con la stessa tecnica sarebbe possibile tracciare i movimenti di chi usa Skype in versione mobile, per esempio su un iPhone o un terminale Android. 

Questa tecnologia potrebbe quindi interessare molto alle società specializzate nella "caccia ai pirati", ma anche a investigatori privati specializzati in infedeltà coniugali - anche se probabilmente hanno già strumenti migliori per pedinare qualcuno.

Per ora si può almeno contare sul fatto che sarebbero informazioni ottenute illegalmente, e quindi un produttore di musica o film non potrebbe usarle in tribunale.

Più del 50% degli utenti di Skype usa anche BitTorrent

Stando ai ricercatori non ci sono molte difese possibili. Questa tecnica riesce a individuare un singolo utente anche se è dietro a un NAT (Network Address Translation), o persino se si trova su una rete condivisa con un indirizzo IP comune a più computer e persone.

È normale che un programma VoIP come Skype condivida il proprio indirizzo IP con l'interlocutore, e per questo si ritiene che anche altre applicazioni, come Google Talk o MSN Messenger, soffrano della stessa vulnerabilità. Quest'ultima consiste nel fatto che l'indirizzo IP è rilevabile con uno script relativamente semplice.

Nel testo dello studio (disponibile in PDF, in inglese) si propongono anche diverse soluzioni. Una potrebbe consistere nel creare un client VoIP che non trasmette l'indirizzo IP fino a che non si risponde effettivamente alla chiamata, perché in questo modo si renderebbe inutile lo script automatico usato per questa ricerca. 

"Raccomandiamo che tutte le applicazioni VoIP adottino questo semplice meccanismo", concludono i ricercatori. Guardandola dall'altro lato si potrebbe ricorrere ad applicazioni specifiche che nasconodono l'indirizzo IP durante l'uso di client BitTorrent, ma sarebbe più che altro una "pezza", non certo una soluzione.