Roma – Secondo alcune analisi presentate all’IEEE Symposium su Sicurezza e Privacy ci sono almeno il 50 per cento di possibilità che una conversazione in VoIP, anche se cifrata e fatta transitare con un protocollo compresso a tasso variabile, possa contenere informazioni sufficienti a ricostruirne almeno parte del contenuto.
È quanto hanno dimostrato ricercatori della Johns Hopkins University: agendo su telefonate in VoIP, effettuate impiegando un determinato insieme di tecnologie, alcune frasi preselezionate possono essere individuate in condizioni ottimali fino al 90 per cento.
Tutto parte da due osservazioni alquanto semplici: i ricercatori spiegano che la cifratura della conversazione cambia il contenuto dei pacchetti, ma non la loro lunghezza. In secondo luogo, l’impiego di tecniche di compressione (CODEC) a tasso variabile (Variable Bit Rate encoding) rende più prevedibile il contenuto di un pacchetto in quanto la sua lunghezza diventa dipendente dalla complessità del contenuto stesso.
La somma di queste due osservazioni ha portato all’effettuazione di alcuni test, in cui i ricercatori della Hopkins hanno ricostruito i pacchetti generati da alcune combinazioni di compressione e cifratura, prodotti con la pronuncia di determinate frasi.
Di certo, un esempio reale di come un interlocutore sotto mira avrebbe pronunciato una determinata frase avrebbe dato grande aiuto a chi intendesse intercettare secondo questa metodologia. Ma i ricercatori hanno voluto servirsi di varie versioni degli stessi suoni nella stessa frase, allo scopo di analizzare diversi “accenti” e variazioni nella pronuncia, migliorando così il proprio metodo. Si sono poi serviti di tecniche probabilistiche per individuare, nel flusso di pacchetti, possibili presenze della frase cercata tramite confronti con database di frasi preregistrate.
Charles Wright, principale autore dello studio, sostiene che il metodo riesce a individuare la frase 5 volte su 10 e, quando viene individuata, corrisponde quasi sempre proprio a quella che si riteneva dovesse essere. Se chi parla ha un timbro e un accento molto simili ai campioni di cui si dispone, secondo il ricercatore l’accuratezza del suo metodo può raggiungere il 90 per cento.
Poiché chi intercetta, normalmente, non ha idea di cosa si dice, “la minaccia è più probabile nell’ambito tecnico e professionale, piuttosto che in chiamate informali tra amici o familiari”, sostiene Wright.
Da quanto si legge, dunque, sembrerebbe che economizzare sulla banda a disposizione di una chiamata VoIP facendo ricorso a CODEC basati su un bit rate variabile esponga a qualche rischio in più, anche se – per ora – l’intercettazione non è certo alla portata di tutti. Ne deriva che chi ritiene necessario tutelare il più possibile la riservatezza delle proprie comunicazioni farà saggia scelta impiegando CODEC a tasso di compressione fisso o, meglio, senza alcuna compressione.
I più curiosi ora si chiederanno che tipo di CODEC viene usato sulle più comuni forniture in VoIP. Pur ricordando che, in telecomunicazioni come in altre discipline correlate, non esiste nulla di definitivamente non decifrabile, possono stare “relativamente” tranquilli: nel tratto che unisce il fornitore di servizio con l’utente sono praticamente tutti a tasso di compressione fisso, come si può apprendere esaminando quelli relativi allo standard ITU in questa pagina.
La tecnica individuata, invece, si applicherebbe più facilmente in punti della rete per loro natura più difficilmente accessibili, come le interconnessioni tra centrali telefoniche o i grandi ponti radio per telecomunicazioni, dove i CODEC professionali con compressione a tasso variabile trovano più spesso ragione di essere impiegati.
Marco Valerio Principato