7 de marzo de 2013

Es hora de desechar Skype ?


No creo conocer a nadie que se mueva en los ámbitos de la tecnología y que no sepa qué es Skype y/o lo haya usado. En pocas palabras, Skype es un servicio propietario de Voz sobre IP (VoIP) y una aplicación de software para su uso.

Este servicio permite a sus usuarios comunicación de voz y/o video, punto a punto, gratuita, entre clientes del software (Windows, OS X, Linux, iOS, Android, Blackberry, Symbian, etc.), e igualmente, comunicación de un cliente del software a un teléfono fijo o celular, en cualquier parte del mundo, por un costo reducido (comparado con el de la telefonía fija tradicional). Inclusive permite llamadas en el sentido opuesto, es decir, desde una linea fija, celular o cliente de software, a un número virtual asignado por Skype. Se estima que en 2010, Skype ya dominaba el 13% de las llamadas internacionales, en EE.UU.

Este proyecto fue una idea de varios desarrolladores de Estonia (mismos autores del famoso software peer-to-peer Kazaa), y que publicaron la primera versión beta de Skype en 2003.

Por las cosas de la vida, (básicamente explicadas en que Skype ofrece una amplia comodidad de comunicación entre cliente y/o teléfonos fijos y celulares, con o sin video, con costos reducidos (y en algunos costos, totalmente gratis), casi que desde cualquier lugar) esta empresa logró un crecimiento increíble, que ya en 2012 reportó 115 miles de millones de minutos de comunicación, en el trimestre Abril-Junio.

La seguridad de las comunicaciones en Skype siempre ha sido un tema delicado de conversación, y por años ha estado en mi mente. Desde su inicio, el pryecto ha tenido varios "temas" que producen escalofríos:

- El cifrado de datos siempre ha sido transparente para el usuario, y no es posible deshabilitarlo (al menos no por el usuario).
- Skype dice usar técnicas de cifrado documentadas y públicas (RSA para negociación de llaves, y AES para cifrar las comunicaciones). Sin embargo, es imposible verificar si están bien implementados, si se usan de forma completa o parcial, y/o si son usados todo el tiempo.
 - El sistema de registro de usuarios nuevos no tiene ningún control: Cualquiera puede crear en segundos una cuenta con cualquier nombre.
- En una entrevista, Kurt Sauer, CSO de Skype dijo "Proveemos una opción se gura de comunicación. No voy a decir si podemos escuchar las llamadas o no"
- Es conocido que una de las principales prioridades de la Free Software Foundation (FSF) desde hace años es el reemplazo de Skype
- Varios medios han expuesto que en las minutas de una reunión sobre "Interceptación Legal de Servicios Basados en IP" que se llevó a cabo en Junio 25 del 2008, oficiales de alto rango del Ministerio del Interior de Austria dijeron que "podían escuchar las comunicaciones por Skype sin problemas". Skype decidió no comentar al respecto, cuando fueron cuestionados sobre esta respuesta.
- En BlackHat Europa 2006, Philippe Biondi y Fabrice Desclaux expusieron en la presentación "Silver Needle in the Skype" (LINK) diversas preocupaciones al respecto, como:
  1) Skype genera tráfico aunque no está en uso (pings, relaying)
  2) Presenta actividad cifrada en puertos extraños
  3) Tiene actividad durante la noche
  4) El cifrado del tráfico hace imposible diferenciar tráfico normal de exfiltración de información
  5) El código contiene gran cantidad de protecciones
  6) El código contiene trucos anti-debugging
  7) El cifrado de grandes partes del código hace imposible identifiar si contiene un troyano, un backdoor o malware
  8) Es sospechoso el hecho de que un software que funciona bien de manera GRATUITA, venga de una empresa que no tenga relación con open-source
  9) Aparentemente, Skype tiene su propio "packer"
  10) Todos los clientes de Skype confían ciegamente en cualquier otro cliente de Skype


Si aún no están paranóicos con el uso de Skype al leer lo que expongo/resumo, les recomiendo leer totalmente el PDF de la presentación de Bondi y Desclaux (o ver el video).

Pero en el mundo de la tecnología nadie crece y sobrepasa a los grandes, ante de que los grandes lo compren (para incluirlo, mejorarlo o destruirlo) ... En 2011, Skype y todas sus tecnologías fueron comprados por Microsoft. En Enero de este año (2013), Microsoft declaró que lo usará para reemplazar a la línea del Windows Live Messenger, y que esta migración ocurrirá a partir del 8 de Abril próximo (en un mes exacto).

Desde que Skype es propiedad de Microsoft, estas otras preocupaciones adicionales han aparecido:
- En 2012, Skype incluyó updates automáticos, que el usuario no puede deshabilitar en algunos casos, para "proteger mejor a los usuarios de riesgos de seguridad".
- De acuerdo con un artículo del Washington Post de 2012, Skype "ha expandido su cooperación con agencias policiales para permitirles acceso a chats en línea y otra información de usuario". Este mismo artículo menciona a Skype realizando cambios para permitir a la policía acceso a las direcciones y números de tarjeta de crédito de los usuarios.
- En Noviembre de 2012, se reportó que Skype entregó información de un activista pro-Wikileaks a la compañía de seguridad privada iSIGHT, en Dallas (Texas), sin una orden judicial. La acusación era una supuesta falla a la Política de Privacidad de Skype.
- El 13 de Noviembre de 2012, un usuario ruso publicó una falla en la seguridad de Skype que permitía a cualquier persona tomar control de cualquier cuenta de Skype, conociendo solamente el nombre de usuario de la victima, siguiendo 7 sencillos pasos. Corrió el rumor de que la vulnerabilidad existió por meses, y ciertamente funcionó al menos doce (12) horas después de ser liberada públicamente.

En fin, creo que el punto va quedando claro. En mi experiencia, Skype es un software, por lo menos, sospechoso. Y ahora que está en las manos de Microsoft, constante compañero de batallas del gobierno de EE.UU., nada raro que Skype contenga un regalito, sino varios ...

Se preguntarán "Bueno, y si Skype presenta estos problemas, rumores, etc. hace años, porqué F4Lc0N no ha dejado de usarlo ? " ... Es cierto, sigo usándolo hasta la fecha por varias razones:
  1) Es muy cómodo. Un maestro de artes marciales alguna vez me dijo: "Si en una situación te sientes MUY cómodo, algo está mal ..."
  2) No ha habido opciones alternas fuertes: Hasta hace poco todas la opciones opensource a Skype parecían un simple teléfono IP por software, y aunque los que poseemos alguna habilidad técnica lo podemos hacer funcionar apropiadamente, no sería fácil convencer a familiares y amigos no-técnicos para que lo adoptaran.
  3) Corre en muchísimas plataformas. Las opciones que he visto no han ofrecido más que Windows/Linux, y algunos OS X. Casi ninguno ofrece una versión en plataformas móviles.
  4) Tengo un teléfono Skype. Si, un dispositivo de red físico en forma de teléfono, que solamente sirve para comunicarse a través de la red de Skype. No hay forma de hacerlo trabajar con nada más :(

Y entonces, qué hacemos ? Estamos destinados a ser propiedad de Microsoft y permitir que nuestra privacidad no exista, o sea una cosa del pasado ? NO ! Pienso que este es el momento de buscar opciones, escoger un líder open-source del mercado, y desde nuestras comunidades apoyarlo y empujarlo como opción principal con nuestros amigos y familiares. Seguramente habrá más de una opción (espero que Uds. recomienden muchas ! ), pero hasta el momento a mi me gusta Jitsi (http://www.jitsi.org/) que a la fecha corre en Windows, Linux, OS X y Android (experimental), pero que con seguridad de que al recibir más interés del público, sacarán versiones para iOS, Blackberry, etc ... Me gusta porque maneja cifrado comprobable, es open-source, interactúa con diferentes mecanismos de comunicación (Facebook, GTalk, ICQ, etc.), ofrece videoconferencia multipunto, y su interfaz es muy similar a la de Skype, entre otras capacidades.

Los invito a probar y proponer Jitsi y otras alternativas a Skype, que a largo plazo nos premitirán comunicarnos libremente, sin poner en riesgo nuestra privacidad, y sin entregar un espacio más de nuestras vidas a las grandes corporaciones o gobiernos ...



F4Lc0N
LowNoise Hacking Group
Colombia