ELISS
Experts of Lawful Interception and Security Standards
Lawful Interception Academy



Formazione

“Sicurezza e Giustizia” – Il brevetto della Microsoft per intercettare Skype (G. Nazzaro)

icon_pdf

US Patent and Trademark Office (USPTO), patent application number 20110153809

Pubblicato il brevetto depositato dalla società Microsoft per la Legal Intercept delle comunicazioni VoIP. Diagramma a blocchi dell’archiettura VoIP in cui sono indicati gli agenti di registrazione.

Pubblicato su “Sicurezza e Giustizia” n.III/MMXI relativo al trimestre luglio-agosto-settembre del 2011

 

L

e comunicazioni VoIP avvengono su reti telematiche, dette anche reti IP, e sono intercettabili da parte dell’Autorità Giudiziaria parimenti a tutte le altre tipologie di comunicazione telematica, come la navigazione su Internet oppure l’invio e la ricezione della posta elettronica da computer o da telefonino. L’aspetto rilevante è che il VoIP deve permettere a due o più utenti di comunicare tra loro indipendentemente dallo loro posizione, attraverso l’Internet pubblica, ed in modo sincronizzato ovvero non ritardato. Questo comporta che il VoIP debba ricorrere all’uso di protocolli di cifratura, che tutelino la privacy degli interlocutori, e di Codec efficienti. Il Codec è il protocollo che permette la compressione del segnale audio prima dell’invio e la sua decompressione all’arrivo. Se a questo si aggiunge che i protocolli di cifratura e i Codec, benché liberamente utilizzati, possano essere non pubblici, coperti da segreto industriale, si arriva alla conclusione che le comunicazioni VoIP sono intercettabili ma il contenuto intercettato può essere non decifrabile e non decodificabile. Questo è il caso di Skype che usa Codec proprietari come iLBC (internet Low Bitrate Codec) o SILK (Super Wideband Audio Codec).

 Il 23 giugno 2011 lUS Patent and Trademark Office (USPTO), l’ufficio statunitense dei brevetti e dei marchi di fabbrica, ha pubblicato la domanda di brevetto della Microsoft che descrive una modalità per intercettare legalmente le chiamate VoIP [Patent Application Number 20110153809].

All’interno del brevetto, depositato il 23 dicembre 2009 e pubblicato dopo 18 mesi, è menzionata esplicitamente Skype [pag. 7 – par. 0028] come esempio di applicazione della tecnologia VoIP. Skype è stata acquisita dalla stessa Microsoft il 10 maggio 2011 per 8,5 miliardi di dollari.

La modalità per intercettare descritta nel brevetto consiste nell’installazione, in modalità nascosta, di alcuni “agenti di registrazione” sul computer del target, cioè colui che si vuole intercettare legalmente, e sugli elementi della rete a pacchetto dove avviene la comunicazione VoIP. Nelle parte introduttiva del brevetto, Microsoft giustifica tale soluzione con la considerazione che il monitoraggio delle chiamate tradizionali, avvenuto per anni tramite dispositivi anche di tipo POTS (Plain Old Telephone Service), semplicemente non funziona più con il VoIP. Gli agenti di registrazione, che nel prossimo futuro quindi prenderanno il posto di questi dispositivi obsoleti, avranno capacità superiori a questi in termini di registrazione e potranno essere collocati in luoghi diversi per avviare in automatico le intercettazioni delle comunicazioni. Soprattutto potranno essere collocati in punti dell’architettura dove il segnale non è ancora cifrato e codificato. Inoltre, la registrazione potrà essere attivata su “eventi” o su una “sequenza di eventi”, per esempio quando sono coinvolti specifici interlocutori o precise identità VoIP.

Nella figura 2 contenuta nel brevetto, viene riportato uno schema generale del posizionamento degli agenti di registrazione (Recording Agent – RA) utilizzati per l’intercettazione.

All’interno dello schema si distinguono i seguenti elementi: la rete (Network – 235) che può rappresentare la rete Internet oppure una rete privata; l’apparato per la comunicazione VoIP (VoIP entity – 205 e 206) che può rappresentare un telefono VoIP, un normale telefono collegato ad un VoIP Gateway oppure un computer con microfono e cuffie; un dispositivo che effettua il Network Address Translation (NAT – 214) cioè la traduzione da IP pubblico a IP privato e viceversa, che collega l’apparato VoIP alla rete; le aziende (Enterprise A e B – 209 e 210) costituite dall’insieme di reti private, computer, centralini telefonici, telefoni tradizionali e telefoni VoIP. L’apparato VoIP oggetto dell’intercettazione può essere all’interno di tali entità. Il Call Server (207) è il componente che gestisce la fase iniziale della comunicazione, durante la quale vengono negoziate alcune informazioni e alcuni parametri necessari all’instaurazione della chiamata. In alcune architetture VoIP, questo componente può essere anche utilizzato per inoltrare al destinatario il messaggio di invito (Invite) ad effettuare una chiamata. Nell’architettura SIP (Session Initiation Protocol), ad esempio, il chiamante invia il messaggio al SIP Proxy. In questa architettura, poiché la comunicazione può avvenire tramite il contributo del SIP Proxy o direttamente tra i due utenti VoIP, è necessario che il SIP Proxy abbia al suo interno l’agente di registrazione (RA – 216) indicato nel brevetto, affinché la comunicazione passi forzatamente per questo elemento. In termini pratici questa forzatura si realizza eliminando una serie d’informazioni all’interno dei messaggi SDP (Session Description Protocol), costituiti da coordinate del tipo IP/porta da utilizzare per effettuare la comunicazione direttamente con l’entità VoIP richiesta, così che all’interno dell’architettura venga previsto l’utilizzo di un server TURN (Traversal Using Relay NAT) che permetta all’entità VoIP, che è dietro un NAT, di colloquiare con l’esterno. La necessità quindi d’intercettare comporta a livello architetturale l’adozione del protocollo TURN, il cui utilizzo è molto pesante sia in termini di carico elaborativo per il server che lo supporta che in termini di traffico VoIP, che risulterebbe così rallentato.

Il Call Gateway (212) è il componente a cui è demandata la conversione del contenuto VoIP in traffico telefonico tradizionale e viceversa, ed è collegato alla rete (Network – 235) per mezzo di un Router (211). Per intercettare le comunicazioni che passano per questo punto dell’architettura è necessario che un agente di registrazione (RA – 218) sia presente tra questi due componenti, così che possa effettuare una copia integrale del traffico e possa inviarlo all’Autorità Giudiziaria per mezzo del modulo Intercept Requestor (208).

Nell’ultima parte del brevetto viene descritto il diagramma a blocchi delle attività che seguono ad una richiesta d’intercettazione VoIP, supponiamo dell’entità n. 206. La prima azione è quella di configurare il Call Server (207), per mezzo dell’Intercept Requestor (208), affinché l’identità da intercettare (il target) sia inserita nel data base locale delle utenze da intercettare. L’agente di registrazione (RA – 216) sarà costituito quindi da un modulo software che eseguirà la scansione di tutti i pacchetti IP che transitano per il Call Server, attivando (triggering) le azioni prima indicate non appena compare l’identificativo VoIP del target. Il Call Server riceve quindi una richiesta da parte dall’entità VoIP n. 206 affinché possa instaurare una comunicazione con un’entità VoIP dell’azienda A (Enterprise A – 209). Il modulo d’intercettazione presente nel Call Server invia una copia del messaggio all’Intercept Requestor. Nel rispondere a questo invito, il Call Server non fornisce alcuna coordinata in termini di IP/porta dei punti locali tramite i quali possa essere effettuata la chiamata, che quindi deve passare necessariamente attraverso l’Internet pubblica (public path). Il server TURN, che quindi diventa obbligatorio per la gestione della chiamata, esegue una copia integrale del contenuto di dati e audio che lo attraversa, inviandolo all’Autorità Giudiziaria per mezzo dell’Intercept Requestor.

In conclusione, il brevetto della Microsoft affronta con competenza lo spinoso argomento dell’intercettazione delle chiamate VoIP e si traduce, così, in una risposta concreta alle continue richieste dei Governi e delle forze dell’ordine impegnate a contrastare la criminalità che fa uso di questa tecnologia. E’ importante, tuttavia, notare come le modalità descritte in questo brevetto siano adottabili anche per comunicazioni diverse dal VoIP come l’instant messagingGiovanni Nazzaro