Mondo
Anche la telefonia su Internet, meglio nota come VoIP, ha da ieri un¿alleanza che mira a risolvere e a prevenire i problemi legati alla sicurezza.
Si chiama VOIP Security Alliance, o VOIPSA, e conta fra i soci fondatori esperti in sicurezza, ricercatori, operatori e fornitori di infrastrutture, tra i quali Siemens, Symantec, Alcatel, Qwest, la Columbia University e il SANS Institute.
La VOIPSA nasce con l¿intento di neutralizzare eventuali minacce alla sicurezza nella pratica della trasmissione voce in pacchetti, ma anche per educare gli utenti all¿acquisto e all¿utilizzo della tecnologia.
La crescente convergenza delle reti voce e dati rappresenta un enorme vantaggio per le aziende e per gli utenti privati, ma ha anche aggravato e amplificato i rischi di sicurezza, rendendo le reti combinate un bersaglio ¿succulento¿ per hacker e cyber-criminali.
Finora, i servizi di telefonia su Internet non sono stati oggetto di attacchi specifici, ma il trend di diffusione delle reti VoIP è tale da far pensare che molto presto gli hacker acquisiranno la giusta familiarità con la tecnologia per sferrare i primi attacchi. E le conseguenze, per la produttività delle aziende, potrebbero essere molto gravi.
La VOIPSA vuole dunque mettere le aziende nelle condizioni di poter evitare i rischi legati a eventuali attacchi, attraverso la creazione di liste di discussione, white papers, progetti di ricerca e lo sviluppo di strumenti e metodologie adeguati.
¿Nonostante i vantaggi del VoIP, se la tecnologia non è implementata in modo sicuro e adeguato, si andrà incontro a un¿esposizione delle reti¿ alle minacce hacker, spiega l¿esperto in sicurezza Brian Kelly.
I ricercatori, infatti, hanno scoperto delle vulnerabilità nei vari protocolli usati per il VoIP. Per esempio, il Cert ha rilasciato degli alert relativi a ¿debolezze¿ multiple nel SIP (session initiation protocol) e nell¿H.323.
Il National Institute of Standards and Technology il mese scorso ha pubblicato un report in cui avvisava le agenzie federali e le aziende che volessero adottare la tecnologia a considerare le complesse questioni di sicurezza troppo spesso sottovalutate. Il NIST è membro del VOIPSA.
Del resto, secondo molti osservatori, è solo questione di tempo perché il VoIP sia tanto diffuso quanto le eMail, mentre gli spammer, sempre al passo coi tempi, hanno già abbracciato lo ¿spim¿, ovvero lo spam sui sistemi di messaggeria istantanea, che rappresenta già il 10% del traffico instant-messaging.
Lo ¿spit¿ (spam sulle linee telefoniche) è dunque dietro l¿angolo: di sicuro, i famigerati telemarketer non si faranno sfuggire l¿occasione di inondare gli utenti con i loro messaggi spazzatura, data la profittabilità e la semplicità dell¿operazione.
Il problema, spiega il presidente della neonata VOIPSA David Endler, non è solo quello dello spit: gli utenti potrebbero infatti incorrere nell¿equivalente audio del phishing, in cui i criminali lasciano messaggi vocali fingendosi funzionari di banca oppure vedersi interrompere il servizio a causa di attacchi DoS, che congestionano le reti con traffico illegittimo. Questo tipo di attacchi impedirebbe la trasmissione di eMail, file, pagine web e dunque anche della voce.
Una serie di pericoli, insomma, che la VOIPSA vuole prevenire, schierandosi a fianco delle aziende che vogliono adottare le tecnologie VoIP ma sono ancora insicure a causa dei dubbi relativi alla sicurezza.
Solo rassicurando i potenziali clienti sulla reale affidabilità della trasmissione voce su protocollo IP, infatti, la tecnologia potrà diffondersi capillarmente e non regredire.
¿Le aziende stanno adottando il VoIP per risparmiare sui costi e aumentare le efficienze operative, ma questo introduce anche nuovi rischi per la sicurezza che potrebbero non solo annullare i risparmi ma anche richiedere ulteriori investimenti¿, spiega Martin Roesch della Sourcefire.
In controtendenza Louis Mamakos, chief technology officer di Vonage, pioniera della telefonia su protocollo IP, che ha deciso di non aderire all¿alleanza.
¿Non sono sicuro ¿ dice Mamakos ¿ che la VOIPSA sia una soluzione a un problema che ancora non abbiamo¿.
Mamakos spiega che introdursi nei sistemi Vonage è molto difficile: l¿accesso richiede un¿autenticazione, mentre l¿infrastruttura è molto più distribuita rispetto ai siti che sono stati oggetto di attacchi DoS. Chiunque voglia spiare quanto avviene sul network dovrebbe trovarsi fisicamente molto vicino alla connessione broadband che porta all¿obiettivo da colpire.
Stesso discorso ha fatto la portavoce di Skype, un altro fra i più noti fornitori di servizi VoIP. Gli utenti Skype possono controllare quali informazioni sul loro conto sono accessibili e chi può contattarli. Per proteggere le conversazioni, inoltre, Skype utilizza un sistema di codifica end-to-end.
L¿unica vulnerabilità accertata è relativa al trasferimento dei file.
Alla fine, come al solito, la verità sta nel mezzo: non è giusto fasciarsi la testa prima di essersela rotta, ma è plausibile cominciare a considerare i reali pericoli legati alla sicurezza dei sistemi VoIP, prima di dover ricorrere a posteriori a misure che non possono che limitare i danni.
Per ulteriori approfondimenti, consulta:
Archivio delle news sul VoIP
© 2005 Key4biz.it
