Mondo
Gli esperti Usa hanno lanciato l’allarme: i sistemi VoIP di Cisco sono facilmente intercettabili. Secondo una ricerca finanziata dall’agenzia governativa incaricata dello sviluppo di nuove tecnologie per uso militare (DARPA) e condotta dalla Columbia Engineering, la vulnerabilità riguarda tutti e 14 modelli Unified IP Phone di Cisco (serie 7900), utilizzati da diverse amministrazioni pubbliche e aziende in tutto il mondo.
Inserendo un malware negli apparecchi, sottolineano i ricercatori, si possono intercettare le conversazioni private, non soltanto quelle telefoniche ma anche quelle che avvengono in prossimità dei telefoni quando questi non sono in uso.
“Attraverso i telefoni VoIP Cisco è relativamente facile penetrare in qualsiasi sistema telefonico aziendale, governativo o casalingo. Non sono sicuri”, ha affermato il project leader Salvatore Stolfo, sottolineando comunque la falla non riguarda soltanto gli apparecchi di Cisco.
Il difetto, in sostanza, trasforma i telefoni connessi in rete in vere e proprie microspie.
Cisco ha cercato di minimizzare l’allarme dei ricercatori, sottolineando che chi volesse sferrare un attacco dovrebbe essere in grado di collegare una linea al telefono per poter scaricare il malware e che i login SSH non in genere disabilitati in ambienti professionali.
Ma quella appena denunciata da Stolfo e dal suo team non è la prima falla riscontrata nei sistemi VoIP dell’azienda americana che – dicono i ricercatori – si è mossa prontamente per bloccare le diverse vulnerabilità riscontrate nei firmware dei telefoni e nei sistemi embedded distribuiti attraverso le reti VoIP. Le correzioni approntate, tuttavia, non sono ancora sufficienti poiché “non risolvono i problemi fondamentali che abbiamo indicato all’azienda”.
Secondo il team dell’università newyorkese, l’unica soluzione sarebbe la riscrittura del firmware o l’uso della tecnologia Symbiotes, ancora in via di sviluppo.
Altrimenti, dicono, “potranno risolvere il problema nell’immediato, ma non proteggere i telefoni da altri bug del software. Quello di cui hanno realmente bisogno è un software di sicurezza indipendente in esecuzione sul telefono”.