La continua e forte crescita del mercato VoIP sta apportando dei cambiamenti non solo ai settori di business in cui è presente, ma anche alle infrastrutture. Alcune indicazioni e osservazioni per la sicurezza.

Nota per i lettori "non-business".

Questo articolo non riguarda direttamente i privati, le cui condizioni operative e contrattuali sono tali da rivestire scarso interesse da parte di chi, seriamente, intende frodare, rubare traffico o carpire informazioni. La lettura è certamente interessante anche per chi appartiene al mercato residenziale o SOHO (Small Office Home Office), ma non riguarda gli appartenenti a tali aree e tantomeno deve avere l'effetto di farli "scappare": le problematiche qui esposte sono tipicamente afferenti a circostanze e realtà cosiddette "enterprise", ovvero di grandi aziende e grandi enti.

E-Week ha riportato uno studio molto interessante con dei suggerimenti concreti, da inquadrarsi nello scenario operativo delle realtà Enterprise. Molti esperti di Security sono concordi nell'indicare che in ambienti enterprise il management deve stratificare il proprio approccio alla sicurezza del VoIP.

{mosgoogle right}

Le minacce alla sicurezza in questo campo sono, infatti, viste più come teoriche che reali. Eppure, i pochi casi di cui si è a completa conoscenza, sono risultati devastanti e costosi. Ad esempio, nel 2006 sono state arrestate due persone accusate di aver forzato le reti di diversi operatori VoIP e di aver sottratto loro del traffico che poi hanno rivenduto.

Con l'aumentare della diffusione dei telefoni IP, alcuni specialisti raccomandano di non sottovalutare il problema, cominciare a studiarlo, capirlo e organizzare sistematicamente delle contromisure. In un rapporto, alcuni analisti hanno previsto che il numero di telefoni IP venduti negli Stati Uniti dovrebbe crescere dall'attuale valore di 9,9 milioni di esemplari a 45,8 milioni entro il 2010. A fronte di ciò, nessuna delle aziende oggetto di sondaggio ha alcun piano di sicurezza per le proprie installazioni VoIP. Quando alla maggior parte dei professionisti IT è stato chiesto di qualificare la propria conoscenza del problema sicurezza: la risposta è stata un deludente "sì, lo so che dovrei analizzare la cosa".

"C'è un gap tra il concetto tradizionale di sicurezza dati e la sicurezza VoIP", dice Bogdan Materna, CTO ed engineering VP di VOIPshield Systems, azienda di Ottawa. "Il VOIP è una tecnologia unica e porta con sé una incredibile serie di nuove opportunità che le precedenti tecnologie non possono offrire. Le comunicazioni su IP sono tenute in piedi in tempo reale e l'intera serie di protocolli impiegati comporta il doverli supportare a tutti i livelli. Le soluzioni specifiche per il VoIP hanno requisiti specifici da soddisfare, che con la attuale tecnologia - di cui l'ambiente Enterprise di solito dispone - sono semplicemente impossibli da soddisfare", ha detto Materna.

"Ad esempio, una soluzione IPS (Intrusion Prevention System) può riuscire a coprire una dozzina delle vulnerabilità conosciute del VoIP", ha proseguito. "Ma si tratta solo della punta di un iceberg: in realtà ogni singolo protocollo VoIP che passa per la rete dovrebbe essere singolarmente gestito".

Per molti aspetti, avere a che fare con la sicurezza in campo VoIP richiede agli utenti di ripassare le vecchie lezioni imparate sulla sicurezza in Internet; dopo tutto, i sistemi VoIP sono vulnerabili nello stesso modo in cui lo sono il resto delle strutture aziendali. "La facilità con cui i numeri di telefono VoIP possono essere acquisiti e usati deve convincere la gente che tali numeri sono affidabili più o meno come una e-mail", dice Adam O'Donnell, direttore tecnologie emergenti di Cloudmark, azienda di network security technology di San Francisco (California).

"Costruire sicurezza stratificata per il VoIP può essere una scommessa difficile, in quanto non c'è modo di costruire, ad esempio, cifratura end-to-end e autenticazione al di sopra delle reti VoIP, specialmente con il proliferare di client con software proprietario", ha detto O'Donnel.

I più recenti attacchi sono stati di tipo DoS (Denial Of Service), lanciati contro ben precise implementazioni, riferisce O'Donnel. Attualmente, comunque, gli hacker sono concentrati sul "riesumare" le vecchie tipologie d'attacco verso il nuovo mezzo, come ad esempio il "phishing" oppure falsificare il numero chiamante per sfruttarne il credito presso le aziende che offrono comunicazioni prepagate.

Benché vi sia evidenza di attacchi di massa di SPIT (Spam over Internet Telephony, Spam sulla telefonia via Internet), Materna riferisce che si aspetta tranquillamente che Spam, frodi e attacchi DoS aumentino con il crescere delle implemetazioni VoIP.

Più frodi significano più problemi per gli operatori VoIP. La Stealth Communications, una data communications company di New York, stima che i "ladri di VoIP" già rubano 200 milioni di minuti ogni mese per un valore di 26 milioni di dollari.

"Se le perdite crescono l'impatto sarà significativo", dice Paul Henry di Secure Computing, azienda di San Jose, California. "Gli hackers rubano minuti ogni giorno e stanno creando una specie di valuta «underground» nel rivenderli. Inoltre, provate a chiedere a qualsiasi operatore quale percentuale di nuovi utenti sta usando carte di credito illegittime: dovunque si guardi, c'è frode".

E allora, cosa fanno gli utenti/clienti? Mentre gran parte del processo di innalzamento della sicurezza significa re-imparare le vecchie lezioni, l'uso di indirizzo IP e identificativo chiamante per l'autenticazione mentre si opera in un ambiente connectionless (UDP, User Datagram Protocol) espone a facilissimo spoofing e la cosa richiede attenta sorveglianza, riferisce Henry, e suggerisce, tra l'altro, alle aziende di porre in atto accortezze per validare completamente i protocolli in transito e utilizzare gateway che implementino emulazioni di protocolli "connected" tramite UDP.

Invece, Materna ha ribadito che rendere sicuro il VoIP significa anche utilizzare strumenti particolari, idonei a lavorare in unione ai tradizionali mezzi di sicurezza. "Ogni organizzazione che implementa o già usa il VoIP dovrebbe avere un approccio proattivo alla sicurezza, basato sul concetto di protezione globale dagli attacchi. Se essi arrivano attraverso specifici indirizzi IP, agire sui Session Border Controllers; se vengono da più parti, occorre entrare in contrasto diretto".

"Qualsiasi approccio dovrebbe comprendere, comunque, la fase di education degli utenti sui vari tipi di minaccia. Ovvero: sappiamo cos'è lo Spam, e la stessa solerzia che abbiamo nel contrastarlo, dovremmo averla nell'insegnare all'utenza aziendale come il VoIP può essere attaccato e come il singolo utente può essere attaccato", ha detto.

Condividere questa pagina su: