Il diffondersi del Voice Over IP anche in ambiente enterprise presenta alcuni rischi, specie secondo alcuni produttori. Cosa fare? Riflettere

Roma - Sipera Networks è un grande produttore di materiali e tecnologie per il Voice Over IP. Nel suo sito si legge un comunicato stampa che ha l'obbiettivo di mettere in guardia la clientela circa i rischi che, nel corso del 2008, potrebbe fronteggiare chi decide per un deployment massivo della nuova tecnologia in azienda. Questi i punti salienti:

1. Primo e più importante, man mano che le enterprise implementano dorsali SIP e UC per l'area mobile, gli attacchi DoS (Denial of Service) e i DDoS (Distributed Denial of Service) diverranno un fatto sempre più rilevante.
2. I dati trasportati con il protocollo HTTP e simili lungo le stesse dorsali che trasportano il Voice Over IP saranno oggetto di attenzione per intercettazioni e altri attacchi simili.
3. La comunità degli hacker, preparata a trarre beneficio dagli exploit condotti verso l'offerta software Microsoft, presteranno attenzione e produrrano malware contro Office Communication Server di Microsoft - avvantaggiandosi delle sue connessioni UC verso gli Instant Messenger, gli indirizzi email e le liste per creare botnet e lanciare attacchi. Allo stesso tempo, le "federazioni" di enterprise che usano OCS saranno ulteriori fonti di rischio in quanto espongono le loro reti interne ai rischi presenti in altri associati.
4. Gli hacker si dedicheranno a tirar su altri centralini IP falsi, a scopo phishing e simili. I conti in banca che subiranno phishing aumenteranno a causa della facilità di condurre attacchi mediante exploit e con l'appeal del "denaro facile".
5. Gli attacchi alle reti VoIP degli operatori subiranno un'escalation grazie alle SIM card (disponibili all'estero, ndR) anonime da 20 dollari. Con l'UMA che si sta sviluppando, i fornitori di servizio VoIP stanno, per la prima volta, permettendo agli abbonati l'accesso diretto alle proprie core networks su IP, rendendo facile lo spoof di indentità e l'uso di account illegittimi per lanciare una varietà di attacchi.

Bene. Prendiamo per buono tutto quanto ci riferisce Sipera Networks, ma non possiamo non restare perplessi sul rilascio di un simile comunicato: chi lo scrive vuole evidentemente trasmettere un messaggio che dice: "Questi sono i rischi, siamo noi esperti che te lo diciamo, quindi se non vuoi correrli vieni da noi, che ti mettiamo al sicuro".

Nessuno vuol discutere sui vantaggi, l'integrazione e le maggiori possibilità offerte da un accorto e ormai diffuso impiego di tale tecnologia a livello enterprise, tuttavia appare poco ragionevole, anche per ragioni storiche, che il panorama possa essere esattamente quello descritto.

Come ha già scritto Russel Shaw su Zdnet, "a mio avviso la meno azzeccata di Sipera è quella secondo cui gli hacker si concentreranno su Microsoft OCS: quando sarà implementato a livello enterprise, eventualmente sarà su quelle (specifiche, ndR) implemetazioni che si concentreranno".

Che l'impiego del VoIP non sia privo di rischi, nessuno lo nega. Restano, come al solito, gli strumenti a cui il management tecnico dovrebbe essere abituato a far ricorso e che giova ricordare, cioè:

a) La suddivisione netta tra dati e fonia,

che non consiste necessariamente in due impianti distinti e separati ma, almeno, in un accorto e attento uso di opportune VPN e il totale dissenso sulla connessione di terminali telefonici alla stessa VPN sulla quale viaggiano dati, siano essi di Internet o di Intranet.

b) La progettazione "a tavolino" dell'intera struttura

Attività che non può essere affidata del tutto a terzi, ma va progettata all'interno, eventualmente con l'ausilio di consulenze specialistiche di elevata qualità.

c) L'attenta valutazione costi/benefici

Troppo spesso il management decide di avviare il deployment "perché così fan tutti". Non è sempre esatto. Vi sono casi in cui, anche in presenza di aziende di piena classe enterprise, una piena rivoluzione potrebbe non essere la soluzione idonea alla circostanza. In questo caso, in mancanza di sufficiente know-how in azienda, meglio ricorrere a una doppia consulenza, tecnica e finanziaria. Dal cui ricorso può emergere che lo scenario non sia adatto, almeno al momento, al deployment.

Occhi aperti, dunque: la salute di un'azienda anche grande può, contemporaneamente, trovarsi esposta a grandi rischi con la promessa di grandi vantaggi.

Marco Valerio Principato

Condividere questa pagina su: