La crescita del mercato del VoIP (Voice over Internet Protocol) appare inarrestabile. Si calcola, infatti, che il suo valore passerà dagli 85,2 miliardi di dollari del 2021 ai 102,5 miliardi entro il 2026. Una crescita che porta con sé l’aumento dei rischi associati che vanno dai classici malware a cui è esposto qualsiasi sistema connesso a Internet al vishing, attacco in cui la combinazione di voice e phishing punta a colpire specifici utenti telefonici tratti in inganno dalla presunta affidabilità di chi richiede dati riservati come ad esempio quelli bancari.
Altri attacchi possono rientrare tra quelli catalogati come DoS (Denial of Service) e causano un sovraccarico con il conseguente abbassamento della qualità delle chiamate o l’interruzione del servizio.
Senza dimenticare la minaccia di intercettazioni, cioè l’eavesdropping, che ricorre se il VoIP è configurato su una rete WiFi non crittografata, o ancora il fastidio dei robocall che, anche se rappresentano apparentemente più un fastidio che un pericolo vero e proprio, comunque possono carpire dei “sì” nel rispondente da utilizzare per la stipula fraudolenta di contratti vocali.
Indice degli argomenti
Come è cambiato il VoIP nell’arco di 20 anni
“Quando nel 2004 abbiamo cominciato a proporre il VoIP l’approccio era diverso, perché l’esposizione ai rischi era inferiore” racconta Luca Leone, IT Network & System Administrator di Thux, società italiana che offre consulenza e servizi IT con una competenza di oltre 25 anni nel campo della cyber security e della compliance in materia di sicurezza.
Le cose sono cambiate in seguito alla pandemia, che ha fatto esplodere forme rudimentali di smart working, che sarebbe più corretto definire remote working, rendendo più difficile distinguere gli IP “buoni” da quelli malevoli: “L’utente può servirsi dello smartphone che si collega con il 4G LTE o di una connessione ADSL casalinga, per questo il controllo del VoIP è diventato più difficile e ha aperto le porte a conseguenze economiche non banali nel caso in cui qualcuno si sostituisca all’utente”.
Che, tradotto, significa addebiti in bolletta indesiderati che poi è difficile farsi rimborsare poiché l’identificazione del numero, e la sua tracciabilità, seguono regole differenti rispetto alla telefonia vecchio stampo.
Il danno che ne deriva, di drenaggio di risorse economiche, è immediato. Per certi versi è perfino più grave di altri incidenti di cybersecurity che attentano alla reputazione delle aziende vittime di attacco, i cui dati carpiti possono essere rivenduti nel dark web o impiegati per scopi criminali. “C’è proprio un business dietro a questa modalità di monetizzare velocemente sulle falle del VoIP, sfruttando macchine aperte e buchi da un emisfero all’altro” evidenzia Leone.
Un sistema di honeypot per attirare gli attaccanti
In tutto questo non ci si può difendere ritornando certo alla telefonia analogica, soprattutto perché il VoIP è molto più diffuso di quanto si creda. Basti pensare ad esempio alla tecnologia VoLTE (Voice over LTE) che ormai è prevista negli smartphone di ultima generazione e che permette di fare chiamate con buona qualità audio sfruttando la rete 4G.
Anche tramite WhatsApp è possibile effettuare call o video call, a patto che la persona da contattare si trovi in rubrica o in uno dei gruppi di cui fanno parte entrambi gli interlocutori. Per tutte le altre persone occorre appoggiarsi a un VoIP che non sia vincolato alla reciprocità degli utenti e garantisca profili di sicurezza elevati.
“Abbiamo un’infrastruttura dedicata alla cybersecurity del VoIP, un front-end proxy che dialoga sia con il mondo IP sia declinato sulla telefonia e sul VoIP che ci permette di analizzare il traffico – sottolinea Giulio Patisso, co-founder di Thux -. Inoltre tutti i nostri servizi sono tutelati da certificati TLS in maniera da proteggere il dato con le opportune cifrature”.
A questo si aggiunge la serie di honeypot distribuiti, vale a dire di “barattoli di miele” che servono ad attirare gli attaccanti in modo da creare delle blacklist di IP compromessi o che conducono attività anomale sulle macchine che fungono da esca.
Per ora si tratta di un’attività interna, declinabile su varie porte, comprese quelle legate al VoIP. In futuro potrebbe essere commercializzato il risultato degli honeypot e le blacklist generate dalle trappole civetta, ma avendo chiaro che per raggiungere un livello di sicurezza adeguato, a prescindere che sia sul VoIP o su altri servizi IT, neanche questo va considerato come l’unico strumento sufficiente.
La cyber security al centro di qualsiasi servizio
È un approccio globale alla cyber security che può minimizzare il rischio. Lo stesso approccio rivendicato da Thux non da ora, ma dai tempi in cui nei budget delle aziende la voce “sicurezza informatica” risultava tra quelle più esigue. “Ancora oggi – continua Patisso – , la nostra proposta di vulnerability assessment affinché le imprese ad esempio si certifichino con lo standard 27001 non si limita ad aiutarle nel mero adempimento di procedure formali, ma mira alla sostanza: a innalzare la loro capacità di proteggersi. Tant’è vero che i nostri honeypot non si riferiscono soltanto ai servizi VoIP, ma in generale a vari altri servizi proprio per bloccare il prima possibile un potenziale attaccante inserendolo all’interno della blacklist”.
I prodotti che Thux sceglie e propone, dopo un’attenta attività di ricerca e test, sono orientati all’eccellenza, come ad esempio Sangoma per la centrale telefonica, che è il principale finanziatore del progetto Asterisk (in pratica, il software open source per il VoIP più diffuso al mondo) e Snom, azienda tedesca che realizza apparati per la telefonia fissa.
Il lavoro della società va in profondità: non si limita alla sola integrazione ma agisce ed opera sul protocollo e su ciò che viene definito RFC (Request for Comments) che identifica le specifiche su nuove ricerche, innovazioni e metodologie in ambito informatico.
Un lavoro al centro del quale la cybersecurity resta il pilastro su cui fondare qualsiasi servizio. “Ci sono tanti modi di vendere soluzioni VoIP, ma noi ne conosciamo solo uno che non può prescindere da un’infrastruttura per il controllo che garantisca la sicurezza delle comunicazioni” afferma in conclusione Luca Leone.
Contributo editoriale sviluppato in collaborazione con Thux
