w/arc Il VoIP non è sicuro
Deve essere un periodo particolarmente adatto per lanciare allarmi di sicurezza nazionale in USA. Il governo USA ha nuovamente emesso uno ‘strong warning’, ovvero un avviso molto importante, sui rischi di sicurezza connessi con l’uso della telefonia via Internet, una delle tecnologie a più elevato tasso di crescita.
Un report del National Institute of Standard and Technology (NIST), organismo che sviluppa le linee guida sull’uso della tecnologia per le agenzie governative, mette in guardia sulle “vulnerabilità congenite” del VoIP, con particolare attenzione all’intercettazione delle comunicazioni. “Ci si può aspettare che i sistemi VoIP siano più vulnerabili dei sistemi telefonici convenzionali - si legge nel rapporto - perché sono collegati allo strato dati della rete e dunque ci sono maggiori debolezze intrinseche e un attacco è potenzialmente più semplice”. Visto che di norma le aziende USA prendono con molta serietà avvisi del genere, è possibile che qualcuno riveda i propri piani riguardo l’adozione di tecnologie VoIP.
Secondo Gartner le aziende USA hanno speso qualcosa come 1,76 miliardi di euro in telefoni abilitati al VoIP nel 2004, contro gli 1,14 miliardi di euro di spesa in strumenti convenzionali di telefonia.
Entro il 2007 Gartner stima che circa il 97% dei nuovi impianti telefonici aziendali installati in Nord America saranno sistemi VoIP puri o ibridi. E anche il mercato consumer si espande rapidamente: nel 2008 dovrebbero essere 26 milioni le case americane dotate di VoIP; oggi sono appena un milione.
Così mentre la nuova tecnologia si diffonde, il governo USA teme che se ne possano sottovalutare i rischi. Il report del NIST è piuttosto esplicito.
La fonte principale di confusione è “la convinzione che, dal momento che la voce digitalizzata è trasmessa in pacchetti come un normale dato, le architetture di rete oggi esistenti possano essere usate senza alcuna modifica”.
Così avvisa: “il VoIP aggiunge una serie di complicazioni alle infrastrutture esistenti e tali problemi sono amplificati dalle considerazioni di sicurezza”. Non che queste siano novità assolute. Le questioni di sicurezza del VoIP sono già da tempo oggetto di discussione. E’ noto, per esempio, che spesso i firewall e i sistemi di intrusion detection (IDS) interferiscono rallentando il flusso di informazioni voce sulla rete, portando in qualche caso anche all’interruzione della comunicazione. E’ altrettanto noto che i firewall non sono una difesa contro gli attacchi provenienti dall’interno. E’ chiaro per tutti gli addetti ai lavori che chiunque abbia accesso fisico alla rete locale aziendale può utilizzare strumenti di monitoring e inserirsi abbastanza facilmente nelle chiamate VoIP. Questo in teoria è possibile anche con le reti telefoniche tradizionali, ma è anche molto più difficile. Inoltre, la cifratura delle chiamate VoIP rende le intrusioni un po’ più difficili, ma non risolve il problema.
Il NIST, dunque, avvisa che i servizi telefonici essenziali, “a meno che non siano pianificati, installati e mantenuti con molta cura, saranno più a rischio intrusioni se basati su VoIP” perché Internet è molto meno sicura delle reti telefoniche pubbliche.
La raccomandazione è di usare reti separate per voce e dati, quando possibile. Ma questo significa anche rinunciare a uno dei principali fattori che rendono il VoIP interessante per molte aziende: la convergenza tra voce e dati.
Che sia veramente questa la strada?