Quando si tratta di sicurezza, non bisogna mai sottovalutare la destrezza e le risorse dei criminali. Così come i ladri non si fanno scoraggiare dalle misure di sicurezza fisiche che proteggono l’ambiente che intendono svaligiare, allo stesso modo i cyber criminali sono sempre alla ricerca di nuovi modi per aggirare i sistemi di sicurezza aziendale. I criminali informatici sono altrettanto abili e determinati dei loro colleghi nel mondo offline; se sanno che ci sono dati preziosi da rubare, useranno i metodi più subdoli e ingegnosi per portare a casa il risultato.
Le organizzazioni possono spendere milioni di dollari per proteggere le loro reti con i migliori software e sistemi di sicurezza, ma queste soluzioni, se da un lato possono certamente contrastare gli attacchi più “diretti”, costringono al tempo stesso gli hacker a essere più creativi e ad analizzare i propri obiettivi per scoprire debolezze di cui approfittare.
Si tratta di un approccio che ha contribuito a un aumento senza precedenti della criminalità informatica, che nel 2016 è costato alle imprese 388 miliardi di dollari. E mentre le aziende si difendono dai metodi più tradizionali, come i malware e le intrusioni attraverso i social network, i criminali diversificano le loro tattiche.
La prossima battaglia nella guerra in corso per la sicurezza sarà incentrata sui dispositivi che, grazie all’Internet of Things, proliferano a un ritmo sorprendente. E c’è un device che si trova su quasi tutte le scrivanie, un oggetto che raramente viene considerato una minaccia per la sicurezza: il telefono.
In generale si tende a non pensare alla telefonia come a un realistico vettore di attacco per gli hacker, soprattutto perché ci si dimentica che gli odierni dispositivi non sono certo paragonabili a quelli analogici dei decenni passati. Un telefono basato sull’IP è – a pieno titolo – un sofisticato dispositivo di elaborazione, dotato du un software e connettività di rete che possono facilmente offrire un’opportunità agli hacker che sono alla ricerca della vulnerabilità perfetta.
Ad aggiungere ulteriori elementi di allarme, la recente ricerca di F5 Networks incentrata sugli attacchi informatici che hanno colpito le imprese di Singapore nel giugno di quest’anno: quasi il 90% del traffico malevolo (originato in Russia) era specificamente rivolto ai telefoni VoIP – in coincidenza con il summit Trump-Kim. È dimostrato che con gli attacchi verso questi dispositivi – modelli tipicamente presenti negli hotel in cui i delegati di alto livello soggiornano – gli hacker sarebbero in grado di intercettare alcune delle conversazioni più delicate che si possano immaginare.
Le imprese specializzate che implementano i telefoni VoIP potrebbero fare finta di niente e chiedersi perché le tattiche di questa “guerra fredda” portata avanti dagli hacker dovrebbero interessare anche loro.
La risposta è che gli hacker si sono fatti le ossa mettendo nel mirino persone e imprese di grande valore. Una volta che una tecnologia o una tecnica sono state provate a danno di vittime “preziose” – come i diplomatici o le società di servizi finanziari – gli hacker possono testarle in altri settori, ma anche vendere sul cosiddetto “Dark Web” questo know-how e gli strumenti sviluppati. Quindi, anche se non è ancora un vettore di attacco importante per i criminali informatici di oggi, sarebbe folle immaginare che la telefonia IP non rappresenti una vulnerabilità che verrà presa di mira e sfruttata in tempi brevi.
Qualsiasi azienda che conduca conversazioni incentrate su dati sensibili deve proteggere le chiamate in entrata e in uscita da coloro che stanno solo aspettando di rubare qualcosa di valore, dai segreti commerciali ai numeri delle carte di credito dei clienti. La soluzione è sorprendentemente semplice e si concentra sulla rimozione della vulnerabilità chiave sfruttata dagli hacker: la connessione tra un auricolare wireless e la sua stazione base.
Questi ultimi pochi centimetri sono facili da trascurare, motivo per cui i medesimi rappresentano un bersaglio così allettante per i criminali informatici. Se possono accedere a questa connessione, gli hacker avranno vita facile nell’intercettare ogni potenziale segreto o parte di informazioni sensibili riportate nelle conversazioni telefoniche.
Ecco perché le organizzazioni che prendono sul serio il tema della sicurezza dovrebbero scegliere hardware di telefonia con crittografia sicura, autenticazione e accoppiamento tutelato tra il dispositivo/cuffia e l’unità base. Ciò significa che un’unità non accoppiata (come quella sviluppata da un hacker a poche decine di metri dall’ufficio) non può accedere al collegamento e quindi intercettare la conversazione.
L’abbinamento tra la stazione base e il dispositivo non è una novità, ma l’ultimo standard è l’accoppiamento fisico assistito, che si verifica quando l’auricolare è inserito nell’unità base, e quando viene creata una chiave segreta di connessione per collegarli. Allo stesso modo, l’autenticazione è in uso da tempo, ma gli standard di sicurezza possono variare enormemente; ecco perché le società attente alla sicurezza dovrebbero puntare sull’accoppiamento cuffia/unità base.
Molte cuffie dotate di sistema DECT (Digital Enhanced Cordless Telecommunication) presentano alcune forme di autenticazione e crittografia, ma spesso si tratta di standard limitati. La crittografia di base può respingere un hacker improvvisato, ma per essere completamente sicura un’organizzazione ha bisogno dello standard più elevato: idealmente, una tecnologia militare come la crittografia AES (Advanced Encryption Standard) a 256 bit, che fornisce una linea di difesa che va oltre la Security Level C del sistema DECT.
A differenza di molte tecnologie di difesa online, la telefonia sicura non è difficile da implementare. Richiede poca o nessuna gestione in corso: tutto ciò di cui essa ha bisogno è la consapevolezza della minaccia e la volontà di installare una soluzione sicura durante l’aggiornamento dell’infrastruttura di telefonia.
Ovviamente, la telefonia sicura non impedirà agli hacker di testare altre parti delle difese informatiche. Tuttavia, si chiuderà una porta aperta.
