L'insicurezza del VoIP

Sono ormai circa 10 anni che la tecnologia VoIP permette di utilizzare Internet per le conversazioni telefoniche (qualcuno ricorderà i pionieri InternetPhone e Net2Phone), e negli ultimi anni stiamo assistendo ad un vero e proprio boom evolutivo grazie anche alla rapida diffusione di software quali Skype, GnomeMeeting, Google Talk, etc.

Come è noto i vantaggi del VoIP sono molteplici, uno su tutti i costi irrisori se non del tutto assenti rispetto alla telefonia tradizionale e in alcuni casi il vantaggio di poter conversare in maniera 'sicura' grazie alla trasmissione crittografata (v.Skype e tutti i suoi cloni).

Questi fattori hanno portato alcuni produttori di telefoni al punto di immettere sul mercato cordless e telefoni di rete fissa 'dedicati' esclusivamente al VoIP! Ultimo tassello di un puzzle che ha visto un coinvolgimento non solo 'domestico' ma anche 'militare' di questa tecnologia, riconosciuta dalla stessa CIA come uno dei sistemi di comunicazione 'potenzialmente' utilizzati tra le cellule terroristiche di Al Qaida.

Ma in questo mare magnum di pubblicità, software vari e apparecchi dedicati c'e' chi si chiede: il VoIP è realmente sicuro?? Anche quello criptato ci mette davvero totalmente al riparo dal rischio di intercettazioni??

La risposta a mio parere è si, ma solo a certe condizioni e vediamo il perchè.

Partiamo dai vari software che non fanno uso di crittografia: niente di piu' insicuro.
La possibilità di intercettare pacchetti di dati, alterarne il contenuto o comprometterne la trasmissione è altissima e senza neanche aver preventivamente infettato il pc dell’utente con un trojan, un virus o un worm dedicato.

Ad es.tempo fa molti siti hanno analizzato le caratteristiche di Cain ed Ethereal, due software di 'intercettazione' telefonica VoIP particolarmente indicati per gli amministratori di rete, il cui funzionamento si basa sommariamente sul catturare pacchetti di dati (RTP), decodificarli e ricostruire il file audio della conversazione.

Ma anche la crittografia di Skype puo' in certe condizioni essere bypassata, anche se qui occorre 'infettare' il pc della vittima.
Una volta installato il programma malevolo, il resto si gestisce via trojan da remoto: il programma sul pc della vittima agisce in background (nascosto tra i processi di sistema), avviando la registrazione in formato 'rozzo' (es.PCM a 8000 Khz) cosi' da passare inosservato anche nella dimensione del file finale che contiene l'audio della conversazione.
Completata la cattura il malintenzionato di turno se lo auto-invia sfruttando una X porta aperta in precedenza.
In questo caso la cattura avviene a monte, ossia prima della criptazione e decriptazione del segnale e senza interagire direttamente col software di VoIP, un po' quello che fanno software come 'Hot Recorder VoIP' ma senza che gli interessati se ne accorgano.

Insomma di tecniche ce ne sono e col tempo verranno affinate ulteriormente. In un vecchio intervento nella MList del CSIG ho accennato ad es agli exploits che sfruttano falle presenti nei vari software, e proprio per chi telefona via Internet le previsioni non sono delle più rosee, non manca infatti chi ha già rilevato come i servers dei vari Networks VoIP siano ancora facilmente vulnerabili ad attacchi informatici di tipo DoS (in gergo Denial of Service).
Attacchi finalizzati a sovraccaricarli di traffico, richieste continuee e simultanee di accesso al fine di farli 'collassare' mandandoli in tilt. Rischio per ora difficile da arginare vista la forte e rapida globalizzazione del VoIP.


Rocco Gianluca Massa