Un telefono basato su IP è a pieno titolo un dispositivo di elaborazione fornito di software e connettività di rete. Caratteristiche che possono offrire un varco agli hacker, che sono costantemente alla ricerca di vulnerabilità da sfruttare.

Mentre le aziende si difendono dagli attacchi informatici "più tradizionali", i criminali stanno già diversificando le loro tattiche. La prossima battaglia nella guerra in corso per la sicurezza sarà incentrata sui dispositivi che proliferano grazie all'Internet of Things. Dispositivi che si moltiplicano a un ritmo sorprendente.

E c'è un device che si trova su quasi tutte le scrivanie. E che raramente viene considerato una minaccia per la sicurezza. Si tratta del semplice telefono.

Jabra punta i riflettori sulla sicurezza della telefonia IP

Sono gli esperti di Jabra, tra le azienda leader nello sviluppo di dispositivi audio per le comunicazioni, a lanciare l’allarme. Lo fanno invitando a non sottovalutare “quello che la maggior parte delle aziende dimentica quando si tratta di cyber security”. Una recente indagine di F5 Networks, riportata da Jabra, ha rilevato che quasi il 90% del traffico “malevolo” (originato in Russia) era specificamente rivolto ai telefoni VoIP e ai device IoT. Questo dato era stato registrato in coincidenza con il summit Trump-Kim.

La telefonia IP, dichiara Jabra, non è ancora un vettore di attacco importante per i criminali informatici, oggi. Tuttavia, prosegue l’azienda, sarebbe folle immaginare che essa non rappresenti una vulnerabilità. E che questa vulnerabilità non verrà presa di mira e sfruttata in tempi brevi.

Proteggere i propri dati e le reti dalla criminalità informatica nel 2016 è costato alle imprese 388 miliardi di dollari. Ma, in generale, si tende a non pensare alla telefonia come a un realistico vettore di attacco per gli hacker. Questo soprattutto perché ci si dimentica che gli odierni dispositivi non sono paragonabili a quelli analogici dei decenni passati.

Comunicare in sicurezza

Le imprese specializzate che implementano i telefoni VoIP potrebbero fare finta di niente. Magari chiedendosi perché le tattiche da “guerra fredda” portata avanti dagli hacker dovrebbero interessare anche loro. La risposta che propone Jabra fa riflettere. Ed è che gli hacker si sono fatti le ossa mettendo nel mirino persone e imprese di grande valore. Tecnologie e tecniche vengono provate a danno di vittime "preziose”, come i diplomatici o le società di servizi finanziari. Dopodiché gli hacker possono testarle in altri settori. Oppure, anche vendere sul cosiddetto “Dark Web” questo know-how e gli strumenti sviluppati.

Quindi, l’invito che Jabra fa alle aziende è netto e chiaro. Qualsiasi azienda che conduca conversazioni incentrate su dati sensibili deve proteggere le chiamate in entrata e in uscita. Proteggere i contenuti da quelli che stanno solo aspettando l’opportunità di rubare qualcosa di valore. Dai segreti commerciali ai numeri delle carte di credito dei clienti. Una soluzione è sorprendentemente semplice e si concentra sulla rimozione di una delle vulnerabilità chiave sfruttate dagli hacker. Vale a dire la connessione tra un auricolare wireless e la sua stazione base.

Questi ultimi pochi centimetri sono facili da trascurare, motivo per cui rappresentano un bersaglio così allettante per i criminali informatici. Se possono accedere a questa connessione, gli hacker avranno vita facile nell’intercettare ogni informazione sensibile riportata nelle conversazioni telefoniche.

Le soluzioni Jabra

Ecco perché le organizzazioni che prendono sul serio il tema della sicurezza dovrebbero scegliere hardware di telefonia che preveda contromisure. Ad esempio con crittografia sicura, autenticazione e accoppiamento tutelato tra il dispositivo/cuffia e l’unità base. L’azienda fa un esempio del proprio catalogo, citando le nuove Jabra Engage. Un'unità non accoppiata (come quella di un hacker nei pressi dell'ufficio) non può accedere al collegamento e intercettare la conversazione.

L'abbinamento tra la stazione base e il dispositivo non è una novità, ma l'ultimo standard è l'accoppiamento fisico assistito. Ciò si verifica quando l'auricolare è inserito nell'unità base, e quando viene creata una chiave segreta di connessione per collegarli. Allo stesso modo, l'autenticazione è in uso da tempo, ma gli standard di sicurezza possono variare enormemente. Ecco perché le società attente alla sicurezza dovrebbero puntare sull’accoppiamento cuffia/unità base.

Molte cuffie con il sistema DECT (Digital Enhanced Cordless Telecommunication) presentano alcune forme di autenticazione e crittografia. Spesso si tratta però di standard limitati. La crittografia di base può respingere un hacker improvvisato, ma per essere sicura un'organizzazione ha bisogno dello standard più elevato. Idealmente, una tecnologia militare come la crittografia AES (Advanced Encryption Standard) a 256 bit, che fornisce una linea di difesa che va oltre la Security Level C del sistema DECT.

A differenza di molte tecnologie di difesa online, la telefonia sicura non è difficile da implementare, è la riflessione di Jabra. Richiede poca o nessuna gestione in corso. Essa ha bisogno della consapevolezza della minaccia e della volontà di installare una soluzione sicura durante l'aggiornamento dell'infrastruttura di telefonia. Ovviamente, la telefonia sicura non impedirà agli hacker di testare altre parti delle difese informatiche. Tuttavia, si chiuderà almeno una “porta aperta”.

