Roma – Chiamare gratis in tutto il mondo, sfruttando un bug del VoIP di Tiscali: il sogno di ogni phreaker è stato realtà, fino alla settimana scorsa. Bastava impostare l’indirizzo IP di un server Tiscali in un adattatore o un telefono IP per poterli usare e chiamare gratis ovunque. L’hanno scoperto alcuni utenti e l’hanno segnalato a Punto Informatico nei giorni scorsi. Tiscali, avvisata, ha chiuso la falla nel giro di 24 ore, guastando la festa a chi, in questo modo, chiamava gratis da settimane o addirittura da mesi.
Il problema era rilevante, perché la notizia circolava ormai nei newsgroup e per sfruttare la falla bastava usare una connessione di Tiscali; non servivano insomma conoscenze da phreaker ma solo la capacità di impostare un indirizzo IP nella finestra di configurazione dell’adattatore o del telefono VoIP usati.
In particolare, bisognava inserire come gateway il 213.205.4.83, con porta 5060, senza far la registrazione del client. Il server infatti non richiedeva alcuna user name o password per fare passare il client e permettergli di chiamare.
Come segnalano fonti vicine a Punto Informatico, il trucco è stato provato con successo su vari dispositivi VoIP: il Grandstream BudgeTone 102, il Cisco Ata 186, il Fritz Box Fon, il Lynksys Pap2. Per scoprire l’indirizzo del server fallato, pare che gli utenti abbiano analizzato, con uno sniffer, il traffico che passa per la propria scheda di rete mentre si usa l’applet del sito netphone.tiscali.it. Quell’indirizzo di server è quindi relativo a Netphone, storico servizio VoIP di Tiscali, con cui, ufficialmente, è possibile fare e ricevere chiamate; ma, sempre ufficialmente, solo tramite PC e verso numeri di rete fissa nazionale. Invece, sfruttando questa falla, si poteva chiamare in tutto il mondo tramite adattatore o telefono VoIP, se si era connessi con Tiscali.
Se la connessione era con un altro operatore, la chiamata partiva, il telefono di destinazione squillava, ma non si sentiva l’audio, come segnalato a Punto Informatico. Un altro aspetto curioso della vicenda è che il server fallato era SIP, mentre NetPhone, tradizionalmente, è basato su protocollo VoIP H323, che è meno recente, ma era quello in voga fino a un paio di anni fa.
Se non fosse stato un server SIP, non avrebbe potuto funzionare con gli adattatori e con i telefoni VoIP testati, che usano infatti questo standard. La presenza di un server SIP è segno, forse, dei lavori in corso che Tiscali sta facendo in questi giorni per il lancio (previsto nei prossimi mesi) di un servizio VoIP completo, più evoluto rispetto a NetPhone, e che funzioni anche con telefoni normali forniti di adattatori.
“Ci teniamo a specificare”, dice infatti un portavoce di Tiscali, rispondendo alla segnalazione del bug, “che è importante non confondere il servizio Netphone con il servizio Voice Over IP di prossimo lancio. La differenza sostanziale è che Netphone di Tiscali permette di effettuare chiamate voce da telefono a PC, da PC a telefono e da PC a PC, mentre il servizio di VoIP che verrà prossimamente lanciato permette di effettuare chiamate voce da telefono a telefono ed usa una piattaforma completamente diversa”.
Sono invece assai generiche le spiegazioni fornite da Tiscali riguardo al bug scoperto dai lettori di Punto Informatico. In sostanza, l’operatore si trincera dietro l’affermazione secondo cui nessun sistema di sicurezza è perfetto. “Tiscali Italia applica di regola adeguate misure di sicurezza messe a punto sulla base dei numerosi e particolarmente rigidi test effettuati durante tutta la fase di sviluppo dei servizi fino al loro rilascio. Questo permette alla società di limitare al massimo qualsiasi tipo di “attacco”. Ovviamente, come avviene per tutti i prodotti/servizi con una forte componente tecnologica, esistono alcuni momenti di maggiore vulnerabilità che tipicamente emergono, come in questo caso, durante le fasi di migrazione o aggiornamento dei servizi. In tali casi si adotta il principio di azione-reazione immediata appena si identifica il problema. In linea generale dunque, Tiscali Italia è proattiva nell’ambito della sicurezza dei propri servizi, fermo restando che il termine sicurezza al 100 per cento è sostanzialmente “utopico”.”
Alessandro Longo
Ti potrebbe interessare
3 mag 2005