Roma – Un esperto di sicurezza ha pubblicato un programma proof of concept che, a suo dire, dimostra l’intrinseca insicurezza di molte soluzioni di telefonia via Internet (VoIP).
IL tool, chiamato SIPtap e sviluppato da Peter Cox, co-fondatore della società di sicurezza BorderWare , sarebbe in grado “mettersi all’ascolto” di più comunicazioni VoIP e registrarle in un file WAV. Tutto ciò che un aggressore deve fare, secondo l’esperto, è riuscire a installare il programma su di un PC connesso alla LAN aziendale, eventualmente sotto forma di trojan. Ma Cox afferma che SIPtap funziona egregiamente anche sui server di un provider Internet, dove potrebbe addirittura intercettare una buona parte, se non tutte, le chiamate VoIP effettuate dai clienti dell’ISP.
Solo pochi giorni fa la Polizia Federale tedesca si è lamentata di quanto sia difficile, da parte delle forze dell’ordine, riuscire a intercettare le chiamate effettuate con Skype. Cox non ha specificato se il proprio SIPtap sia in grado di decifrare i flussi audio di Skype, ma è assai improbabile, sia perché non usa il protocollo SIP sia perché il programma dell’esperto sembra in grado di “ascoltare” solo conversazioni in chiaro. Cox afferma infatti di aver sviluppato SIPtap proprio per promuovere l’utilizzo di client VoIP dotati di funzionalità di cifratura dei dati.
Altri esperti sostengono che non c’era affatto bisogno di SIPtap per sapere che qualunque flusso di dati non cifrato, quando attraversa una rete, può essere intercettato. Oltretutto, si aggiunge in questo post di Mr. Blog , un aggressore che volesse servirsi di un tale tool dovrebbe riuscire a bucare le difese di sicurezza basilari di un’azienda, o convincere un ISP a collaborare: un’eventualità tutt’altro che probabile. “E generalmente – continua il post – un singolo PC non è esposto al traffico IP degli altri nodi”: ciò significa che un solo PC infetto con un trojan in stile SIPtap, difficilmente potrebbe intercettare le conversazioni che avvengono sugli altri PC della LAN.
Dunque ben vengano i client VoIP con cifratura, ma nessun allarmismo sull’insicurezza del VoIP, conclude MrBlog. Sempre che, come ventilato dalla Polizia tedesca, i trojan alla SIPtap non divengano “di stato”.