Home Notizie Vulnerabilità di reti e telefoni

Vulnerabilità di reti e telefoni

Mercoledì 06 Febbraio 2013 15:57

Di recente in rete su NBC News è comparso un articolo firmato da Bob Sullivan dal titolo "Popular office phones vulnerable to eavesdropping hack, researchers say". In breve, si da notizia della scoperta di ricercatori della Columbia University, secondo cui i telefoni Cisco presenti su molti posti di lavoro delle aziende americane possono essere manipolati e trasformati in dispositivi di intercettazione.

Leggere l'articolo di NBC Neww on line    -   scaricare versione in pdf
 
Il tema trattato é sicuramente interessante e i rischi evidenziati riguardano soprattutto la sicurezza e la protezione "fisica" del luogo di lavoro e degli oggetti presenti.
Ma il problema dimostra anche quanto tutti sono coinvolti:
- i vendor, per migliorare ulteriormente la sicurezza del software, prevenire e risolvere i problemi,
- i responsabili delle reti aziendali, nel sentirsi più responsabilizzati su questi argomenti.

Il Forum UCC, nel seguito, riporta il parere di un legale che si occupa di privacy: l'Avv. Valerio Vertua, Cloud Security Alliance Italy Chapter, Legal & Privacy Director.


L'articolo in questione richiama l'attenzione del lettore sulla vulnerabilità, a volte anche estrema, dei telefoni Cisco basati su protocollo IP (sempre più adottati nelle aziende o nelle Istituzioni, come ad es. in Italia dall'Agenzia delle Entrate)  sollevando, implicitamente, delle perplessità in merito alla privacy ed alla sicurezza.  

Le informazioni da Cisco
Questa vulnerabilità fa leva prevalentemente sul fatto che qualcuno possa accedere fisicamente all'apparato e collegare un'oggetto fisico alla porta AUX del telefono, oltre che ad avere una rete configurata in un certo particolare modo.
La risposta che Cisco ha dato è riassunta in questo blog di Rowan Trollope (Senior Vice President and General Manager of Cisco's Collaboration Technology Group).
In sostanza Cisco ha rilasciato sia tutte le informazioni e le procedure per mettere in sicurezza la propria rete (norme che dovrebbero essere adottate in ogni caso, per buona pratica), sia un software update per i telefoni che blocca la vulnerabilità alla fonte.
I documenti dettagliati si trovano qui riportati: 
- Security Advisory -  
- Applied Mitigation Document - 

Tecnicamente l'eavesdropping è un tipo di attacco informatico in cui un malintenzionato cerca di carpire passivamente, attraverso apparecchi scanner e/o software specifici i segnali radio decodificando, o cercando di decodificare, i dati trasmessi. Nell'articolo tale termine viene invece usato per identificare una tecnica di intercettazione telefonica su un telefono Voip Cisco basata sull'immissione di un software che riscrive il sistema operativo permettendo di prendere il controllo non solo del singolo apparecchio telefonico ma anche dell'intero centralino. Questo tipo di attacco prevede per la sua attuazione   l'accesso fisico ad almeno un apparecchio telefonico, cosa difficile ma non impossibile.

Esistono da qualche anno, invero, tecniche di intercettazione anche da remoto che attraverso un virus, iniettato magari attraverso un sms o una email, rendono il telefono cellulare del soggetto bersaglio un ottimo strumento di intercettazione non solo telefonica ma anche ambientale (audio ed a volte anche video) e questo senza che compaia sul display del terminale alcun segnale dell'attività in essere: vengono infatti disabilitati opportunamente anche i led di attività. 

Le conclusioni di buon senso che si possono trarre leggendo questo articolo sono, però, quelle che, ormai, dovrebbero governare sempre l'atteggiamento dell'utente nell'impiego quotidiano della tecnologia. La tecnologia è in continua evoluzione, non si può fermare, è sempre più invasiva nella nostra vita. La prima difesa del cittadino, prima ancora della necessità di norme giuridiche specifiche ed in parte sovra nazionali, consiste nell'informazione: più uno conosce i rischi potenziai per la propria sicurezza e per la propria privacy più è in grado di fare un'uso consapevole dello strumento (sia esso un telefono fisso, un telefono cellulare, un tablet, un computer ecc.). Usare la crittografia, vertua fotospesso attivabile in maniera semplicissima e trasparente dall'utente, soprattutto laddove è prevista dal sistema operativo del device usato. Fare sempre l'upgrade di sistemi operativi e di firmware soprattutto quando prevedono la risoluzione di bachi di sicurezza. Da ultimo è bene, però, tenere presente ed essere consapevoli che è quasi impossibile difendersi in maniera realmente efficace se qualcuno è fortemente interessato ed in modo specifico ad acquisire informazioni digitale e non sul conto di una persona specifica, soprattutto se dispone di mezzi e di risorse finanziarie ingenti.

Avv. Valerio Vertua - Cloud Security Alliance Italy Chapter, Legal & Privacy Director

Ultimo aggiornamento Venerdì 08 Febbraio 2013 16:43

Aggiungi commento


Codice di sicurezza
Aggiorna