Non è vero ovviamente.
Ho solo applicato a Skype l’idea di sicurezza che riesce a elaborare un “genio dell’Open Source”.
Lasciamo da parte Skype e vediamo cos’è successo veramente.
Giacomo Brusciati di Comunica.Meta srl è un installatore di sistemi telefonici delle Marche, ha installato circa 2200 sistemi. Prima ISDN e poi VoIP (ha solo 40anni quindi è uno che si da da fare).
Come tutti i giorni, Giacomo installa un nuovo PBX, oggi è in una bellissima tenuta agricola con più sedi e arriva al punto di collegare dei telefoni IP remoti.
La tenuta agricola ha un firewall fornito e configurato da “azienda italiana leader” focalizzata sul fare TUTTO (quindi è leader in tutto): Centralino Telefonico, Firewall, CRM, NAS, Server fax, antivirus, antispam, Teleassistenza etc.
Insomma una gamma… che neanche Cisco.
Giacomo invia un’ e-mail chiedendo che gli vengano aperte le porte IP sul firewall per far connetter il SIP/TLS.
Risposta:
“Tale pratica è da noi FORTEMENTE SCONSIGLIATA in quanto il protocollo SIP è molto debole”
Giacomo fa notare che il fatto che il loro sistema sia debole (FreePBX configurato più o meno a caso) non significa che lo siano anche gli altri e risponde:
“mi piacerebbe chiarire che il nostro sistema è diverso da quello che è un sistema asterisk pertanto, vi pregherei di evitare (ad ogni nostra richiesta di apertura porte) INUTILE TERRORISMO PSICOLOGICO al cliente”
Il “genio dell’Open Source” non molla:
“Il protocollo SIP è per sua natura non sicuro, le comunicazioni sullo stesso passano in chiaro così come la fonia.”
Giacomo si arrabbia, fa aprire le porte IP e termina il suo lavoro.
Risultato? Il lavoro di un’ora fatto in due giorni ma, succede, non se la prende.
Ha fatto bene Giacomo?
Oppure ha esposto il suo cliente a rischi inutili?
Il protocollo SIP può essere sicuro?
Un indizio del fatto che esiste un SIP sicuro lo possiamo dedurre da alcune aziende che non sono leader come il “genio dell’Open Source” ma comunque esistono e non possiamo ignorarle.
Tutti gli operatori di telecomunicazione come Fastweb, Telecom, TWT, Wind etc oltre a tutti i produttori di sistemi VoIP come ad esempio Avaya, Cisco, Shoretel, Mitel, Broadsoft, Unify, Microsoft, Alcatel etc. utilizzano SIP.
O questi sono tutti criminali e imbecilli oppure il nostro “genio dell’Open Source” ignora qualche elemento.
Ma perché dice che il SIP non è sicuro?
Un account SIP è protetto da una coppia di login e password. Tipiche coppie di login e password scelte dai “geni dell’Open Source” sono:
1200 / 1200
100 / 1234
203 / 0000
320 / password
Come funziona il complicatissimo attacco al sistema del genio?
Con un software “cattivo” e gratuito scaricato da internet:
- scansione della rete internet e individuazione di un server SIP
- richieste di contatto verso vari numeri di interno: 100-101 … 1000-1001 …
- tentativi di login con il numero d’interno e password prelevate da un database
Cosa contiene il database?
Guardacaso “0000”, “1234”, “password”, e qualche altro milione di parole chiave.
Così si fanno bucare il sistema, anche se l’attacco non ha successo, i disagi per il cliente sono notevoli, rallentamento del server (che è impegnato a rispondere a richieste di autenticazione) e saturazione della linea internet.
Come si risolve il problema?
- fai come il dice il “genio dell’Open Source”, cioè installi un server insicuro e poi lo nascondi bene (è interessante sapere quanto è sicuro il firewall a questo punto) …
- fai come Giacomo (Fastweb, Telecom etc) e installi un sistema SIP sicuro di suo
Cosa fa un server SIP sicuro:
- genera automaticamente password sicure e non accetta password insicure neanche se Giacomo vuole
- non risponde a richieste non autenticate di “esiste l’interno 100?”
- se arriva il software “cattivo” viene bloccato l’IP di origine per 5 minuti, se ci riprova ancora lo blocca per un giorno
- ha due livelli di password, una per l’utente e una che utilizza il sistema per configurare i telefoni automaticamente, in questo modo neanche l’utente può comunicare la password ad altri
- non manda i dati in chiaro ma usa SIP/TLS (Transport Layer Security) e SRTP (Secure Real-time Transport Protocol) lo standard di encryption per rendere sicuro il SIP
Risultato:
- il sistema è sicuro
- il cliente può comunicare da dove vuole
Ma il “genio dell’Open Source” non lo sa?
Il genio non ha fatto altro che scaricare gratis FreePBX, l’ha chiamato VoIPTruz, ha modificato l’interfaccia web mettendoci il suo logo e lo vende a installatori telefonici sprovveduti, entrambi non hanno la più pallida idea di cosa stanno facendo a scapito dell’ignaro cliente.
Perché lo fa?
Il sistema, centralino o firewall che sia, è il suo cavallo di Troia, quello che gli interessa non è
guadagnare dalla vendita del prodotto ma creare un “partner drogato in crisi d’astinenza” che ogni giorno ha bisogno di chiedere assistenza per fare qualunque cosa e HA PAURA di fare qualunque cosa.
Insomma a 65 euro l’ora non diventa ricco ma intanto con i tuoi soldi ci campa.
Smettila di farti sfilare soldi dal “genio dell’Open Source” di turno!
- Se compri un iPhone6 a 100 euro, stai comprando un telefono rubato: sei un ricettatore.
- Se compri un centralino interni illimitati a 1600 euro basato su FreePBX: sei un ingenuo, compri un prodotto che non esiste, paghi ore non dovute di assistenza: il fallimento ti aspetta e te lo meriti.
La colpa non è tua in entrambi i casi ma devi esser un po’ più accorto e fare delle valutazioni serie su ciò che stai comprando.
Se vuoi fare esperimenti con l’Open Source, è fantastico, scarica FreePBX e provalo a casa tua, non in ufficio dai clienti. Non hai bisogno di un VoIPTruz che si fa pagare per risolverti i problemi creati da loro.
Mi fa veramente male vedere Giacomo che deve subire la tua concorrenza.
A differenza di te, il prezzo al cliente lo fa prima.
Non ha mai chiesto mezzo euro per errori suoi o dei sistemi che installa.
In una parola, Giacomo è responsabile. Ovvero si fa carico delle conseguenze delle sue scelte e non le scarica sui clienti, per questo sceglie prodotti che gli diano le stesse garanzie.
La differenza tra te e Giacomo?
Giacomo è partito da solo e oggi si ritrova con una bella azienda.
Tu sei partito con una bella azienda e a forza di lavorare con il VoIPTruz di turno ti troverai a lavorare da solo.
Grazie a chi lascia un commento!
Stefano Osler
Bellissimo articolo!
Io sono un amante dell’open source.
Ho provato sia asterisk che freepbx.
Il paradosso è che in produzione se configurato bene da uno che li ha grossi, asterisk (non freepbx che fa davvero schifo sotto tutti i fronti) può funzionare come wildix in termini di sicurezza e di funzioni di base, ma non arriva certamente al suo livello in termini di rapidità di installazione, funzionamento, compatibilità e servizi aggiuntivi !!!
Come ne pensate di hydemyass? io mi trovo bene ma a volte è un po’ lenta, se c’è bisogno di un ping basso arranca un po’!
Col titolo mi hai fregato… Ma comunque si, quando ci sia affida alle VPN per realtà imprenditoriali ed aziendali è meglio andare verso professionisti ben affermati e pagati come si deve. Mai utilizzare sistemi gratuiti installati da persone poco capaci o alle prime armi.
Ciao Stefano ;D
Grazie Matteo.
Confermo, e aggiungo che ogni sistema deve essere sicuro. Siamo abituati a pensare che gli attacchi arrivino dall’esterno mentre la maggior parte arriva da computer interni alla rete dove il firewall non c’è. Gli attacchi con maggior probabilità di successo si basano sulla noncuranza delle persone nell’aprire un’allegato e-mail …