Le minacce informatiche si presentano in tutte le forme e dimensioni, sia che si tratti di individui che lavorano per frodare qualcuno su piccola scala, sia che si tratti di divisioni di guerra informatica sponsorizzate da uno Stato che intendono interrompere la vita in tutto il mondo occidentale. Gli MSP svolgono un ruolo fondamentale nel proteggere le aziende da queste minacce, soprattutto quando si tratta di comunicazioni. Dopo tutto, se la sicurezza del suo VoIP è compromessa, significa che gli aggressori hanno accesso a tutte le sue comunicazioni.
I telefoni VoIP sono sicuri?
Dipende dai sistemi del suo fornitore. Molti telefoni VoIP sono sicuri dal punto di vista funzionale, ossia sono regolarmente aggiornati e difficilmente violabili. Tuttavia, chiedersi “i telefoni VoIP sono sicuri” è una domanda difficile, perché dipendono da molti altri aspetti del suo sistema VoIP. Esaminiamo quindi le forme più comuni di attacco informatico per avere un’idea di quanto siano sicuri i telefoni VoIP.
Forme comuni di attacco informatico
Diverse forme di sicurezza VoIP sono efficaci contro diverse forme di cyberattacco, quindi è essenziale capire come gli specialisti della sicurezza vedono le vulnerabilità di un sistema. In generale, può concentrarsi su una di queste aree principali di un sistema VoIP.
- Hardware
- Software
- Umani
Hardware VoIP
Quando si parla di hardware VoIP, ci si riferisce ai telefoni VoIP stessi e a tutto ciò che li collega. Un sistema VoIP sicuro assicura che i dati inviati dal telefono siano crittografati dall’inizio alla fine e che il telefono utilizzi un firmware aggiornato. Ma non si ferma qui. Anche tutti i collegamenti intermedi devono essere sicuri.
Ciò significa che un sistema VoIP sicuro deve prendere in considerazione il router, il firewall, i server attraverso i quali passano i dati e il dispositivo finale. Gli MSP non possono controllare il dispositivo finale (a meno che non sia interno o uno dei loro clienti), ma possono creare un sistema VoIP sicuro che offra a tutti le migliori possibilità di successo.
Purtroppo, la crescita dell’Internet delle cose ha dimostrato che è relativamente facile minare la sicurezza dell’hardware, in particolare dei router e delle telecamere. Anche gli elettrodomestici da cucina connessi, come le macchine da caffè intelligenti, possono essere utilizzati come punto di ingresso in una rete o per inviare dati dannosi, poiché il firmware viene raramente aggiornato in questi dispositivi.
Anche se c’è un po’ più di attenzione quando si tratta di sicurezza VoIP, tutto questo lavoro può essere vanificato da un hardware compromesso altrove nella rete. Ecco perché è necessaria una soluzione completamente crittografata.
Software VoIP
In generale, l’hardware è più facile da hackerare perché è spesso obsoleto. Il software, invece, dovrebbe essere costantemente aggiornato… ma ovviamente non è così.
A volte, le aziende possono avere problemi ad abbandonare il software, che viene reso gradualmente sempre meno sicuro. La sicurezza per oscurità non è qualcosa su cui qualsiasi azienda dovrebbe fare affidamento. Un telefono VoIP sicuro è ottimo, ma se il software attraverso il quale trasmette i messaggi è stato compromesso (a prescindere da quale sia la parte che lo fa), non rimarrà sicuro.
Gli MSP possono sempre controllare il software utilizzato dai loro clienti, di solito attraverso una buona selezione del fornitore e assicurandosi che tutto ciò che è a fine vita venga aggiornato alla versione migliore. Ecco perché il software come servizio è così importante: assicura che il software rimanga sempre aggiornato e non solo per il primo anno. Ecco perché una buona sicurezza del PBX inizia con un client software sicuro e aggiornato, che include chiamate vocali crittografate, oltre a video e dati.
Errore umano
Purtroppo, può acquistare il miglior telefono VoIP che si possa permettere, ottenere il sistema VoIP più sicuro, e tutto può essere vanificato se gli esseri umani della catena cadono in una truffa di phishing.
I truffatori cercheranno spesso di ottenere credenziali attraverso e-mail apparentemente legittime e, sebbene i sistemi di spam facciano un buon lavoro per eliminarne molti, non sono perfetti. Un buon sistema di sicurezza informatica deve limitare il più possibile le informazioni, assicurando che anche se qualcuno è compromesso, non possa fare troppi danni.
Questo include l’accesso al suo sistema VoIP. Una buona sicurezza della rete VoIP, ovviamente, significa tenere conto dell’elemento umano, come ad esempio utilizzare 2FA/MFA per ridurre il rischio di password, assicurarsi che i dispositivi di terze parti siano ridotti al minimo attraverso l’uso di un SBC integrato e la salatura e l’hashing delle password memorizzate. Ma una buona sicurezza della rete VoIP significa anche formare il suo personale a individuare i segnali di social engineering, incoraggiarlo a segnalare potenziali violazioni (anche se le ha causate) e assicurarsi che possa mettere in discussione e-mail o conversazioni apparentemente legittime che sembrano rappresentare un rischio di violazione della sicurezza (ad esempio, qualcuno che richiede le credenziali dell’utente).
È anche essenziale limitare l’accesso a coloro che non ne hanno bisogno, anche se pensano di averne bisogno. Ad esempio, è comune che le aziende forniscano credenziali di alto livello agli amministratori delegati e ad altri dirigenti C‑suite, anche quando non ne hanno bisogno. Questa pratica può minare pesantemente la sicurezza, in quanto i CEO hanno autorità e possono impartire comandi che non sempre vengono messi in discussione. Inoltre, spesso hanno le informazioni più pubbliche disponibili su di loro.
Attacchi combinati
La maggior parte dei cyberattacchi che causano danni utilizza un mix di metodi, ovviamente.
Come abbiamo visto con l’attacco di 3CX nel 2023, il punto di debolezza iniziale è stato che uno sviluppatore dell’azienda ha scaricato un software compromesso — un errore umano. In seguito, lo sviluppatore ha lavorato ai progetti mentre gli aggressori hanno iniziato a inserire il codice maligno nel software, creando un software compromesso. Il QA del software non ha individuato il codice compromesso, per qualsiasi motivo, e il risultato è entrato in produzione. Migliaia di utenti hanno scaricato il software compromesso e hanno subito molto stress e preoccupazione a causa di questo fallimento della sicurezza del PBX.
Peggio ancora, alcuni clienti hanno incolpato i loro MSP per la violazione della sicurezza — e molti hanno dovuto fare i salti mortali per mitigare le conseguenze.
Un problema meno pubblicizzato è stata la ricaduta sui telefoni Yealink, alcuni dei quali sembravano inviare dati ai server cinesi. Si trattava di un esempio di hardware potenzialmente compromesso. È difficile sapere con certezza se la sicurezza VoIP di questi telefoni sia stata effettivamente compromessa, ma la situazione non è stata positiva per Yealink. Il Congresso degli Stati Uniti ha sollevato delle domande, chiedendo di sapere se le chiamate nei dipartimenti statunitensi venissero intercettate.
Quasi altrettanto grave era il contratto di licenza con l’utente finale, che costringeva gli utenti ad accettare la legge cinese, per cui c’era pochissimo ricorso nel caso in cui un’azienda o un governo avesse avuto un problema.
L’hardware compromesso potrebbe potenzialmente portare a un software compromesso, qualora venisse utilizzato come vettore di attacco, oppure potrebbe intercettare una chiamata contenente dati sensibili (errore umano).
Perché i cyberattaccanti compromettono la sicurezza VoIP
Ci sono tre motivi principali per cui i cyberattaccanti compromettono la sicurezza VoIP:
- Guadagno monetario
- Provocare un’interruzione
- Perché possono
I primi due sono ampiamente collegati: c’è una sorta di guadagno nell’hacking o nell’intrusione in un sistema VoIP. Il ransomware è il metodo classico per paralizzare un’intera rete bloccando i computer tramite un software. Questo software è notoriamente difficile da decifrare e spesso cripta il contenuto di qualsiasi memoria, rendendolo impossibile da recuperare. In genere, le vittime del ransomware devono pagare una tariffa se non hanno dei buoni backup per (forse) riavere i loro dati. In alcuni casi, tuttavia, la tariffa viene pagata e i dati non vengono mai recuperati.
In alternativa, possono cercare di spostare il denaro su conti offshore, dove verrà spostato in tutto il mondo sui loro conti. Potrebbe essere semplice convincere un cliente ad effettuare un ordine, con il denaro che viene versato su un conto da loro controllato. Se hanno accesso a un sistema VoIP non protetto, questo potrebbe essere molto facile, soprattutto se l’azienda non segue le migliori pratiche di sicurezza VoIP.
In molti casi, in particolare quando gli hacker sono sponsorizzati da uno Stato, l’obiettivo è quello di causare disordini, non di trarre profitto finanziario. Questo perché alcuni Stati, come la Russia, mirano a disturbare le aziende occidentali per seminare il malcontento. Tutto questo fa parte di una guerra dell’informazione da parte della Russia (e di altri Paesi), che sia la Germania che l’Ucraina hanno sperimentato di recente. Interrompendo la tecnologia in generale (compresi i sistemi VoIP), sperano di creare problemi in tutto il mondo, disturbando il ritmo e il flusso della vita. Non importa che i sistemi siano per ospedali, scuole e autorità locali che stanno semplicemente cercando di migliorare la vita delle persone.
E poi ci sono le persone che mirano a rompere i sistemi solo perché possono farlo. Di solito si tratta di persone che si annoiano, hanno interesse a violare i sistemi e vogliono mettersi alla prova. Negli anni ’80 e ’90, probabilmente sarebbero stati chiamati phreaker (se si trattava di hackerare sistemi telefonici fisici — ovviamente, c’è un’intera discussione sulla sicurezza VoIP vs. rete fissa). Ora sono semplicemente hacker.
In genere, il loro obiettivo è entrare in un sistema e uscirne di nuovo, magari con alcuni dati casuali. Anche se di solito non causano troppi danni, è sempre preoccupante quando una persona non autorizzata accede ai suoi account.
Come si realizza un sistema VoIP sicuro?
Crei un sistema VoIP sicuro con chiamate vocali (e video e dati) crittografate, utilizzi un sistema con MFA o 2FA e single sign-on abilitato per impostazione predefinita e si assicuri che consenta il rilevamento e il monitoraggio delle intrusioni. Queste sono solo l’inizio delle migliori pratiche di sicurezza VoIP.
Qualsiasi sistema di sicurezza del PBX richiederà la segnalazione, la salatura e l’hashing delle password, il traffico fortemente crittografato dall’inizio alla fine e la protezione DoS.
Ma è necessaria anche una formazione del personale per riconoscere come evitare le truffe comuni (e molte altre meno comuni). Chi si chiede “il VoIP è sicuro” riceverà sempre la risposta “dipende” — e questo perché dipende dal sistema e dall’etica aziendale. Chi ha una buona formazione migliorerà notevolmente la propria sicurezza VoIP e la risposta alla domanda “il VoIP è sicuro” sarà “Sì”. Chi non offre una buona formazione può trovarsi in difficoltà.
Come gli MSP traggono vantaggio dai sistemi VoIP sicuri
Gli MSP e i loro clienti hanno bisogno di una buona sicurezza VoIP, soprattutto con la progressiva diffusione del VoIP (grazie ai molteplici tagli del rame, la questione della sicurezza VoIP vs. linea fissa non è più rilevante). Con un pacchetto di telefonia VoIP sicura che include Wildix, possono mantenere i loro clienti al sicuro e la loro reputazione protetta. Dopo tutto, la violazione di 3CX è stata un problema importante per gli MSP, perché improvvisamente la reputazione degli MSP è stata messa in gioco e la violazione è stata ampiamente riportata.
Il problema principale è che le soluzioni economiche spesso non sono ben ottimizzate per battere un hacker moderatamente competente. Inoltre, le grandi aziende che non si concentrano necessariamente sul VoIP potrebbero non avere i processi migliori quando si tratta di tappare le falle nei loro sistemi. Tuttavia, spesso dispongono di maggiori risorse per farlo rispetto alle soluzioni a basso costo basate su Asterisk.
In definitiva, il modo per garantire una buona sicurezza VoIP è quello di utilizzare una buona soluzione, come Wildix, che metta la sicurezza al primo posto. In questo modo, il suo MSP è protetto, i suoi clienti sono protetti e la sua reputazione è protetta.
Per ulteriori approfondimenti sulla tecnologia e la cybersicurezza, registrati per ricevere gratuitamente il nostro magazine!