I cyber criminali studiano le aziende per colpirne i punti deboli. Come i telefoni VoIP. Un aiuto in questo caso arriva dagli auricolari Jabra Engage. Mai sottovalutare infatti l’ingegno e l’impegno convogliato dai ladri nel loro “lavoro”. Le organizzazioni possono spendere milioni per proteggere le loro reti con i migliori software e sistemi di sicurezza, ma se da un lato queste soluzioni possono contrastare gli attacchi più “diretti”, dall’altra costringono gli hacker a essere più creativi e più attenti nello scoprire le debolezze del sistema. Un approccio che nel 2016 è costato alle imprese 388 miliardi di dollari. La prossima battaglia nella guerra per la sicurezza sarà incentrata sui dispositivi che, grazie all’Internet of Things, proliferano a un ritmo sorprendente. E c’è un device che si trova su quasi tutte le scrivanie, un oggetto che raramente viene considerato una minaccia per la sicurezza: il semplice telefono. In generale si tende a non pensare alla telefonia come a un realistico vettore di attacco per gli hacker.
Tuttavia un telefono basato sull’IP è – a pieno titolo – un sofisticato dispositivo di elaborazione; con software e connettività di rete che possono facilmente offrire un’opportunità agli hacker che sono alla ricerca della “perfetta vulnerabilità”. A ulteriore conferma, anche una ricerca di F5 Networks incentrata sulla serie di attacchi informatici che hanno colpito le imprese a Singapore nel giugno 2018. Gli analisti hanno rilevato che quasi il 90% del traffico “malevolo” (originato in Russia) era specificamente rivolto ai telefoni VoIP – in coincidenza con il summit Trump-Kim. Attraverso gli attacchi a questi dispositivi, presenti negli hotel in cui i delegati di alto livello soggiornano, gli hacker sarebbero in grado di intercettare alcune delle conversazioni più delicate che si possano immaginare.
In questo modo gli hacker si sono fatti le ossa mettendo nel mirino persone e imprese di grande valore. Una volta che una tecnologia o una tecnica sono state provate a danno di vittime “preziose” – come il caso sopracitato – gli hacker possono testarle in altri settori e vendere sul cosiddetto “Dark Web” il know-how e gli strumenti sviluppati. Qualsiasi azienda che conduca conversazioni incentrate su dati sensibili deve proteggere le chiamate in entrata e in uscita. La soluzione è semplice e si concentra sulla rimozione della vulnerabilità-chiave sfruttata dagli hacker: la connessione tra un auricolare wireless e la sua stazione base. Pochi centimetri facili da trascurare, e quindi bersaglio molto allettante per i criminali informatici.
Se possono accedere a questa connessione, gli hacker avranno vita facile nell’intercettare segreti o informazioni sensibili. Ecco perché le organizzazioni attente al tema della sicurezza dovrebbero scegliere hardware di telefonia con crittografia sicura, autenticazione e accoppiamento tutelato tra il dispositivo/cuffia e l’unità base, come le nuove Jabra Engage. Ciò significa che un’unità non accoppiata (come quella sviluppata da un hacker a poche decine di metri dall’ufficio) non può accedere al collegamento e quindi intercettare la conversazione.
L’abbinamento tra la stazione base e il dispositivo non è una novità, ma l’ultimo standard è l’”accoppiamento fisico assistito”. Ciò si verifica quando l’auricolare è inserito nell’unità base, e quando viene creata una chiave segreta di connessione per collegarli. Allo stesso modo, l’autenticazione è in uso da tempo, ma gli standard di sicurezza possono variare enormemente; ecco perché le società attente alla sicurezza Vdovrebbero puntare sull’accoppiamento cuffia/unità base.
Molte cuffie con il sistema Digital Enhanced Cordless Telecommunication (DECT) presentano forme di autenticazione e crittografia, ma spesso si tratta di standard limitati. Per essere veramente sicura un’organizzazione deve utilizzare uno standard più elevato: idealmente, una tecnologia militare come la crittografia AES (Advanced Encryption Standard) a 256 bit, che fornisce una linea di difesa che va oltre la Security Level C del sistema DECT. A differenza di molte tecnologie di difesa online, la telefonia sicura non è difficile da implementare. Richiede poca o nessuna gestione in corso: tutto ciò di cui essa ha bisogno è la consapevolezza della minaccia e la volontà di installare una soluzione sicura durante l’aggiornamento dell’infrastruttura di telefonia.
