Mai sottovalutare l’ingegno e lo sforzo che i ladri possono convogliare nel loro “lavoro”. Se esperti criminali vengono a conoscenza di indicibili ricchezze depositate in un caveau di una banca, non saranno certo scoraggiati da una porta in acciaio da sei pollici, allarmi e sistemi di telecamere a circuito chiuso; in qualche modo troveranno un modo per agire. Anche se ciò significa perforare diversi metri di cemento durante un fine settimana.
Lo scenario descritto vale anche per le imprese, anche se queste non tengono un tesoro in oro e gemme preziose nei loro locali. I criminali informatici sono altrettanto abili e determinati come i loro colleghi nel mondo offline; se sanno che ci sono dati preziosi da rubare, essi useranno i metodi più subdoli e ingegnosi per portare a casa il risultato.
Le organizzazioni possono spendere milioni di dollari per proteggere le loro reti con i migliori software e sistemi di sicurezza, ma queste soluzioni se da un lato possono certamente contrastare gli attacchi più “diretti”, costringono al tempo stesso gli hacker a essere più creativi e ad analizzare i propri obiettivi per scoprire debolezze di cui approfittare.
Si tratta di un approccio che ha contribuito a un aumento senza precedenti della criminalità informatica, che nel 2016 è costato alle imprese 388 miliardi di dollari. E mentre le aziende si difendono dai metodi più tradizionali, come i malware e le intrusioni attraverso i social network, i criminali diversificano le loro tattiche.
La prossima battaglia nella guerra in corso per la sicurezza sarà incentrata sui dispositivi che, grazie all’Internet of Things, proliferano a un ritmo sorprendente. E c’è un device che si trova su quasi tutte le scrivanie, un oggetto che raramente viene considerato una minaccia per la sicurezza: il semplice telefono.
In generale si tende a non pensare alla telefonia come a un realistico vettore di attacco per gli hacker, questo soprattutto perché ci si dimentica che gli odierni dispositivi non sono certo paragonabili a quelli analogici dei decenni passati. Un telefono basato sull’IP è – a pieno titolo – un sofisticato dispositivo di elaborazione; con un software e connettività di rete che possono facilmente offrire un’opportunità agli hacker che sono alla ricerca della “perfetta vulnerabilità”.
Se questo è allarmante, a ulteriore rafforzamento dei timori, bisogna considerare anche la ricerca di F5 Networks incentrata sulla serie di attacchi informatici che hanno colpito le imprese a Singapore nel giugno di quest’anno. Gli analisti hanno rilevato che quasi il 90% del traffico “malevolo” (originato in Russia) era specificamente rivolto ai telefoni VoIP – in coincidenza con il summit Trump-Kim. È dimostrato che con gli attacchi verso questi dispositivi – modelli tipicamente presenti negli hotel in cui i delegati di alto livello soggiornano – gli hacker sarebbero in grado di intercettare alcune delle conversazioni più delicate che si possano immaginare.
Le imprese specializzate che implementano i telefoni VoIP potrebbero fare finta di niente e chiedersi perché le tattiche di questa “guerra fredda” portata avanti dagli hacker dovrebbero interessare anche loro.
La risposta è che gli hacker si sono fatti le ossa mettendo nel mirino persone e imprese di grande valore. Una volta che una tecnologia o una tecnica sono state provate a danno di vittime “preziose” – come i diplomatici o le società di servizi finanziari – gli hacker possono testarle in altri settori, ma anche vendere sul cosiddetto “Dark Web” questo know-how e gli strumenti sviluppati. Quindi, anche se non è ancora un vettore di attacco importante per i criminali informatici di oggi, sarebbe folle immaginare che la telefonia IP non rappresenti una vulnerabilità che verrà presa di mira e sfruttata in tempi brevi.
Qualsiasi azienda che conduca conversazioni incentrate su dati sensibili deve proteggere le chiamate in entrata e in uscita da coloro che stanno solo aspettando di rubare qualcosa di valore, dai segreti commerciali ai numeri delle carte di credito dei clienti. La soluzione è sorprendentemente semplice e si concentra sulla rimozione della vulnerabilità chiave sfruttata dagli hacker: la connessione tra un auricolare wireless e la sua stazione base.
Questi ultimi pochi centimetri sono facili da trascurare, motivo per cui i medesimi rappresentano un bersaglio così allettante per i criminali informatici. Se possono accedere a questa connessione, gli hacker avranno vita facile nell’intercettare ogni potenziale segreto o parte di informazioni sensibili riportate nelle conversazioni telefoniche.
Ecco perché le organizzazioni che prendono sul serio il tema della sicurezza dovrebbero scegliere hardware di telefonia con crittografia sicura, autenticazione e accoppiamento tutelato tra il dispositivo/ cuffia e l’unità base, come le nuove Jabra Engage. Ciò significa che un’unità non accoppiata (come quella sviluppata da un hacker a poche decine di metri dall’ufficio) non può accedere al collegamento e quindi intercettare la conversazione.
L’abbinamento tra la stazione base e il dispositivo non è una novità, ma l’ultimo standard è l’”accoppiamento fisico assistito”. Ciò si verifica quando l’auricolare è inserito nell’unità base, e quando viene creata una chiave segreta di connessione per collegarli. Allo stesso modo, l’autenticazione è in uso da tempo, ma gli standard di sicurezza possono variare enormemente; ecco perché le società attente alla sicurezza dovrebbero puntare sull’accoppiamento cuffia/unità base.
Molte cuffie con il sistema DECT (Digital Enhanced Cordless Telecommunication) presentano alcune forme di autenticazione e crittografia, ma spesso si tratta di standard limitati. La crittografia di base può respingere un hacker improvvisato, ma per essere completamente sicura un’organizzazione ha bisogno dello standard più elevato: idealmente, una tecnologia militare come la crittografia AES (Advanced Encryption Standard) a 256 bit, che fornisce una linea di difesa che va oltre la Security Level C del sistema DECT.
A differenza di molte tecnologie di difesa online, la telefonia sicura non è difficile da implementare. Richiede poca o nessuna gestione in corso: tutto ciò di cui essa ha bisogno è la consapevolezza della minaccia e la volontà di installare una soluzione sicura durante l’aggiornamento dell’infrastruttura di telefonia.
Ovviamente, la telefonia sicura non impedirà agli hacker di testare altre parti delle difese informatiche. Tuttavia, si chiuderà una “porta aperta”.