Una pericolosa falla di sicurezza è stata scoperta da alcuni scienziati del Polytechnic Institute of New York University. I ricercatori hanno provato a chiamare 10.000 utenti Skype sparsi a caso nel mondo ed hanno fatto una scoperta piuttosto inquietante: se una persona non accetta la chiamata in arrivo, è molto semplice rubare l’indirizzo IP dell’utente chiamato.

Con un indirizzo IP, potenzialmente, si può scoprire la posizione, i file scaricati e tanti altri dati sensibili. Gli esperti lanciano l’allarme sicurezza in quanto è così potenzialmente possibile per un qualsiasi criminale pedinare o colpire un obiettivo con facilità e renderebbe più semplice anche rintracciare personaggi scomodi a certi regimi autoritari.

Interpellato, Adrian Asher. il responsabile sicurezza di Skype si è difeso spiegando che “come avviene con ogni tipo di software di comunicazione online, gli utenti Skype connessi possono essere in grado di scoprire i rispettivi indirizzi IP. Attraverso la ricerca e lo sviluppo, continueremo a procedere avanti in questo settore e migliorare il nostro software” .

In attesa del fix a questo bug non indifferente ci si può difendere evitando di usare nome e cognome reale su Skype.

Falla di sicurezza in Skype: a rischio la privacy é stato pubblicato su Blogvoip.it alle 12:53 di venerdì 09 dicembre 2011.

J. Oquendo, ingegnere software proprietario di una compagnia VoIP, ha deciso di lanciare un progetto battezzato VoIP Abuse Project, il cui compito principale è quello di identificare e monitorare i cracker di servizi VoIP per scopi fraudolenti, generando così una blacklist.

L’operazione è estremamente semplice, ma non per questo banale: tramite un sistema “honeypot”, ossia delle false centrali, funzionanti in tutto e per tutto come fossero reali, l’operatore VoIP reale può tracciare gli IP di provenienza, le reti, gli orari e le attività, lasciandosi attaccare con lo scopo di capire le tecniche applicate per il cracking di queste forzature.

Nelle attività di consulenze e verifiche, Oquendo ha potuto spesso assistere ad attività illegali di questo genere: dalla necessità è quindi nato un insieme di strumenti per bloccare sul nascere i contatti da parte di indirizzi debitamente rilevati come crack, onde poter blacklistare queste utenze, trattandole come vero e proprio spam del sistema VoIP.

Oquendo, con il suo sistema, aveva infatti già aiutato l’azienda di Mark Reading, che pativa un debito di 260mila dollari di perdite in traffico illecito, a individuare il problema e ripulire i propri sistemi, mantenendogli comunque il servizio attivo. In 6 settimane di lavoro Oquendo ha identificato la provenienza delle chiamate, principalmente Romania e Sierra Leone, riuscendo a stoppare il flusso “drena - banda”; la prima delle due, la Romania, insieme alla Cina, risulta essere - a livello mondiale - la maggior produttrice di attacchi VoIP.

“Il progetto VoIP Abuse espone gli indirizzi di chi attacca non solo i miei server, ma anche quelli dei clienti e di alcuni partner”, spiega l’ingegnere titolare del progetto. “Il protocollo che seguo è: individuare l’IP, inviare una lettera di avviso di abuso all’ISP, attendere una risposta, quindi pubblicare tutte le informazioni sulla fonte d’abuso”.

VoIP Abuse Project, come si scoprono i cracker della rete telefonica é stato pubblicato su Blogvoip.it alle 01:50 di martedì 12 ottobre 2010.

Nella giornata di ieri è stata rilasciata una beta pubblica di PrivateGSM VoIP. Sulla scia del software PrivateGSM, sempre prodotto dalla nostrana Khamsa, la quale si occupa di sicurezza nelle telefonate, nasce una applicazione specifica per i telefoni Nokia.

PrivateGSM VoIP è l’unica soluzione al mondo a offrire una funzionalità di sola ricezione gratuita illimitata: con una singola licenza d’uso è possibile dialogare con un numero illimitato di interlocutori mediante l’invio di un invito via SMS che consente di installare il software in sola ricezione per ricevere così gratuitamente telefonate sicure.

Il prodotto viene fornito in modalità software as a service, con un canone di 400 euro all’anno.

Le caratteristiche del nuovo software prevedono:

• funzionamento con qualsiasi operatore che offra accesso IP
• nessuna necessità di configurazione
• possibilità di chiamare numeri GSM standard
• riduzione della latenza nella trasmissione della voce: da 800ms a 50-450ms
• consumo di banda ridotto a 100kbyte per minuto di conversazione
• ridotto consumo delle batterie
• roaming automatico sulla miglior connessione disponibile
• modelli di cellulari supportati: Nokia S60 terza e quinta edizione
• mantenimento del prefisso sicuro +801: compatibilità con le altre versioni del software

Qualora vogliate sperimentare la beta, è possibile registrarsi e testare gratuitamente il software su www.privatewave.it .

PrivateGSM VoIP, telefonate sicure anche via VoIP é stato pubblicato su Blogvoip.it alle 22:32 di mercoledì 24 febbraio 2010.

Un team di investigatori della Metropolitan Police Crime Division ha effettuato una retata in un call center sotterraneo ben equipaggiato a Ravibhawan e ne ha arrestato il gestore per il coinvolgimento nella violazione delle attuali leggi sulle telecomunicazioni.

L’accusato Anwar Hussein e due complici sono stati trovati in un palazzo a tre piani mentre utilizzavano tecnologia VoIP per bloccare illegalmente il gateway della Nepal Telecom, causando alla compagnia perdite di milioni.

La polizia ha trovato un adattore wireless CDMA, il GSM VoIP Euro Tech Communication, un equipaggiamento GSM VoIP Gateway, un UPS, una antenna wireless per il broadband internet, molte SIM card e varia attrezzatura VoIP.

Via | Asterisk VoIP News
Foto | Flickr

Fermato racket del VoIP e sequestrata l'attrezzatura é stato pubblicato su Blogvoip.it alle 19:24 di mercoledì 30 dicembre 2009.

La McAfee ha realizzato un allarmante report riguardo lo stato di sicurezza della tecnologia VoIP. Secondo quanto riportato nel documento, nei prodotti VoIP fino ad ora proposti vi sono almeno 60 vulnerabilità.

Nel 2006 le vulnerabilità riscontrate erano solo 20; il VoIP è tre volte meno sicuro che in passato. McAfee ha attribuito l’incremento dei problemi di sicurezza alle migliori tecnologie in mano ai cybercriminali che consentono di sfruttare le vulnerabilità del VoIP, insieme alla grande diffusione dei servizi VoIP stessi.

Le tecnologie offerte da Cisco, Nortel e Avaya, le più grandi compagnie nel settore, sono state citate nel report, indicando le varie falle di sicurezza tra le quali il VoIP phishing, gli attacchi DOS, il furto di minuti prepagati per le chiamate VoIP e i falsi servizi che rubano i dati sensibili dei clienti.

Via | InfoSecurity
Foto | Flickr

VoIP: vulnerabilità triplicata dal 2006 é stato pubblicato su Blogvoip.it alle 02:16 di martedì 29 dicembre 2009.

Avevamo parlato di come l’Intelligence indiana volesse bloccare i servizi VoIP all’interno del Paese per mettere i bastoni tra le ruote ai terroristi; la vincenda si sta ulteriormente sviluppando.

I servizi segreti indiani hanno ufficialmente richiesto al governo di bloccare Skype poichè gli operatori del popolare servizio VoIP si rifiutano di condividere con gli investigatori indiani il codice di crittografia che permetterebbe di intercettare le chiamate dei possibili terroristi.

Il gabinetto di governo che si occupa di sicurezza ha accettato la richiesta, sebbene non sia ancora operativa. L’urgenza di intercettare le chiamate tramite Skype si fa sempre più concreta per sventare possibili atti terroristici.

Il VoIP è molto utilizzato dai terroristi poichè i vari operatori inviano i propri segnali sotto uno specifico codice difficile da decifrare. Pare che Skype abbia fornito questo codice al governo degli Stati Uniti e della Cina, ma che non voglia accettare le richieste del governo indiano.

Dal momento che Skype non è registrato in India, le autorità del posto stanno considerando la drastica opzione di bloccare i suoi gateway; ciò potrebbe non servire a molto poichè Skype potrebbe instradare il traffico attraverso altri fornitori di servizi.

Attendiamo sviluppi.

Via | Times Of India
Foto | Flickr

India: i servizi segreti vogliono bloccare Skype é stato pubblicato su Blogvoip.it alle 11:00 di lunedì 05 ottobre 2009.

Brutte notizie per gli emigrati dall’India abituati a sfruttare le vantaggiose tariffe del VoIP: chi sfrutta i servizi Voice Over internet Protocol per sentire i propri cari rimasti in patria, potrebbe rimanere a bocca asciutta.

L’Intelligence Bureau indiano ha richiesto al Governo il blocco delle chiamate tramite VoIP poichè potrebbero essere utilizzate per attività terroristiche. Molte compagnie indiane ormai dipendono dalle chiamate IP o VoIP per tagliare gli onerosi costi.

Nonostante ciò, il Department of Telecom (DoT) è deciso a bloccare qualsiasi servizio che consenta le telefonate via Internet, poichè non esiste modo per monitorarle, scoprendo per tempo le attività terroristiche.

Per l’Intelligence, infatti, in assenza del parametro Caller Line Identification (CLI), è impossibile determinare quale sia la località da cui partono le chiamate.

Inoltre, molte compagnie hanno iniziato a fornire alle famiglie indiane soluzioni per effettuare chiamate in VoIP sia all’interno del paese che verso l’estero. Il problema è sempre quello della non tracciabilità del chiamante: il pericolo terrorismo viene considerato troppo alto rispetto ai benefici che la popolazione trae dal servizio ormai diffusissimo.

Fino a che non sarà possibile monitorare anche le chiamate in VoIP, il servizio verrà bloccato.

Via | Despardes
Foto | Flickr

L'Intelligence Bureau indiano chiede di bloccare il VoIP é stato pubblicato su Blogvoip.it alle 10:30 di giovedì 17 settembre 2009.

Un ingegnere del software, creatore di un Trojan su commissione delle autorità svizzere per l’intercettazione delle chiamate telefoniche Voice-over-IP (VoIP), ha pubblicato il codice fonte del suo malware, al fine di attirare l’attenzione e sensibilizzare riguardo al problema privacy.

Ruben Unteregger, ex impiegato della ERA IT Solutions, ha creato nell’anno 2006 un ‘white’ Trojan, ovvero un malware capace di intercettare, registrare e uploadare le telefonate VoIP avvenute tramite client come Skype, utilizzati dai Dipartimenti Svizzeri dei trasporti, energia e comunicazione.

La tecnica di registrare le chiamate vocali su file MP3 tramite questo malware riesce a superare tutti gli strumenti anti-intercettazioni di Skype, andando a forzarne la crittografia. Unteregger ha deciso di rendere note in una intervista le motivazioni della diffusione del codice di due dei suoi ‘Bundestrojaner’, ovvero i Trojan governativi, tramite licenza GPL.

Unteregger avrebbe sottolineato di non aver infranto alcun copyright poichè ha ottenuto il permesso di ERA IT Solutions per la diffusione, così da permettere alle compagnie che creano antivirus di studiare una soluzione per identificare il malware, bloccarlo e cancellarlo nel caso infetti un sistema.

L’intenzione dell’ingegnere è proprio quella di attirare l’attenzione sulla scarsa sicurezza di programmi come Skype, sulla fragilità della privacy delle conversazioni online e sulla possibilità che vengano facilmente ascoltate e registrate.

Via | Computerworld

Ingegnere svizzero pubblica il codice di un Trojan VoIP governativo é stato pubblicato su Blogvoip.it alle 12:00 di martedì 01 settembre 2009.

Alcuni esperti ricercatori in campo di sicurezza hanno scoperto e individuato un codice di attacco pubblicato sul web, il quale permetterebbe agli hackers di registrare segretamente le chiamate audio e video effettuate tramite il popolare servizio VoIP Skype.

Il malware in questione sarebbe un Trojan chiamato Skype.Peskyspy e registrerebbe le conversazioni avvenute tramite Skype, per poi conservarle in formato mp3, pronte ad essere ritrasmesse o utilizzate per scopi illeciti.

Il Trojan inserirebbe un componente dll in un processo di Skype, agganciando poi i comandi API “send” e “recv” ai comandi customizzati del malware stesso, consentendogli di estrarre e salvare i dati audio e video, inviandoli poi al malintenzionato.

Sebbene Skype protegga i dati durante le trasmissioni tra chiamante e ricevente, il Trojan riesce comunque ad intercettarli sia da chi riceve che da chi effettua la chiamata; quindi, anche se siete certi di non avere il Trojan, correte il rischio che i vostri contatti ne siano infetti a loro insaputa.

Attenzione, come sempre, ai link che ricevete per posta elettronica o tramite social network: pare siano questi i metodi di trasmissione del malware in questione.

Via | MxLogics
Foto | Flickr

Skype: un Trojan può registrare segretamente le chiamate é stato pubblicato su Blogvoip.it alle 10:00 di domenica 30 agosto 2009.

Qualità della voce e affidabilità sono le due sole cose che ogni business dovrebbe considerare.

Se è vero che la tecnologia in continua evoluzione ha permesso al VoIP di scrollarsi di dosso le opinioni negative, è ancora vero che non fare alcune considerazioni, riguardo, ad esempio, un’appropriata infrastruttura di rete e la disponibilità di banda, comporta una diminuzione del livello generale di qualità ed affidabilità.

Ma a volte anche queste attenzioni non sono sufficienti, qui entrano in gioco i cosiddetti “edge devices”, dispositivi di monitoraggio della rete. Sul blog di Bandwidth.com, c’è un ottimo intervento sui benefici dell’utilizzo di questi sistemi. I vantaggi, ad esempio, sono:

• Qualità della voce – Questi dispositivi fungono da router per la Quality of Service che trasformano il traffico della tue rete IP per ottimizzare la qualità vocale.
• Recupero dai “disastri” – Specifici router VoIP, come EdgeMarc, supportano dei record DNS-SRV, che memorizzano il percorso a vari gateway per un backup automatico. Se la rete subisce qualche tipo di problema, questo dispositivo può cercare percorsi su reti alternative per mantenere attivo il servizio vocale.
• Sicurezza – Gli edge devices aggiungono un livello extra di protezione agendo come ALG (Application Layer Gateway) che permetterà di mantenere il proprio PBX su un IP privato. Inoltre, può dinamicamente aprire e chiudere le porte necessarie al traffico voce, di modo da evitare che alcune siano accessibili inutilmente.
• Miglior supporto – Il supporto dei provider è generalmente buono, ma è efficace solo se si hanno dei dati validi sulla propria rete a disposizione. I dispositivi di monitoraggio forniscono dati in tempo reale sul traffico voce effettuato, migliorando la diagnosi di eventuali problemi.

Via | voipinsider
Foto | Rob Speed

Sistemi per migliorare la propria rete VoIP é stato pubblicato su Blogvoip.it alle 11:00 di mercoledì 24 giugno 2009.

Come per voler dire che la realtà è molto più fantasiosa dell’immaginazione, dopo un post dedicato alle difficoltà tecniche di intercettazione del VoIP, è accaduto l’imprevedibile (o per lo meno l’improbabile): Skype ha deciso di collaborare con la polizia italiana ed europea.

Dopo le fredde reazioni dei giorni scorsi, l’azienda estone, con sede legale a Bruxelles, ha emanato un comunicato stampa che recita: “Skype è pronta a lavorare fianco a fianco di Eurojust in futuro”. Eurojust, dal canto suo, si proclama soddisfatta per il passo avanti, ma pur sempre con cautela: mentre ci si aspetta che l’azienda ceda gli algoritmi di sicurezza per permettere le intercettazioni, non è affatto scontato che Skype sia così accondiscendente. Già in passato, infatti, ha avuto comportamenti ambigui sotto questo aspetto.

Continuando quindi a mettere da parte i non marginali risvolti “etici” e i dubbi sulle motivazioni governative dei diversi comportamenti rispetto alle intercettazioni telefoniche, non ci resta che prendere atto del nuovo sviluppo, aspettandone di nuovi a breve.

Via | Repubblica
Foto | LeeBrimelow

Skype diventa collaborazionista é stato pubblicato su Blogvoip.it alle 09:20 di lunedì 02 marzo 2009.

Si è molto parlato dei pericoli della cyber criminalità organizzata e della volontà di alcuni governi europei di intercettare le chiamate VoIP, con l’obiettivo di impedire sul nascere i reati pianificati online. Ma quanto realmente gli annunci fatti dai politici sono coscienti dei limiti delle loro strategie?

Un ottimo post di Alessandro Bottoni, su Punto Informatico, ci aiuta a capire meglio di cosa si parla tanto. E ci spiega che di fatto, intercettare il VoIP, in modo legale, è pressochè impossibile. Le difficoltà principali sono legate a due caratteristiche di Skype in particolare, ma potenzialmente generalizzate: la crittografia e la rete P2P.

Skype usano una crittografia estremamente robusta e finora nessuno sembra essere stato in grado di decifrarla e ascoltare qualche conversazione. D’altro canto, se Skype volesse potrebbe fornire le chiavi per farlo. I governi mondiali hanno ipotizzato varie strade da battere per intercettare le chiamate VoIP, ma tutte risultano impraticabili: c’è chi vorrebbe imporre l’uso di backdoor ai software di comunicazione, chi installerebbe dei trojan, chi ancora proibirebbe la crittografia o le reti P2P. Tutte queste “soluzioni” vanno effettivamente incontro al fallimento, dovuto a limiti tecnici o legali.

Non rimane quindi che affidarsi alle intercettazioni ambientali, come già accennato. Vale la pena, allora, seguire cosa ne sarà di queste dopo che la legge proposta verrà discussa e approvata in Parlamento.

Via | PuntoInformatico
Foto | Alessio85

Ancora intercettazioni VoIP: ma sono possibili? é stato pubblicato su Blogvoip.it alle 11:00 di venerdì 27 febbraio 2009.