Sicurezza informatica di base - Il Voice over IP

Sicurezza informatica di base:
come salvare e proteggere
il vostro lavoro

Il Voice over IP

Indice degli argomenti

Skype:I numeri

Accesso alla rete

La sicurezza

Il VoIP in generale

Le minacce

Softphone alternativi

I numeri di Skype

2003: compagnia con sede in Lussemburgo

2005: eBay la compra per 2.6 miliardi di dollari

2008: ricavato di 550 milioni di dollari

2010: eBay la render una compagnia separata

405 milioni: sono gli utenti registrati

15 milioni: contemporaneamente attivi ogni giorno, per circa 300000 chiamate simultanee

Il 30% degli utenti lo usa per chiamate d'affari

Traffico Skype: 8% delle chiamate internazionali

L'accesso alla rete Skype

Ogni softphone Skype possiede in s tutta l'intelligenza necessaria alla gestione della rete

Un nodo pu essere
promosso a supernodo
se il computer su cui
si trova ha buona
ampiezza di banda,
un firewall non restrittivo
e un surplus di CPU

I supernodi sono decine di migliaia

Skype sicuro (1)

Sebbene il traffico di Skype viaggi su reti TCP/IP, non considerato un provider VoIP interconnesso

Gli manca la capacit di connettersi ai numeri di emergenza: 911 in USA, 113 in Italia, ...

Il protocollo Skype non pubblico: ci che si sa lo si appreso tramite reverse engineering

La chiamata in s criptata con AES a 128 bit e la sicurezza non escludibile dall'utente

Nel 2005 scoperti dei difetti che portavano all'esecuzione remota di codice arbitrario

Skype sicuro (2)

Funziona in peer-to-peer: per essere
connesso in rete, genera sempre traffico

Non verifica i peer connessi con il suo protocollo

Un peer in grado di pilotare il funzionamento remoto di un computer, ad esempio del firewall

Non possibile verificare l'assenza di backdoor

Si ritiene che uno Stato possa ascoltare in chiaro le conversazioni Skype, richiedendo a questa accesso

TOM-Skype in Cina realizza il filtraggio dei contenuti, la raccolta di informazioni personali e il testo delle chat

Il VoIP in generale

I mali di Skype sono comuni:Autenticazione: non attendibile

Confidenzialit: non si pu prevenire il tracciamento e la registrazione delle chiamate

I protocolli H.323 (progressivamente in disuso) e SIP (la scelta della nuova generazione) transitano in chiaro

Esistono le versioni sicure di questi protocolli

Trasporto di voce e video affidato a SRTP

Le minacce

Denial of Service: attacchi a
servizi d'infrastruttura H.323 o SIP

Attacchi Man in the Middle

Violazioni dell'integrit: per proteggere e rilevare alterazioni di dati personali

In base al metodo per la messa in sicurezza:VoSIP: Voice over Secure IP

SVoIP: Secure Voice over IP

SVoSIP: Secure Voice over Secure IP

Altri softphone free software

Ekiga: non supporta la criptazione (per ora)

Minisip: non attivamente sviluppato

QuteCom: supporto iniziale ad AES-128

SIP Communicator: in Java, non sviluppato

Twinkle: purtroppo solo per Linux

http://en.wikipedia.org/wiki/Comparison_of_VoIP_software

Commissione Ingegneria dell'Informazione

2009 D. Gagliardi e A. Tringali