VoIP and Hacking | Consulenza Documentazione

Il fatto che internet e tutta l’ infrastruttura delle telecomunicazioni si stiano fondendo (la cosidetta convergenza) è certo un fatto positivo e contemporaneamente un trend incontrovertibile.
Se tecnologicamente è un fiorire di creatività, dal punto di vista della sicurezza, l’operazione è tuttavia piena di insidie e necessita evidentemente di una maturazione ancora lontana da raggiungere.
Il rischio è quello che l’incontro faccia da amplificatore di reciproche vulnerabilità e carenze progettuali.
Per spiegarmi meglio farò un esempio mooolto pratico, ma voglio prima precisare che quanto dirò non è e non intende essere un invito a utilizzare illecitamente le tecniche illustrate.
Tra tutti i voip provider che conosco ve ne sono molti (in realtà quasi tutti fanno capo alla stessa company) che offrono, a prezzi molto vantaggiosi e con una ottima qualità, servizi ai propri utenti non solo in termini di connettività, ma anche attraverso il proprio portale web.
In ognuno di questi portali, molto simili tra loro, è presente anche una interfaccia (un semplice form con due campi) con cui è possibile innescare qualcosa che tecnicamente è definibile come “call bridging”.
Quest’ultimo consiste nell’ atto di connettere due numeri PSTN a carico di una 3a parte.
Tale funzionalità permette in maniera molto semplice di utilizzare tipici meccanismi software per effettuare delle chiamate, facendo in modo che il VoIP service provider chiami prima uno dei due numeri PSTN, e, una volta che la chiamata sia stata stabilita, ed in maniera automatica, anche l’altro numero.
Dal momento che su entrambe le linee nessuno dei due telefoni origina la chiamata, a nessuno dei due viene addebitata.

L’aspetto comunque più interessante è che il proprio caller ID viene inviato in entrambe le direzioni alla controparte, per cui ad ognuna delle due sembrerà di essere chiamata dall’altra, senza alcun indizio apparente della presenza di una 3a parte. In pratica viene attuata una sorta di spoofing del Caller ID.
Ma la cosa non termina qui, difatti, nell’interfaccia web non vi è traccia di alcun controllo dell’ input utente che impedisca che in entrambi i campi venga inserito lo stesso numero telefonico, col bel risultato di rendere possibile che la vittima si veda arrivare una chiamata dal proprio stesso numero, o che si ritrovi in segreteria telefonica l’annuncio della sua stessa segreteria registrato come messaggio, ed altre amenità del genere.

Certo, per quanto divertente possa essere immaginare le facce delle persone coinvolte in simili scherzi, l’esempio può sembrare un po’ pochino per giustificare una affermazione così impegnativa come quella presente nel preambolo, perciò vi voglio aggiungere una ulteriore osservazione.
E’ molto semplice grazie a pbx software potenti come Asterisk, Callwever, ecc. allestire una soluzione casalinga di call bridging grazie alla quale originare chiamate tra soggetti inconsapevoli e poi studiarne le reciproche reazioni, se si vuole stabilire ad esempio che due persone si conoscano oppure no, magari ascoltando direttamente o registrando le conversazioni.

I campi di applicazione nel campo dell’intelligence certo non difettano, e nemmeno le insidie alle libertà civili.

Send post as PDF to