La telefonia su IP consiste nel digitalizzare le conversazioni telefoniche e a inviarle allo stesso modo di qualsiasi altro dato sulla rete IP. Il risultato è un servizio identico in tutto e per tutto ad un normale servizio telefonico eccetto che per le modalità trasmissive. Il vantaggio principale di tale tecnologia è la diminuzione dei costi telefonici soprattutto delle comunicazioni a lunga distanza (dell’ordine del 90%) e quanto rimane può essere assimilato ai costi di collegamento ad Internet comunque già presenti nelle aziende. Le grandi imprese e alcuni mercati di nicchia (come i call center e le aziende off-shore) rappresentano attualmente i principali clienti di questa tecnologia. I call center in particolare riescono a far confluire la gestione dei clienti e delle procedure e la gestione delle chiamate in nuovi applicativi finora impossibili.

Attualmente sul mercato si possono individuare almeno 3 grandi categorie di player interessate a spingere su questa tecnologia: i leader del settore in termini di creazione della tecnologia, citiamo Cisco, Avaya, Alcatel, Nortel, Siemens, Tenovis, Clarent, 3COM, che sono attive sulla realizzazione degli apparati (i telefoni IP in quanto tali), dei software per la gestione della voce e dei gateway tra rete telefonica classica e rete IP. Le altre due categorie interessate per motivi opposti sono i fornitori di accesso Internet e gli operatori telefonici che possono cercare di espandere il loro business.

Si tratta di un cambiamento epocale per le comunicazioni e come tale bisogna prepararsi anche agli aspetti negativi che fatalmente ogni novità porta con sé. In Italia Emaze ha già sviluppato tecnologie in grado di contrastare ad esempio la minaccia più immediata: la possibilità di intercettare le comunicazioni. Se con il telefono tradizionale l’ascolto abusivo delle conversazioni è molto difficile da realizzare, perché bisogna saper prima individuare poi inserirsi sulle circuiterie degli snodi del traffico (cioè delle centrali), il telefono VoIP è in tutto e per tutto un computer quindi è soggetto agli sniffer: nei computer collegati in rete, tramite programmi appositi facilmente reperibili su Internet, è possibile fare una copia di tutto il traffico che passa. Basta riuscire a installare un software di questo tipo su una macchina che stia sulla stessa rete di quella del telefono che si vuole mettere sotto controllo e la comunicazione può essere intercettata.

Da gennaio 2005 Emaze è già in grado di fornire una risposta efficace al problema dello sniffing con ipLegion Antisniffing, questa sempre attiva sulla rete del cliente è in grado di rilevare i dispositivi configurati in maniera da copiare il traffico sulla rete e darne immediata notizia agli amministratori di sistema; ipLegion è totalmente trasparente per l’utente questo vuol dire che il responsabile sarà identificato senza che se ne possa accorgere.

Anche se è storicamente è sempre stato lo spionaggio alla base delle attività di intercettazione, data la legislazione vigente, è interessante soffermarsi a pensare anche alle conseguenze che può avere la possibilità di invasione della privacy tra gli utenti, (morbosamente) curiosi delle attività o della vita privata dei/delle colleghi/colleghe. L’adozione di soluzioni anti intercettazione coinvolgerà quindi praticamente tutti e non solo le grandi aziende o i centri in cui ci siano particolari brevetti o segreti industriali.

Un altro problema futuro sarà lo “spit” , lo spam per la telefonia IP. Esso condivide con la posta spazzatura (spam) l'estrema facilità con cui è possibile mandare grossi volumi di messaggi e automatizzare tutte le procedure, con il risultato di intasare segreterie e caselle vocali. Data la diversa struttura del messaggio (la digitalizzazione di un segnale sonoro) lo spit non può essere combattuto con i filtri basati sul contenuto testuale del messaggio, ma solo, eventualmente, sull’indirizzo sorgente del traffico e su altri parametri tuttora oggetto di studio nel Centro di Ricerca sulla Sicurezza Informatica presso la sede di Emaze. Se prendiamo in considerazione applicativi in grado di elaborare contemporaneamente i file audio delle telefonate con i dati dei gestionali, ci facciamo un’idea di quanto lo spit possa condizionarne il corretto funzionamento e in fin dei conti giustificarne l’adozione da parte di un’azienda.

La continua attenzione che Emaze pone ai problemi di sicurezza, prestando tra l’altro consulenza presso clienti tra cui aziende come Telecom, RFI – Rete Ferroviaria Italiana, ENEL, ci permette di identificare subito le nuove minacce e valutarne la loro gravità. Con il VoIP, il campanello di allarme è scattato quando ci siamo confrontati con le tendenze di sicurezza delle apparecchiature di networking: alla base del buon funzionamento in un organizzazione della telefonia su IP c’è il corretto funzionamento degli apparati di networking e un’ottima configurazione del QoS (Quality of Service) cioè dell’insieme di direttive che permette di impostare delle priorità nello smistamento di un tipo di traffico rispetto ad un altro. Gli attacchi ad esempio sui router possono essere critici per il VoIP quindi adottare le corrette misure di difesa è ancora più importante. Un banale Denial of Service potrebbe mandare in tilt anche il traffico telefonico, ma da classificazioni fatte dal NIST (National Institute of Standard and Technology), gli espedienti per attaccare il VoIP per si possono suddividere in una dozzina di categorie. La collaudata tecnologia ipLegion per il Vulnerability Assessment riesce a intercettare tutti questi problemi sulle apparecchiature di networking e le funzioni di schedulazione e scansione remota aiutano i responsabili a gestire con semplicità reti anche molto complesse.

La rivoluzione introdotta dal VoIP sta nel fatto che non c’è più un circuito diretto (un filo) che unisce univocamente il chiamante al ricevente, non c’è quindi un intrinseca certezza della sicurezza della comunicazione. L’unione tra l’insicurezza della comunicazione e il basso livello di conoscenza necessario per ascoltare una conversazione dà la dimensione del problema e contemporaneamente indica strade su cui puntare per eliminare i rischi, come ad esempio il potenziamento delle soluzioni di crittografia e dei sistemi per cifrare il traffico, campi nei quali siamo continuamente chiamati a perfezionare soluzioni progettuali.

Chi si appresta a fare il passaggio da rete telefonica classica a rete a pacchetto deve sapere che i problemi di sicurezza nella nuova tecnologia ci sono come in tutte le tecnologie giovani, ma che su di essi si sta lavorando per garantire la Confidenzialità, l’Integrità delle comunicazioni e la Disponibilità dei sistemi. In fin dei conti la voce digitalizzata è un dato come un altro.