Archivio

Archive for settembre 2010

Truffe Asterisk: nulla di più facile!

17/09/2010 1 commento

Ho detto Asterisk per citare il più famoso IP-PBX del momento, nonché quello che è alla base della maggior parte delle distribuzioni chiavi in mano che troviamo sul mercato. In verità la cosa riguarda i centralini VoIP in generale. O meglio riguarda l’ingenuità degli istallatori. Vediamo perché.

Il fatto. Attoniti possessori di centralini IP arrivano la mattina in ufficio e vedono che il loro centralino, notte tempo, ha fatto una miriade di chiamate verso destinazioni del centro Africa, piuttosto che verso qualche isola sud americana, piuttosto che qualche sperduto faro degli atolli del Pacifico meridionale. Indagando più approfonditamente, nove volte su dieci, si tratta di numeri di cellulare, probabilmente associati a servizi di autoricarica in base al traffico entrante.

La truffa. Incalliti malandrini (cinesi, est europei, africani o sud americani), sono riusciti a registrare un apparato VoIP (un server tipicamente) al centralino del malcapitato e hanno lanciato più chiamate possibili verso uno o più numeri di loro conoscenza. Quasi mai le chiamate vanno verso numeri europei o nord americani, perché la tracciabilità del proprietario della SIM è più alta.

La tecnica. All’origine della truffa c’è la dabbenaggine di chi vende e installa questi centralini, aprendo la porta 5060 UDP del router del cliente verso l’IP-PBX, in maniera indiscriminata. I truffatori fanno girare su server (spesso presi in affitto) dei  software che sparano registrazioni SIP (REGISTER) verso intere classi di indirizzi IP pubblici (verso la porta 5060 UDP, appunto) e ne verificano la risposta.

Se non ritorna niente, non indagano molto: si passa all’IP successivo. Se dietro quella porta c’è un Asterisk, il software del malandrino facilemente riceve come risposta un bel “404 Not Found”, che vuol dire: “il numero che stai cercando di registrare, non è tra quelli che conosco”. Tanto basta perché il software del truffatore festeggi il ritrovamento di una possibile vittima.

A quel punto, il software inizia a spazzolare interi archi di interni: dal 200 al 299, dal 300 al 399, dal 1000 al 1999, e così via. Fino a quando non riceve dal nostro Asterisk o affine un bel “401 Unauthorized”, traducibile in “il numero lo conosco ma hai sbagliato la password”.

I truffatori sparano sul mucchio. Raramente usano sofisticati (seppur gratuiti) software per l’individuazione di password difficili, anche perché richiedono troppo tempo di elaborazione. Contano sulla stupidità di chi usa il numero stesso come password, o chi mette “topolino” o baggianate simili. Hanno le loro belle liste e le provano tutte, tenendo fermo il numero, ormai individuato.

Se una delle loro password buca, la frittata è fatta: addio soldini!

La soluzione. L’uovo di colombo è inserire nel router (ormai anche i più economici lo permettono) una regola di firewall che accetta traffico sulla 5060 UDP, per l’indirizzo del centralino, solo dall’IP pubblico del provider. E’ vero che in teoria potrebbe cambiare, lasciandoci senza telefono, ma accade moooolto di rado: mediamente ogni cinque anni…se accade.

Altra buona pratica è usare password complesse con lettere (grandi e piccole), numeri e segni di interpunzione anche per gli interni. Nell’eventualità che la macchina vada sul pubblico involontariamente, almeno i malandrini meno scafati rinunciano all’attacco.

Deprecabile inoltre è lasciare accessi ssh,telnet,snmp o altro aperti alla Grande Rete: lascereste mai la porta di casa aperta? La stessa cura dovete averla per le vostre macchine che si affacciano su Internet.

In conclusione. Con la configurazione via web dei centralini Asterisk based, tutti si sono buttati sul business, senza avere le competenze necessarie. Prima di mettere il vostro credito telefonico nelle mani del ragazzetto sotto casa che ha appena aperto il negozio di informatica dei suoi sogni, assicuratevi che sia davvero competente. Altrimenti rivolgetevi ai professionisti: spendere qualcosa più prima, per non spendere molto di più dopo.

Categorie:Voip:Asterisk

Il GdR fantascientifico definitivo!

07/09/2010 14 commenti

Il sottotitolo di questo blog è “my voice experiments”. Tra gli esperimenti vocali che amo vi è il masterizzare giochi di ruolo. Ho iniziato con il mitico Dungeons&Dragon, ormai venti anni or sono, e non mi sono mai fermato.

Stanco delle solite ambientazioni fantasy, da buon lettore di fantascienza, ho iniziato a cercare GdR futuristici: Shadowrun, Robotech ed infine Cyberpunk. Quest’ultimo era molto intrigante ma le lacune sul regolamento, sulle descrizioni, addirittura sul costo degli oggetti, rallenatava di molto il gioco. Saltellando da un forum all’altro, in cerca di conforto su qualche regola, mi imbatto in una recensione di un nuovo GdR denominato “Eclipse Phase”: è amore a prima vista.

Non esiste film SF che non si adatti all’ambientazione: da Star Wars a Star Trek, da Matrix ad Alien, da Terminator a Dark City. Le regole sono semplici, il manuale completo e la grafica intrigante. Tutta la fantascienza moderna, da Dick a McEwan si è condensata in un capolavoro del roleplaying.

Che altro dire ? Bisogna provarlo! Ho tradotto in completa solitudine le Regole rapide (“Quick Start Rules”, in inglese).

Spero che i lettori apprezzino lo sforzo (fatto soprattutto per chi gioca con me), perdonino gli strafalcioni  e suggeriscano correzioni.

Have fun!

Eclipse Phase Guida Rapida al Regolamento

Dove sta andando il VoIP in Italia?

Letto il titolo di questo post, qualcuno avrà esclamato “Perché, si è mai mosso?”. Invece, come succede sempre nel nostro paese, eravamo partiti e anche bene.

Inizialmente, mentre i grandi nomi (Italtel, tra tutti) facevano solo sperimentazione, piccole ma temerarie imprese informatiche avevano azzardato soluzioni più o meno fatte in casa (leggi, Open source based) ma già in grado di fornire la telefonia su IP al loro sparuto gruppo di clienti. In quel sottobosco, poco noto al grande pubblico e quasi sempre circoscritto alla zona di appartenenza del provider,  si formavano le prime innovazioni nei servizi: il numero non più legato al doppino, la voicemail, i trasferimenti al cellulare, etc.

Tutto questo veniva sviluppato da autodidatti, partendo dal lavoro di altri che a loro volta si sforzavano di implementare standard e protocolli appena usciti sui bollettini scientifico/tecnologici specializzati. Sebbene stiamo parlando di qualcosa appartenente al decennio che sta per finire, ricordo con nostalgia la temerarietà di quei tempi e la voglia di creare qualcosa di nettamente diverso dalla telefonia tradizionale.

Oggi, che i Signori del Doppino, Telecom in primis, sono scesi in campo, l’epoca d’oro del VoIP in Italia sembra finire. Il tutto è stato ricondotto sul vecchio binario, rivendendo all’utente finale la telefonia su IP come se fosse la solita PSTN, avendo paura di nominare l’acronimo VoIP.

A mio avviso questo ne comporterà una lenta agonia. Se il confronto tra la vecchia centrale telefonica e il moderno softswitch si baserà solo sulla qualità delle telefonate e sul loro prezzo, da noi si sa già chi vince. Cerco di spiegarlo in poche parole.

Pensate che il nostro operatore nazionale potrebbe finanziare la sua attività se  non avesse un canone? Ve lo dico io: no! Il motivo principale è che la concorrenza è tanta, per cui il costo dello ‘scatto’, come si diceva una volta o del minuto di conversazione, per i puristi, è ormai minimo. Guardate le vostre bollette e levate il canone fisso, quanto lo usate più il telefono fisso? Poco, molto poco. Ecco che anche il risparmio che il VoIP promette resta poca cosa, se confrontato con la stabilità e qualità del doppino in rame. La cosa è ancora più sensibile all’estero: a livello di operatore, costa meno una chiamata ad un fisso australiano che ad un cellulare nostrano! Chi ha le fabbriche in Cina, fa uno squillo laggiù e si fa richiamare ad un costo irrisorio.

Se avete amici in Germania, saprete come lì il VoIP stia spopolando. Motivo della massiva pentrazione di mercato? L’alta qualità delle DSL teutoniche. Aziende tedesche famose (AVM, per fare un nome) hanno avuto problemi nel nostro paese perché quello che da noi veniva considerato un livello segnale/rumore accettabile sulle linee ADSL, il loro dispositivo lo considerava come “segnale assente”. Sono un po’ tecnico ma sarebbe come considerare il calore emesso da un cerino acceso prossimo a “un discreto fuocherello”.

“Non se ne esce più”, diranno i miei pochi lettori. No, la soluzione c’è e si sviluppa in quattro punti quattro:

1 – Estensione effettiva del WiMAX sul territorio nazionale, ritirando le licenze alle aziende che le hanno prese per poi rimanere con le mani in mano.

2 – Creazione di VERI servizi in grado di distinguere il VoIP dal doppino tradizionale.

3 – Sostegno ai VoIP providers che permettono di fare vera sperimentazione, fornendo numero e account da mettere su qualsiasi apparato o piattaforma: chi vuole si prenderà lo scatolotto preconfigurato da collegare ai telefoni, ma chi non vuole deve essere libero di sperimentare.

4 – Creazione di figure professionali esperte: la gente non ne può più di parlare al telefono con VoIP Engineers incapaci di rispondere alle più elementari domande sull’occupazione di banda e affini.

Se questo fosse fatto, i clienti si affezionerebbero ad un servizio professionale, stabile e in grado di offrire soluzioni inimmaginabili dai vecchi topi di centrale (che rispetto moltissimo). In un qualsiasi paese europeo questo è già realtà, specialmente nel tanto bistrattato est, con Rep. Ceca ed Estonia in testa. Noi che aspettiamo? Possibile che il paese che ha dato i natali a Meucci, Volta e Marconi, rimanga per l’ennesima volta fermo al palo?

Categorie:VoIP:Info