Il crescente sviluppo di tecnologie come il VoIP pone importanti questioni relative alla sicurezza che interessano tanto gli esperti del settore quanto gli utenti dei servizi.
Garantire la sicurezza sul VoIP vuol dire garantire la sicurezza dei dati, della rete e dei dispositivi terminali, siano essi software o hardware, e al contempo conservare una qualità del servizio (QoS) di cui la telefonia su IP necessità.
Tuttavia trovare delle soluzioni di compromesso tra sicurezza e qualità della voce non sempre risulta essere agevole. Si pensi all’utilizzo di un firewall per proteggere la propria rete: questa soluzione, tra le più gettonate e redditizie dal punto di vista della sicurezza, tuttavia porta in conto alcune problematiche.
Ad esempio, la gestione delle porte UDP per l’attraversamento dei flussi multimediali: quali aprire? quante? che policy assegnare?
Senza tener conto che l’attraversamento di un dipositivo firewall inevitabilmente introduce un sovraccarico di elaborazione nella rete, che può incidere sui valori di delay (ritardo), loss (% pacchetti persi) e jitter (varianza dei ritardi dei pacchetti), che sono tipicamente gli indicatori della qualità della voce su IP.
La ricerca in questo campo è per tanto orientata ad individuare delle soluzioni che possano garantire la sicurezza, senza dover rinunciare alla qualità del servizio e viceversa.
In questo senso, uno sforzo importante delle comunità impegnate nella ricerca di soluzioni relative alla sicurezza IT sta nella definizione e nell’adozione di uno standard per descrivere e definire “vulnerabilità” o “esposizioni” ad attacchi.
L’obiettivo è quello di facilitare così la condivisione delle informazioni raccolte dalle varie comunità di ricerca, necessarie per implementare nuove soluzioni.
In questo scenario, uno dei principali progetti è rappresentato da “CVE, Common Vulnerabilities and Exposures”, che si propone di definire uno “standard per denominare le vulnerabilità” in campo IT tramite la creazione di un dizionario accessibile gratuitamente a tutti gli utenti della rete.
Recentemente CVE ha introdotto nel proprio dizionario tutta una serie di termini relativi alle problematiche di sicurezza legate al VoIP, allo scopo di facilitare la condivisione delle informazioni per questa tecnologia.
CVE non è l’unico progetto in rete per la condivisione delle informazioni in ambito sicurezza: l’auspicio è che gli sforzi che vengono prodotti portino presto dei buoni frutti.