VoIP漏洞不斷被利用,但有專家說,這些事實只表明對安全性有更高的需求,而不能說明這項技術存在著致命的危機。
研究人員宣布了針對VoIP信令協議H.323和AIX的工具,以及將音頻插入到VoIP呼叫中的工具。其中,一款自動探測會話發起協議安全漏洞的工具被認為能夠在VoIP傳輸流上搭載數據。
Next Generation Security Software公司高級安全顧問Barrie Dempster說,問題并不是出現在VoIP技術中,而是出現在它的實現中。
他說:“如果你將傳統的網絡安全邏輯應用在VoIP,你可以使它像其他任何協議一樣安全。”
VoIP的安全惡名
VoIP安全漏洞的惡名大部分源于這項技術比較新,其代碼在編寫時不一定考慮到了安全性—這是個困擾許多新技術的問題。
Dempster提到了利用Asterisk(一種開源PBX)的方法,包括緩沖區溢出。他說,這種漏洞以及其他漏洞可以通過刪除未使用特性的代碼和對使用的特性進行安全審計來對付。他說:“問題不是具體安全漏洞本身,而是軟件的成熟性。而且,到目前為止,一直還沒有針對軟件進行相應的安全審查機制。”
人們認識到了這個問題,并通過公布已知漏洞來幫助開發抵御漏洞的防御措施。
行業組織VoIP安全聯盟在網站上公布了一套黑客工具,該組織將這套工具作為測試VoIP能否抵御真實世界中攻擊的安全工具加以推廣。
安全咨詢機構Palindrome Technologies公司CTO Peter Thermos說,保護VoIP的安全并不是不能實現的。他透露了能夠改變呼叫路由或切斷呼叫的媒體網關控制協議(MGCP)存在的安全漏洞。
他還展示了ZRTP存在的一個安全漏洞。ZRTP還未成為標準的加密VoIP協議。這個協議不能加密按下電話鍵所產生的撥號音,這種作法可能使VoIP線路輸入的信用卡號通過分析音頻的方法被盜。
Thermos說,這個MGCP問題最終將需要對協議本身進行修改,不過,目前用戶可以通過阻止對MGCP使用的端口的非授權訪問來加強協議的安全。ZRTP問題涉及到協議的現實,此前,一直利用在系統中添加補丁的方式來解決。
他說,企業部署VoIP的最佳路線是提前規定針對不同公司的“因人而異”的安全要求。他說,金融機構或政府機構可能需要保密性,因此,比其他企業需要更多的加密能力。
Thermos說:“我看到的一個常見錯誤是客戶沒有為他們的網絡規定自己的安全要求,發生問題以后才意識到他們需要安全性,然后把安全性視為額外的費用。”他說,從一開始就部署安全工具還可以更好地保護VoIP,抵御尚未發現的威脅。
比PSTN更安全
盡管確實存在攻擊的可能性,但一些專家說,VoIP比傳統的公共交換電話網(PSTN)更安全。
生產軟件安全性測試工具的Codenomicon公司創建人、CTO Ari Takanen說:“VoIP系統比傳統系統要安全得多。”他承認VoIP存在安全漏洞,但他同時表示,這些安全問題并不是不能克服的。
他說:“IP系統更為暴露,但有更多可以部署的安全措施。如果因此就不使用它,那太愚蠢了。”
Cisco公司VoIP部工程師Cullen Jennings指出,PSTN主叫方ID很容易被嗅探到,利用傳統PBX進行的話費欺詐很常見。但Jennings說,PSTN的可靠性是一個廣為宣揚的服務質量指標。
但是,這并不意味著PSTN無懈可擊,甚至比VoIP更安全。他說,“并不是說PSTN沒有達到它的可靠性目標,而是說這與主叫方ID是否能被嗅探到沒有關系。核心網是否癱瘓,與威脅是否針對主叫方ID沒有關系。”
道高一尺 魔高一丈
Verisign公司VoIP產品經理Akif Arsoy說,企業最終不會因為擔心安全性而拒絕VoIP。他們將在融合的網絡中采用它傳送集成的語音和數據。Arsoy說:“用戶將從VoIP得到今天他們在傳統語音上得不到的東西。”
Thermos說,即便如此,近期將出現更多的VoIP漏洞被利用的情況。他說,他已經發現了更多的信令協議弱點和現實漏洞。但他說這還只是VoIP面臨安全挑戰的一個開始,這種問題將隨應用的深入層出不窮。攻擊與防護就是道高一尺,魔高一丈的較量。
京公網安備 11010502049343號