内部人员使用一种免费的软件工具能够容易地破解企业视频电话会议,实时监视电话会议并且用适合在YouTube网站发布的文件记录会议内容。
VoIP厂商Sipera的VIPER实验室主管Jason Ostrom说,虽然利用这个安全漏洞的情况已经在一年前的一个安全会议上进行了演示,但是,大多数企业网络仍然存在这个安全漏洞。Ostrom在实验室对客户的企业VoIP网络进行渗透测试。
Ostrom说,只有5%的企业网络进行了正确的设置,可以阻止这种攻击。这种攻击能够生成整个会议的音视频文件。他说,我几乎没有看到过启用加密功能。
Ostrom上个星期在波士顿举行的Forrester安全论坛会议上演示了这种攻击。他使用了一台思科交换机、两部Polycom视频电话和一台装有UCSniff黑客工具的笔记本电脑。这个黑客工具是他用开源软件工具组合而成的。
为了窃听电话,需要有人能够接触到VoIP电话插口,包括公司休息室的电话插口,把配置黑客工具的笔记本电脑插入到VoIP插口。这个设备就可以利用地址解析协议(ARP)欺骗手段收集企业VoIP目录,使黑客能够监视每一部电话并截获电话内容。UCSniff黑客工具中有一个名为ACE的工具可以简化捕获目录的过程。
目标通话的音视频一旦遭到拦截,就会传送到笔记本电脑。黑客可以在传送过程中观看并且以独立文件记录下来,每结束一段通话就生成一个文件。
加密是应对措施
Ostrom说,最佳的网络防御措施是启用信号传送和媒体的加密功能。这个问题不是网络或者VoIP和视频设备本身的问题,而是如何在网络中设置这些设备的问题。
一位参加会议的人建议说,二层监视工具能够检测到这种攻击。Ostrom同意这种说法。但是,他说,他们在实践中很少使用。我很少看到使用2层保护措施防御这种攻击。
此外,他在渗透测试中发现,他测试的网络70%都容易受到长途电话费欺诈攻击。这种攻击利用企业网络作为代理打长途电话。
AT&T首席安全官Edward Amoroso说,AT&T故意公开暴露一些安全漏洞,引诱攻击者进入没有与公司网络连接在一起的蜜罐。然后,AT&T与执法部门合作找出并起诉这些黑客。
Amoroso说,这种做法给黑客提出了一些不确定性。黑客不知道这些安全漏洞是真的还是假的,也许不愿意进入他们发现的每一个安全漏洞。
