安全專家警告稱企業(yè)視頻電話會議易遭破解

    內(nèi)部人員使用一種免費的軟件工具能夠容易地破解企業(yè)視頻電話會議，實時監(jiān)視電話會議并且用適合在YouTube網(wǎng)站發(fā)布的文件記錄會議內(nèi)容。

    VoIP廠商Sipera的VIPER實驗室主管Jason Ostrom說，雖然利用這個安全漏洞的情況已經(jīng)在一年前的一個安全會議上進行了演示，但是，大多數(shù)企業(yè)網(wǎng)絡仍然存在這個安全漏洞。Ostrom在實驗室對客戶的企業(yè)VoIP網(wǎng)絡進行滲透測試。

    Ostrom說，只有5%的企業(yè)網(wǎng)絡進行了正確的設置，可以阻止這種攻擊。這種攻擊能夠生成整個會議的音視頻文件。他說，我?guī)缀鯖]有看到過啟用加密功能。

    Ostrom上個星期在波士頓舉行的Forrester安全論壇會議上演示了這種攻擊。他使用了一臺思科交換機、兩部Polycom視頻電話和一臺裝有UCSniff黑客工具的筆記本電腦。這個黑客工具是他用開源軟件工具組合而成的。

    為了竊聽電話，需要有人能夠接觸到VoIP電話插口，包括公司休息室的電話插口，把配置黑客工具的筆記本電腦插入到VoIP插口。這個設備就可以利用地址解析協(xié)議(ARP)欺騙手段收集企業(yè)VoIP目錄，使黑客能夠監(jiān)視每一部電話并截獲電話內(nèi)容。UCSniff黑客工具中有一個名為ACE的工具可以簡化捕獲目錄的過程。

    目標通話的音視頻一旦遭到攔截，就會傳送到筆記本電腦。黑客可以在傳送過程中觀看并且以獨立文件記錄下來，每結束一段通話就生成一個文件。

    加密是應對措施

    Ostrom說，最佳的網(wǎng)絡防御措施是啟用信號傳送和媒體的加密功能。這個問題不是網(wǎng)絡或者VoIP和視頻設備本身的問題，而是如何在網(wǎng)絡中設置這些設備的問題。

    一位參加會議的人建議說，二層監(jiān)視工具能夠檢測到這種攻擊。Ostrom同意這種說法。但是，他說，他們在實踐中很少使用。我很少看到使用2層保護措施防御這種攻擊。

    此外，他在滲透測試中發(fā)現(xiàn)，他測試的網(wǎng)絡70%都容易受到長途電話費欺詐攻擊。這種攻擊利用企業(yè)網(wǎng)絡作為代理打長途電話。

    AT&T首席安全官Edward Amoroso說，AT&T故意公開暴露一些安全漏洞，引誘攻擊者進入沒有與公司網(wǎng)絡連接在一起的蜜罐。然后，AT&T與執(zhí)法部門合作找出并起訴這些黑客。

    Amoroso說，這種做法給黑客提出了一些不確定性。黑客不知道這些安全漏洞是真的還是假的，也許不愿意進入他們發(fā)現(xiàn)的每一個安全漏洞。