Hatalmas biztonsági rés a titkosítatlan internettelefonálás

[Techworld] Hatalmas biztonsági résre hívja fel a figyelmet példaprogramjával, a SIPtappal Peter Cox, az angol BorderWare egyik alapítója és volt technikai igazgatója: a sérülékenységet bizonyító, úgynevezett proof-of-concept alkalmazásával könnyedén lehallgathatók az internettelefon, VoIP-hívások. A VoIP-t nem csak egyszerű halandók, de komoly cégek, sőt, kormányok is használják telefonszámlájuk csökkentésére.

A SIPtap szoftver segítségével több Voice-over-IP (VoIP) hívás is lehallgatható, rögzíthető egyszerű .wav állományokba, mindehhez csak a hálózatban szereplő egyik számítógépre kell az alkalmazást eljuttatni. A megoldás azonban nem csak ilyen felső szinten, hanem az internetszolgáltatók szintjén is működhet, így egyetlen SIP-alapú internettelefon-hívás nem lehet biztonságban.

A program a SIP-azonosítók alapján indexeli a hívásokat, így utólag visszakereshető, ki, mikor, kit hívott, mennyi ideig beszélt, és akár a beszélgetés is visszahallgatható. A SIPtap segítségével érzékeny adatokhoz juthatnak illetéktelenek, egy-egy vállalati hálózat, vagy hivatal lehallgatásából könnyen üzleti előny kovácsolható.

A szoftver megszületését egy beszélgetés inspirálta Phil Zimmermann-nal, a Zfone megalkotójával, mely az ilyen fenyegetésekre próbál megoldást nyújtani titkosítás segítségével. A vállalatok legtöbbször nincsenek is tisztában a VoIP használatából adódó biztonsági kockázatokkal, ezeket általában elhomályosítják a megtakarításból származó előnyök. A valóság azonban az, hogy ha egy ehhez hasonló szoftvert be tudnak juttatni a hálózatba, gyakorlatilag bárhonnan lehallgathatják a cég VoIP-n folytatott beszélgetéseit. Cox szerint a megoldás egyszerű: legalább olyan szigorúan kell védekezni a VoIP esetén is, mint egy webszerver esetén tennénk.