CW Számítástechnika
Szövetség a biztonságosabb VoIP-ért
Hétfőn mutatta be első tervezetét az a csoport, amely a VoIP (voice over Internet Protocol) technológia biztonsági problémáinak megoldását tűzte ki céljául.
A VOIP Security Alliance megvalósítandó pontjai között szerepel egy osztályozási rendszer létrehozása, melynek segítségével rangsorolahtóvá válnak a különböző fenyegetések; valamint a VoIP biztonsági követelményeinek összefoglalása. A Verizon Communications Inc., a Nortel Networks Corp., VeriSign Inc., a PricewaterhouseCoopers LLP, továbbá mintegy 50 egyéb szolgáltató által létrehozott VOIP Security Alliance (VOIPSA) egyben bejelentette első igazgatótanácsának megalakulását is.
A VOIPSA igazgatótanácsának elnöke, valamint a 3Com egyik leányvállalatának, a Tipping Point-nak biztonsági kutatási igazgatója elmondta, hogy a csoport lső lépésben két bizottságot fog létrehozni: egyet a veszélyek rendszerezésére, egyet pedig a VoIP eszközök, a hálózati architektúra, a hálózatkezelés és a felhasználó-azonosítás biztonsági követelményeinek meghatározására. Ezen bizottságok eredményeivel felszerelkezve a VOIPSA a gyakorlati módszertanok meghatározásával, a tesztmódszerek kifejlesztésével, a sebezhetőségek felkutatásával, később pedig az ipar és a nyilvánosság oktatásával halad tovább. Endler elmondása szerint a VOIPSA nem szabványosító szervezetként indult, hanem egy szolgáltató-független ipari forrás létrehozásának céljából.
"A VoIP potenciális fenyegetései közé tartoznak a DDOS (elosztott szolgáltatás-megtagadás) támadások, a voice spam, és az adathalászat olyan formája, melynek során a támadók megszereznék egy legitim hívó fél elérhetőségeit. Ezek a fenyegetések még csupán most kezdenek felszínre törni, azonban idővel valószínűleg elsokasodnak; még olyan tapasztalatlan hackerek/crackerek is kiaknázhatják őket, akiket a közösség csak 'script gyerkőcöknek' (script kiddies) csúfol." - mondta Endler.
"A VoIP-hálózatok ugyanazokat a biztonsági fenyegetéseket fogják megörökölni, amelyek az adathálózatainkat sújtják. Ha pedig a VoIP-t már egy meglévő hálózat kiegészítéseként, alkalmazás formájában telepítjük, akkor a kockázat még nagyobb. Hogy egy példával éljek: egy, a hálózat ellen intézett DDOS támadás adathálózatokon csupán lelassítja a webböngészést, egy VoIP-hálózaton azonban meggátolhatja a segélyhívást is. Azzal, hogy hálózatunkat VoIP-komponensekkel bővítjük ki, új biztonsági tényezőkkel kell szembenéznünk." - fejtette ki Endler.
Bár a csoport szép számban tömörít felszerelés-kereskedőket, szolgáltatókat és biztonsági cégeket, az olyan nagy VoIP nevek, mint például a Cisco Systems Inc., a Vonage Holdings Corp. és a Texas Instruments Inc. chipgyártó cég még nem tartoznak közéjük. Endler elmondása szerint a csoport intézett meghívást ezen cégek irányába is.
"A Cisco azért utasította el a tagságot, mert már dolgozik a VoIP biztonságának továbbfejlesztésén, olyan szabványosító szervezetekkel együttműködve, mint az Internet Engineering Task Force, az International Telecommunication Union és az SIP (Session Initiation Protocol) Forum" - mondta el Roger Farnsworth, a Cisco termékeladási menedzsere. "A Cisco biztonságos VoIP rendszereket kínál a piacon, a Cisco SAFE Blueprint sorozat keretében pedig már megjelentette saját célkitűzéseit a biztonságos IP-telefónia implementálásával kapcsolatban. Úgy éreztük, hogy redundancia lenne, ha még egy csoportba belépnénk, ami ezzel a problematikával foglalkozik. Ha olyan tevékenységeket határoznak meg, amelyek az ipar érdekeit képviselik, és egyben egybevágnak a Cisco érdekeivel is, azonnal csatlakozunk." - tette hozzá Farnsworth.
Az IDC VoIP szakértője, William Stofega csendes optimizmussal tekint a szövetségre. "Véleményem szerint rendelkeznek a kellő kritikus tömeggel a távközlési vállalatok és a szolgáltatók között ahhoz, hogy megoldják a problémák egy részét. Azonban még több szolgáltató, és egy olyan domináns cég csatlakozása, mint például a Cisco vagy a Microsoft sokat segítene az ügyön." - véli Stofega. "A VoIP hálózatok fenyegetései között megtaláljuk a spam-hívásokat, a hívások lehallgatásának veszélyét is. Egy fontos terület, amelyet felvehetne a VOIPSA az irányvonalai közé - és amely felett általában elsiklanak - a szerver-szobák fizikai védettségének kérdése. Egy támadó, amely hozzáfér egy cég telefonbeszélgetéseihez hatalmas kárt okozhat."
A VOIP Security Alliance megvalósítandó pontjai között szerepel egy osztályozási rendszer létrehozása, melynek segítségével rangsorolahtóvá válnak a különböző fenyegetések; valamint a VoIP biztonsági követelményeinek összefoglalása. A Verizon Communications Inc., a Nortel Networks Corp., VeriSign Inc., a PricewaterhouseCoopers LLP, továbbá mintegy 50 egyéb szolgáltató által létrehozott VOIP Security Alliance (VOIPSA) egyben bejelentette első igazgatótanácsának megalakulását is.
A VOIPSA igazgatótanácsának elnöke, valamint a 3Com egyik leányvállalatának, a Tipping Point-nak biztonsági kutatási igazgatója elmondta, hogy a csoport lső lépésben két bizottságot fog létrehozni: egyet a veszélyek rendszerezésére, egyet pedig a VoIP eszközök, a hálózati architektúra, a hálózatkezelés és a felhasználó-azonosítás biztonsági követelményeinek meghatározására. Ezen bizottságok eredményeivel felszerelkezve a VOIPSA a gyakorlati módszertanok meghatározásával, a tesztmódszerek kifejlesztésével, a sebezhetőségek felkutatásával, később pedig az ipar és a nyilvánosság oktatásával halad tovább. Endler elmondása szerint a VOIPSA nem szabványosító szervezetként indult, hanem egy szolgáltató-független ipari forrás létrehozásának céljából.
"A VoIP potenciális fenyegetései közé tartoznak a DDOS (elosztott szolgáltatás-megtagadás) támadások, a voice spam, és az adathalászat olyan formája, melynek során a támadók megszereznék egy legitim hívó fél elérhetőségeit. Ezek a fenyegetések még csupán most kezdenek felszínre törni, azonban idővel valószínűleg elsokasodnak; még olyan tapasztalatlan hackerek/crackerek is kiaknázhatják őket, akiket a közösség csak 'script gyerkőcöknek' (script kiddies) csúfol." - mondta Endler.
"A VoIP-hálózatok ugyanazokat a biztonsági fenyegetéseket fogják megörökölni, amelyek az adathálózatainkat sújtják. Ha pedig a VoIP-t már egy meglévő hálózat kiegészítéseként, alkalmazás formájában telepítjük, akkor a kockázat még nagyobb. Hogy egy példával éljek: egy, a hálózat ellen intézett DDOS támadás adathálózatokon csupán lelassítja a webböngészést, egy VoIP-hálózaton azonban meggátolhatja a segélyhívást is. Azzal, hogy hálózatunkat VoIP-komponensekkel bővítjük ki, új biztonsági tényezőkkel kell szembenéznünk." - fejtette ki Endler.
Bár a csoport szép számban tömörít felszerelés-kereskedőket, szolgáltatókat és biztonsági cégeket, az olyan nagy VoIP nevek, mint például a Cisco Systems Inc., a Vonage Holdings Corp. és a Texas Instruments Inc. chipgyártó cég még nem tartoznak közéjük. Endler elmondása szerint a csoport intézett meghívást ezen cégek irányába is.
"A Cisco azért utasította el a tagságot, mert már dolgozik a VoIP biztonságának továbbfejlesztésén, olyan szabványosító szervezetekkel együttműködve, mint az Internet Engineering Task Force, az International Telecommunication Union és az SIP (Session Initiation Protocol) Forum" - mondta el Roger Farnsworth, a Cisco termékeladási menedzsere. "A Cisco biztonságos VoIP rendszereket kínál a piacon, a Cisco SAFE Blueprint sorozat keretében pedig már megjelentette saját célkitűzéseit a biztonságos IP-telefónia implementálásával kapcsolatban. Úgy éreztük, hogy redundancia lenne, ha még egy csoportba belépnénk, ami ezzel a problematikával foglalkozik. Ha olyan tevékenységeket határoznak meg, amelyek az ipar érdekeit képviselik, és egyben egybevágnak a Cisco érdekeivel is, azonnal csatlakozunk." - tette hozzá Farnsworth.
Az IDC VoIP szakértője, William Stofega csendes optimizmussal tekint a szövetségre. "Véleményem szerint rendelkeznek a kellő kritikus tömeggel a távközlési vállalatok és a szolgáltatók között ahhoz, hogy megoldják a problémák egy részét. Azonban még több szolgáltató, és egy olyan domináns cég csatlakozása, mint például a Cisco vagy a Microsoft sokat segítene az ügyön." - véli Stofega. "A VoIP hálózatok fenyegetései között megtaláljuk a spam-hívásokat, a hívások lehallgatásának veszélyét is. Egy fontos terület, amelyet felvehetne a VOIPSA az irányvonalai közé - és amely felett általában elsiklanak - a szerver-szobák fizikai védettségének kérdése. Egy támadó, amely hozzáfér egy cég telefonbeszélgetéseihez hatalmas kárt okozhat."