IP telefonijas noklausīšanās

Cisco interneta telefoniem ir atklātas ievainojamības, kas ļauj hakeriem tos pārvērst par noklausīšanās ierīcēm un pārtvert konfidenciālas sarunas līdzīgi kā parādīts daudzās Holivudas filmās.

Austrālijas konsultāciju firma HackerLabs nodemonstrēja žurnālam SC Magazine šīs ievainojamības un pastāstīja, ka viņu klienti tādēļ ir zaudējuši līdz par 20 tūkstošiem dolāru dienā.

Cisco runasvīrs atzina, ka firma ir nopietni norūpējusies par drošību un izstrādājusi ieteikumus, kas iekļauti lietotāja rokasgrāmatā, lai sistēmu padarītu drošāku.

Drošības konsultants Chris Gatford pastāstīja, ka IP telefonijas sistēmu var uzhakot tā, ka attālināts telefons kalpo kā noklausīšanās ierīce. Var noklausīties gan telefona sarunas, gan sapulces, ja telefons atrodas apspriežu telpā. Īpaši apdraudēti esot zvanu centri, jo tie plaši lieto IP telefoniju tās lētuma dēļ. Tāpat iespējams ievadīt sistēmā savas skaņas vai pāradresēt telefonus uz maksas numuriem. Esot iespējams arī uzbrukums, kura rezultātā visi IP telefoni tiktu atslēgti. Gatfords apgalvo, ka Austrālijā šādi uzbrukumi ir pieredzēti.

Ievainojamības pamatā esot tas, ka Cisco paļaujas uz web funkcijām lietotāju funkcijās, kas padara hakeru ielaušanos vieglāku. Drošības ieteikumi iesaka atslēgt web funkcijas, bet daudzi administratori to pat neizlasa. Daudzi biznesi to izdara un izlabo tikai pēc tam, kad jau ir izjutuši hakeru uzbrukumu.

Avots: AusCERT: Cisco IP phones prone to hackers.

4 comments to IP telefonijas noklausīšanās

  • hvz

    Reāla problēma ir tā, ka mūsdienās neliels procesors un operētājsistēma ir jau gandrīz katrā iekārtā, kas agrāk bija dumb. Un šo ierīču izstrādātājiem interesē funkcionalitāte. Tādi mazie procesori (atmegas utml) parasti ir max piebāzti ar funkcionālām lietām un drošības procedūrām nepaliek vietas. Vai arī pats procīša dizains neparedz drošību dizainiski.

    • Jānis

      Tā ir. Diezgan jaudīgi procesori ir pat fotoaparātu litija akumulatoros ielikti, nerunājot jau par gatavām, atsevišķām ierīcēm.

  • hvz

    starp citu reku vieni korporatīvie spiegi izskatās ka atrausies pa zobiem – http://www.argentconsulting.nl/2011/05/dutch-isp-kpn-admit-to-deep-packet-inspection/

    • Jānis

      Šo pirms maza brīža lasīju un padomāju, bet kā citādāk lai operators nosaka, kādi servisi tiek lietoti? Konkrētajā gadījumā viņam tas nepieciešams priekš pakalpojumu uzskaites.
      Esmu tālu no domas, ka operators korporatīvā līmenī būtu izdomājis izspiegot savus klientus. Tas tikai grautu viņa paša biznesu. Drīzāk jau kādi marketoīdi ir izdomājuši pakalpojumu vai tarifu plānu, kuru var realizēt tikai šādā veidā un nav padomājuši par sekām. Tai skaitā par negatīvas publicitātes sekām.