En indisk-amerikansk spesialist på sikkerhet innen IP-telefoni, Sipera Systems, publiserte i går en liste over åtte sikkerhetshull i utstyr for IP-telefoni, på både klient- og tilbydersiden. På klientsiden dreier det seg om adaptere som kunden gjerne kjøper av tilbyderen når man tegner et abonnement.
Listen omfatter blant annet en HandyTone-adapter fra Grandstream, et merke som også benyttes av norske tilbydere av IP-telefoni, som TeleVoIP. Det er også påvist alvorlige sårbarheter i en adapter fra Motorola, som den store amerikanske tilbyderen Vonage selger til sine kunder.
Ifølge Sipera kan sårbarhetene blant annet utnyttes til å kapre abonnenters telefoner – altså at andre bruker ditt telefonnummer til å ringe fra – samt å avlytte samtaler og sperre et vilkårlig antall telefoner i en form for tjenestenekt.
I tilfellet Vonage skjerpes sårbarhetene av at operatøren ikke krypterer taletrafikken. En annen operatør, Globe7, får kritikk for ikke å sikre tilgangen til brukerkontoene.
Sipera anbefaler kunder å stille følgende spørsmål før de inngår et abonnement på IP-telefoni:
- Er det mulig for noen å kapre telefonnummeret eller gi seg ut for å ringe fra min telefon? Man har krav på å få forklart hvilke ordninger operatøren har for å autentisere adapteren, og for at IP-telefoniserverne faktisk sjekker både at samtalen kommer fra det oppgitte nummeret, og for at mottakeren faktisk er den som disponerer det oppgitte nummeret.
- Er samtalen vernet mot avlytting fra ikke-autorisert tredjepart? Poenget med IP-telefoni er at taletrafikken går over et nett som er helt åpent for alle brukere og alle tjenester. Hvis ikke taletrafikken sikres gjennom sterk kryptering, vil den kunne avlyttes.
- Er det sårbarheter i adapteren, som det er mulig for hackere å utnytte? Sipera peker på at det på det svarte markedet finnes flere gratis tilgjengelige verktøy for å hacke IP-telefoniadaptere med kjente sårbarheter (se lenken nedenfor til VoIP Security Tool List). Brukeren må kunne forsikre seg om at adapteren er oppdatert med de nyeste sikkerhetsfiksene, og at det finnes ordninger som sørger for at den oppdateres løpende etter at den er tatt i bruk
Se også følgende lenker:
