После начала своей работы в этом году, организация занимающаяся проблемами безопасности IP-телефонии, Voice over IP Security Alliance (VoIPSA), сделала первый серьезный шаг в деле защиты VoIP-услуг: внятно определила список проблем и уязвимостей, которые могут эксплуатироваться злоумышленниками. Проект, называемый VoIP Security Threat Taxonomy, выложен для открытого обсуждения. В нем всесторонне и детализировано даются определения и описания потенциальных угроз безопасности, что является базой для создания систем противодействия, пишет Computer Business.
По сравнению с началом года, когда VoIPSA только начинала действовать, количество организаций, поддерживающих ее деятельность, увеличилось с 20 до 100. Среди тех, кто присоединился не так давно, фигурируют компании Juniper, Nokia, Deloitte & Touche и BearingPoint.
Несмотря на то, что организации известны факты серьезных атак с использованием уязвимостей VoIP довольно простыми средствами, конкретные примеры руководитель VoIPSA Джонатан Зар (Jonathan Zar) приводить отказывается.
В списке потенциальных проблем фигурируют разведка, DoS и DDoS-атаки, использование уязвимостей протокола, подслушивание, удаление и модификация звуковых потоков. Обычно, когда говорят о потенциальной угрозе для IP-телефонии, обязательно упоминают специализированный спам. Однако, по словам Зара, наибольшую угрозу представляет фальсификация идентификации абонента, поскольку это чревато потерей конфиденциальной информации.
Требования к поддержке QoS для VoIP автоматически означают упрощение организации DoS-атак, поскольку значительно облегчается задача по внесению искажений в голосовой поток. Да и объектов для атаки набирается довольно много, если учесть, что в поле зрения злоумышленников сразу попадают IP- телефоны, широкополосные модемы, маршрутизаторы, коммутаторы, шлюзы, брандмауэры и SIP Proxy сервера.
Совершенно очевидно, что угрозы такого рода, возможно, решать только сообща, причем, в основном, на уровне операторов, однако VoIPSA не претендует на роль некоей стандартизирующей структуры, сказал Зар. Скорее речь идет о составлении рекомендаций, которые неплохо было бы учитывать при изготовлении оборудования, написании ПО и развертывании инфраструктуры под IP-телефонию. Кроме того, будет даваться оценка взаимодействиям самых разных структур при передаче голосового трафика, и разрабатываться тактика защиты совместными усилиями разных компаний.
Завершения работы над следующим шагом VoIPSA - создания списка мер безопасности - следует ожидать к окончанию года.
Дмитрий