تهدیدات امنیتی VoIP : واقعی یا کاذب؟

تصور کنید یک مهاجم به طور پنهانی به شبکه VoIP شما راه یافته و به تمامی مکالمات مورد نظر خود گوش داده و سپس اطلاعات حساس، اسرار شرکت یا حتی جزییات مورد نیاز مدیر ارشد اجرایی ما را استخراج نماید. ماه گذشته یک شرکت به نام Internet Security Systems یا ISS به کاربران هشدار داد که محصول VoIP سیسکو از یک نقص امنیتی برخوردار است که چنین مشکلی را ببار می‌آورد. به گفته شرکت، این نقص اجرایی در برنامه Call Manager سیسکو وجود دارد که کار مخابره و مسیریابی تلفنی را کنترل می‌کند و به بافر امکان می‌دهد تا بیش از حد پر شده و سپس امکان دسترسی مهاجم به سیستم جهت استراق سمع تمامی مکالمات را در آن مسیر فراهم می‌سازد. تمام مطلبی که ISS و دیگر فروشندگانی که روی تکنولوژی فروش برای بستن شکاف‌های امنیتی موجود در VoIP تمرکز کرده‌اند بیانگر این نکته هستند که متدی که بسیاری از افراد آنرا برای ارسال ترافیک صدا روی IP بکار می‌برند ظاهرا امنیت چندانی ندارد و برای اینکار طراحی نشده است. ISS و سایر رقیبانی که از بازار‌های امنیتی IP و مدیریت VoIP به این عرصه جدید گام برداشته‌اند، خطرات جدی و بزرگی را برای شرکت‌هایی پیش‌بینی می‌کنند که موضوع امنیت VoIPرا جدی نمی‌گیرند و بدون شک فقط بدنبال روند درآمد چشمگیر هستند.
● مشکلات و دردسرهای روزافزون
Neel Mehta رهبر تیم توسعه و تحقیق X-Force در شرکت ISS ‌می‌گوید، وقتی موضوع امنیت مطرح می‌شود دردسرهای روز افزون VoIP نیز آغاز می‌گردد. این فقط خطری است که بزودی VoIP را تهدید می‌کند و ما آن را خیلی جدی می‌گیریم. این گروه از فروشندگان که شامل Secure Logix، Bovder Ware و NFR هستند به استفاده از دستگاه‌های امنیتی مثل فایروال‌ها که برای فیلترگذاری ترافیک VoIP در موارد مشکوک طراحی شده است و اینگونه ارتباطات را قطع می‌سازد، تاکید می‌کنند. هنوز به سختی می‌توان شرکتی را پیدا کرد که به دام سو استفاده گران و مهاجمان VoIP افتاده و در چنگال آنها اسیر شده باشد، شرکت‌هایی بوده‌اند که اسپم کننده‌ها صندوق پستی صوتی آنها را با پیام‌های ناخواسته خود پر کرده‌اند و مهاجمانی که به مکالمات تلفنی آنها گوش داده و یا کلاهبردارانی که هویت حقیقی خود را پنهان ساخته‌اند. ولی تاکنون این گونه خطرات و تهدیدات بیشتر فرضی بوده است.
Irwin Lazar، تحلیلگر ارشد Burton Group می‌گوید، فکر نمی‌کنم که تاکنون این تهدیدات جدی بوده باشند، VoIP هنوز یک سیستم به نسبت بسته است، در واقع هیچ شرکتی سیستم VoIP خود را روی اینترنت در معرض نمایش نمی‌گذارد. او می‌گوید، با وجود این، به محض اینکه تغییری صورت بگیرد و شرکت‌ها شروع به تبلیغ آدرس‌های SIP قابل استفاده خود در ارتباطات VoIP روی کارت‌های بازرگانی و سایت‌های وب نمایند، برقراری امنیت الزامی خواهد بود. ولی اکنون امنیت VoIP در ذهن مدیران IT در درجه اول اهمیت قرار ندارد.Pierce Reld، مدیر بازاریابی شرکت Qovia اعلام کرد که یک حق انحصاری را به ثبت رسانده است که تکنیکی برای دستگیری اسپم VoIP است و یکی از خطرات اولیه برای این شبکه‌ها محسوب می‌شود. Qovia قصد داشت این ماجول دستگیر کننده اسپم را سال گذشته عرضه نماید ولی تاکنون به علت عدم کشش بازار نتوانسته چنین کاری را انجام دهد.
● موضوعات تازه
با وجود این، Reld می‌‌گوید، تمایل به انتخاب چنین محصولاتی آغاز شده، همچنین مسائل امنیتی نیز اکنون جزو موضوعات جدید و مهمی در جریانات VoIP به شمار می‌رود. Reid می‌گوید، یک قسمت از کاری که ما می‌خواستیم سال گذشته انجام دهیم کمک به بالابردن میزان آگاهی افراد و هشدار به موقع به آنها برای پشتیبانی از خود پیش از رسیدن به مرحله تهدید بود؟ شرکت قصد دارد قابلیت دسترسی به محصول ضد اسپم خود را تا پایان سال جاری اعلام نماید. Bobby Parish متخصص ارشد IT می‌گوید، وقتی شهر جسکون ویل در ایالت کارولینای شمالی آمریکا سه سال پیش تجهیزات VoIP سیسکو را نصب کرد، سازمان بیشتر روی کاهش هزینه‌ها تمرکز داشتند و از بابت موضوع امنیت نگرانی چندانی وجود نداشت. با وجود این، اعضا گروه او برای پشتیبانی از شبکه صوتی آن چندین گام برداشتند از جمله جداسازی آن از شبکه اطلاعات و همینطور ایمن سازی واقعی صوتی.
Parrish می‌گوید سازمان او باید خیلی خوش شانس باشد که تا به حال دچار هیچ شکاف امنیتی در شبکه VoIP خود در این شهر نشده است ولی این شانس همیشه همراه او نخواهد بود. او می‌گوید، من تا به حال گرفتار این موضوع نشده‌ام و صحنه وحشتناک آنرا ندیده‌ام ولی آنقدر‌ها هم بی‌خیال و بی‌توجه نیستم که فکر کنم هرگز چنین اتفاقی نخواهد افتاد. او می‌گوید، جسکون ویل پس از عرضه ضداسپم VoIP شرکت Qovia آنرامورد ارزیابی و بررسی قرار می‌دهد. چندین دلیل قانع کننده برای پذیرش و تایید تهدیدات بالقوه و غیرقابل کنترل در مورد VoIP وجود دارد حتی قبل از اینکه آنهامعمولا به واقعین بپیوندند. اول اینکه چطور ویروس‌ها، اسپم و phishing با حمله تهاجمی خود روی سیستم‌های ارتباطی مبتنی بر IP به ویژه پست الکترونیکی از خود دفاع می‌کنند. همچنین تصور تهدیدات مشابه دیگر روی VoIP نیز دور از ذهن نیست. دوم اینکه اگر این تهدیدات ظاهری به دنیای شرکتی راه یابند می‌توانند خسارات زیادی را ببار آورند، نتیجه عمل خود را مشاهده می‌کنید. Bob Gligorea، یک مقام امنیت اطلاعات در Exchange Bank واقع در سانتاروزا کالیفرنیا می‌گوید، به نظر من اگر افراد از امنیت لازم و به موقع برخوردار باشند نیازی به استفاده از VoIP ندارند. این بانک اکنون در حال نصب سخت‌افزار جدیدی برای شبکه است مثل دستگاه امنیتی ISS که می‌تواند سال آینده به VoIP تبدیل شود. من تاکنون نشنیده‌ام که واقعا حمله‌ای از این بابت صورت گرفته باشد ولی استراق سمع از جنبه مزیت رقابتی کار نادرستی است؟
پس سازمان‌ها باید در مقابل این تهدیدات چه اقدامی انجام دهند؟ دولت آمریکا در ابتدای سال جاری چندین نظریه ارائه داد. موسسه ملی تکنولوژی و استانداردهای آن که بخشی از وزارت بازرگانی است در ماه ژانویه گزارشی مبنی بر ارزیابی امنیت VoIP صادر کرد که به این موضوع اشاره کرد که مدیران IT نباید تصور کنند که چون شبکه اطلاعات آنها محفوظ است مکالمات صوتی روی سیستم‌ آنها هم ایمن خواهد بود. متن این گزارش به این شرح است: ممکن است مدیران به طور اشتباه تصور کنند که چون صدای دیجیتالی شده به صورت بسته‌بندی ارسال می‌شود، لذا آنها می‌توانند فقط اجزای VoIP را به شبکه‌های از قبل ایمن خود وصل نموده و همچنان ایمن بمانند. ولی از طرف دیگر این فرآیند ساده هم نیست. متن این گزارش حاکی از این است که خودداری از جداسازی ترافیک داده و صدا از یکدیگر و استفاده از محصولات امنیتی مثل فایروال‌هایی که قادر به شناسایی پروتکل‌های VoIP هستند و اجتناب از بکارگیری تلفن‌های نرم‌افزاری (softphones) که با استفاده از یک کامپیوتر و هدفون، VoIP را به اجرا در می‌آورند، آسیب‌پذیری شبکه‌ها را در مقابل ویروس‌ها و سایر malware از بین می‌برد.
Susan Larson، معاون بخش تحقیق و تحلیل تهدید جهانی برای SurfControl که کار فیلترگذاری وب و پست الکترونیکی را به عهده دارد می‌گوید، شرکت‌ها علاوه بر نصب محصولات ویژه‌ای که می‌تواند ترافیک مشکوک VoIP را از بین ببرد باید با تلاش امنیتی خود از نحوه اجرای شبکه‌های VoIP خود نیز آگاه باشند. لارسون می‌گوید، با توجه به محبوبیت روزافزون برنامه‌هایی همچون skype که یک برنامه مشابه و نظیر به نظیر رایگان بوده و به کاربران کامپیوتر امکان می‌دهد تا ارتباطات تلفنی خود را روی اینترنت برقرار نمایند و همچنین امکان برقراری ارتباطات پشتیبانی نشده با دنیای خارج را میسر می‌سازد، شرکت‌ها باید از آنچه کارمندانشان دریافت می‌کنند آگاه باشند. محصولات SurfControl می‌توانند جلوی دریافت از چنین سایت‌هایی را بگیرند همانطور که می‌توانند جلوی نامه‌های الکترونیکی دریافتی را با URLهای درونی که به این سایت‌ها اشاره می‌کنند قبل از ورود به سازمان بگیرند.

نویسنده: Cara Garretson
مترجم: شراره حداد