Tűzfalat a telefonra!

Pár napja két IT-biztonsági kutató előállt egy bemutatóval, amelyen azt demonstrálták, hogy egy noteszgéphez kötött VoIP telefonon zajló kommunikáció miként válhat fontos üzleti adatok kiszivárgásának okozójává. Az Egyesült Államok keleti partján tartott SchmooCon hackerkonferencián John Kindervag, a Vigilar vezető biztonsági mérnökének beszámolója szerint a kórházakban, konferenciatermekben és hotelszobákban különösen nagy a veszélye egy ilyen jellegű támadásnak, mivel ezeken a helyeken többnyire nincsen állandó IT-s személyzet. Munkatársával, Jason Ostrommal közösen mutattak be egy saját fejlesztésű eszközt: a VoIP Hopper révén tesztelhető az IP telefonos rendszereket használó vállalatok hálózata.

Egyre több vállalatnál állnak át a (tisztán) IP alapú hangkommunikációra. Ennek számos előnye van: nincsen hívási díj, amennyiben csak az Interneten keresztül zajlik a beszélgetés, kevesebb kábel szükséges a rendszer létrehozásához, az alkalmazottak anélkül változtathatnak helyet az irodák között, hogy újra kellene kábelezni a rendszert vagy meg kellene változtatni az alközpontok beállításait. Az sem elhanyagolható szempont, hogy az Outlook bejövő leveleket tároló mappájában megjelennek a hangüzenetek. Ugyanakkor ezen előnyök mellett gyakran nem veszik figyelembe, vagy nem helyeznek kellő hangsúlyt a biztonsági kockázatokra.

Ostrom eszköze lehetővé teszi valaki számára, hogy egy nyilvános VoIP telefont használó alkalmazotton keresztül, pusztán egy laptoppal be lehessen jutni a vállalat belső hálózatába, ráadásul teljes adminisztrátori jogosultsággal. A VoIP Hopper képes elkapni a Cisco Discovery Protocol (CDP) által zajló kommunikációt, aminek révén kideríthető az eszköz típusa és a szomszédos eszközök SNMP ágens címei. Sőt, mi több, automatikusan új Ethernet eszközt is létre lehet hozni a VoIP Hopperrel, amivel így fel lehet térképezni egy vállalat belső hálózatát – vagy akár kárt is lehet okozni ebben az infrastruktúrában. Hovatovább az is megvalósítható, hogy a fizikailag felcsatlakozott telefon MAC címének lemásolásával a becsatlakozott laptop azt „hazudja” magáról, ő a telefon – a hálózat számára pedig így is fog látszódni.

Annak érdekében, hogy a vállalatok megakadályozzák ezt a fajta betörési lehetőséget, ajánlatos kikapcsolni a CDP-t, állította a két kutató. Emellett minden nyilvános VoIP telefonon ki kell(ene) kapcsolni a második portot, illetve fel kellene szerelni őket tűzfallal, javasolta Kindervag és Ostrom.