Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Robert Malmgren om säkerhetsproblem med VoIP » Kryptoblog

Robert Malmgren om säkerhetsproblem med VoIP

December 7th, 2007 by Joachim Strömbergson Leave a reply »

Robert Malmgren en av sveriges duktigaste IT-säkerhetsexperter pratar i en intervju på IDG om säkerhetsproblem med VoIP.
Lilla Romab


– Säkerheten är fortfarande omogen på ip-telefoniområdet, men många företag stoppar huvudet i sanden och satsar ändå, vilket är en farlig kombination, säger säkerhetsexperten Robert Malmgren.

Det senaste tecknet på omogenheten är att Ciscos ip-telefoner kan avlyssnas på grund av att det har en inbyggd webbserver som inte krypteras och dessutom är påslagen som standard.

Artikeln innehåller även kommentarer från några andra personer:


– Leverantörerna pratar bara om möjligheterna, ingenting om riskerna. Därför ser företagen bara möjligheterna och underskattar riskerna, säger Ulf Eriksson, it-chef på Alcro-Beckers.

– Dagens ip-telefoner är inga dumma terminaler utan liknar mer en vanlig pc med en webbläsare. Det får stora konsekvenser för säkerheten, säger Ulf Eriksson.

Ytterligare en dimension på hotet mot ip-telefonin är att växlarna numera installeras på vanliga servrar.

– Det innebär att växlarna är lika sårbara för skadlig kod och attacker från hackare som vilken annan server som helst, säger Niklas Eklöv, systemingenjör på McAfee.

Jag tycker att det är bra att säkerhetsaspekter runt VoIP uppmärksammas. Jag betraktar VoIP som små, inbyggda system som kopplas upp över nätverk och antingen via lokal server eller direkt pratar ut mot omvärlden. Att detta innebär en förändring i säkerhetsmodellen i det lokala nätverket borde vara uppenbart. Men jag upplever att många organisationer stirrar sig blinda på de samtalskostnader man kan kapa genom att byta ut sitt gamla POTS-system.

En bra jämförelse tror jag är skrivare och kopiatorer som sitter på nätverket. Hur många tänker på att dessa maskiner i dag är en nätverksansluten dator? Rent psykologiskt betraktas nog den telefon som står på skrivbordet som en telefon oavsett om den har en Ethernetport i baken eller inte.

Att Robert som alltid är stabil, klok och sansad tar upp VoIP som ett växande problem tar jag som en seriös varning om att allt inte bara är sol och parasolldrink med VoIP.

RSA-konferensen pratade jag bland annatmed en ansvarig för telefoni på Deutche Postbank. Dom hade räknat på VoIP-lösningar varje år de senaste tre åren. Hans slutsats var att med kostnaden för separata servrar för VoIP, administration av alla VoIP-telefoner, VLAN-separering eller tom helt separat nätverk blev kostnaden högre för VoIP än med traditionell telefoni. Även om samtalskostnaden kapades rejält gick det inte att räkna hem vinsten inom rimlig tid för systemet.

För den som vill läsa mer om olika säkerhetsproblem med VoIP finns det ett dokument kallat VoIP Security and Privacy
Threat Taxonomy
från Voice over IP Security Alliance (VOIPSA) som är väl värd att läsa igenom.

Och när vi ändå är inne på VoIP och säkerhet kanske vi inte skall glömma bort Skype, som oavsett hur enkel den är att använda säkerhetsmässigt är något av det mest skrämmande jag känner till. Jag har tidigare tagit upp Philippe Binondi och Fabrice Desclaux presentation Silver Needle in the Skype från Black Hat Europe 2006. Har du inte tittat igenom den presentationen så gör det.

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

Leave a Reply

You must be logged in to post a comment.