Güvenlik uzmanları bir kez daha işletmeleri ve tüketicileri, birçok IP telefonculuğu açığına maruz kalabileceklerinin yanı sıra IP üzerinden Ses aktarımı (VoIP) görüşmelerinin dinlenebileceği konusunda dikkatli davranmaları için uyarıyor.
Geçtiğimiz hafta İngiltereli güvenlik araştırmacısı Peter Cox, IP üzerinden Ses aktarımına dayalı görüşmelerin ne kadar kolay bir biçimde dinlenebileceğini gösteren bir kanıtın tanıtımını yaptı. Güvenlik sağlayıcısı Bordware firmasının kurucularından ve eski şef teknoloji sorumlusu olan Cox prototip bir Oturum Açma Protokolü (Session Initiation Protocol – SIP) çağrı takip cihazı kullanarak birkaç ay içinde bir dizi telefon görüşmesini kaydetmeyi başardı.
Söz konusu gösterim VoIP’in izlenmeye açık olduğunu bir kez daha hatırlatan bir uyarı gibi. Ancak uzmanlar dinleme olayının sadece buzdağının suyun üstünde kalan kısmı olduğu konusunda uyarıyorlar.
Forrester Research firması analistlerinden Paul Stamp “Her şeyi göz önünde bulundurduğunuzda bu çok küçük bir sorun olarak kalıyor,” diyor. “Bu VoIP sistemlerini kuran insanların uzun süredir bildikleri bir olgu. Ancak kesinlikle sistemdeki en büyük açık değil.”
VoIP’in yükselişi göz önüne alınırsa bu konudaki tüm açıklarla ilgili endişe duymak için oldukça fazla neden mevcut. IBM’in Internet Güvenlik Sistemleri (Internet Security Systems – ISS) tarafından yürütülen bir çalışmaya göre telefon servis sağlayıcılarının neredeyse yüzde 85’i önümüzdeki beş yıl içerisinde IP tabanlı bir mimariyi hizmetleri arasına dahil etmeyi planlıyorlar.
ISS’in anket çalışmasına katılanlar arasında yüzde 87’lik bir grup bu “yeni-nesil networklerin” güçlü güvenlik ölçütleri getirilmese başarısızlığa uğrayacağını düşünmekle birlikte yine ankete katılanların sadece yüzde 46’sı şirketlerinin söz konusu geçişle ilgili problemler karşısında bir planları olduğunu belirtiyorlar.
Görüşmelerin dinlenmesi yeni bir şey olmadığından bu sonuçlar aslında oldukça şaşırtıcı görülebilir.
IBM ISS’de X-Force Researcher ölümünde çalışan Tom Cross “Bir kişinin VoIP çağrılarını dinlemesine olanak veren araçlar oldukça uzun süredir mevcut,” diyor. “IT sektöründe çalışan pek çok kişide anahtarlı networklerde casusluk yapılamayacağı görüşü oluşmuş durumda. Ancak [Adres Çözümleme Protokolü – Address Resolution Protocol] önbellek zehirlemesi denen bir teknik kullanarak bunu gerçekleştirmek mümkün.”
Adres Çözümleme Protokolü (ARP) önbellek zehirlemesi ya da diğer bir adıyla ARP yanıltması, anahtarlı bir Ethernet networkü üzerinde iki farklı cihaz arasına fark edilmeden trafiği geçiren üçüncü bir cihaz yerleştirmenin bir yolu.
Cross “Cain and Able adı verilen ve bir süredir ortalarda olan ARP önbellek zehirlemesi yapabilen bir cihaz mevcut,” diyor. “Eğer bu cihazlar birer VoIP telefonları olsaydı görüşmeyi kaydetmek ve tekrar oynatmak anlamsız olurdu.”
Cross özellikle pek çok kişi için VoIP şifrelemenin tüm kullanıcılar için tercih edilecek bir seçenek olaak görülmediği bu günlerde aslında VoIP kullanan herkesin izlenmeyi dert etmesi gerektiğini ifade ediyor.
Cross “Genele baktığımızda pek çok kişi şifrelemeyi kurmuş değil veya kurulu olsa da aktif hale getirmiş değil,” diyor. “VoIP’in nasıl şifrelendirileceğine dair standartlar üzerinde çalışmalar halen devam ediyor. Pek çok sağlayıcının bu konuda farklı çözümleri mevcut ve bu çözümler şu an için birlikte çalışır olmak durumunda da değiller.”
Ancak uzmanlar VoIP’in izlenmeye açık olduğu kadar, daha pek çok potansiyel tehlikeye de açık olduğu konusunda kullanıcıları uyarıyorlar.
Stamp “Bence insanlar bir dinlenme riskinin olduğunun farkındalar ve pek çok vakada bunu kabullenebiliyorlar da,” diyor. “Şu anda ortalıkta dolaşana açıkların hemen hepsi uygunlukla ilgili ve sizin bilgisayarınızı bu açıklara karşı uygun hale getirmemek için yapabileceğiniz en önemli şey diğer uçtaki kişi için bir çevir sesi olmayacağını bilmek.”
Araştırmacılar genele bakıldığında VoIP networklerinin karşı karşıya olduğu tehditlerin herhangi diğer network hizmetleri ile oldukça benzer olduğunu belirtiyorlar. Bunlar arasında denail of service (servis kullanımı engelleme) saldırıları, yazılım açıkları ve pek çok güvenlik çalışanının aşina olduğu diğer istismar yöntemleri yer almakta.
Cross “VoIP telefonlarınızın ve alt-yapınızın son yamaları ve güncelleştirmeleri adlığından emin olmak son derce önemli,” diyor. “Ve işletim sistemlerini ve sunucuları korumakta yıllardan beri kullandığımız IPS teknolojileri gibi gereçler de VoIP sistemlerini korumak için rahatlıkla konuşlandırılabilir.”
Ancak pek çok veri networkünün aksine kurumsal VoIP networkleri kurumsal IT departmanlarının değerlendirme yetkisi dışında kalıyor ki, bu da Cross’un potansiyel bir endişe unsuru olarak gördüğü bir konu.
Cross “Genellikle kurumsal organizasyonlarda telefon sistemi IT departmanı tarafından işletilmez, bunun yerine HVAC ve diğer kurulum hizmetleri gibi çalışmaların yürütüldüğü bir gereçler grubunda işletilir,” diyor. “Ve genellikle bu grupta çalışanlar’ın IT departmanlarında olan yazılım sistem yönetim süreçlerine sahip olmaları da bir gereklilik değildir. Çünkü bu geçmişte baş etme zorunda oldukları bir sorun için kullanılmamıştır.”
Cross VoIP networklerinin denial of service saldırılarına herhangi bir network kadar duyarlı olduğu düşünülürse, “kalite kaybının (denial of quality)” da endişe yaratması gerektiğine inanıyor. Bunun sebebi ise, hizmet kalitesinde yaşanacak ufak bir bozulmanın bile VoIP çağrılarına büyük oranda yıkıcı etki yapabilmesi.
Cross “Ses üzerinden IP aktarımı çok katı gecikme gereksinimlerine sahip olduğundan, küçük bir network baskını saldırısından etkilenmesi çok kolaydır,” diyor. “Ancak SMTP veya diğer servislerde aynı derecede bir kalite bozulmasına bu kadar çabuk rastlamayabilirsiniz.”
Stamp eğer hem ses hem de veri için tek bir network kullanıyorsanız problemin daha da büyük olacağına dikkat çekiyor. “Eğer se ve veri networkleriniz birbiriyle birleşikse ayrı ayrı sahip olduklarından daha büyük bir toplam işletme değerine sahip olacaklarıdır. Eğer birisi bu networkü çökertirse, verilerinizi kullanamayacağınız gibi telefonunuzu açıp kimseyi yardıma da çağıramayacak duruma gelirsiniz.”
Ve diğer herhangi bir network bilgisayarı gibi VoIP sistemleri de uzaktan kod çalıştırma saldırılarına karşı açık durumdadırlar. Cross’a göre Temmuz ayında ISS Cisco Systems’in Cisco Call Manager networkünde VoIP kullanıcılarına yönelik bir servis engelleme saldırısında kullanılmış olabilecek veya herhangi birine sistem üzerinde programı çalıştırarak yetkisiz erişim hakkı sağlamış olabilecek iki benzer açık keşfettiler.
Hemen hemen tüm kurumsal VoIP sistemlerinin merkezlerinde Cross’un “medya kapısı” olarak nitelendirdiği ve hem Windows hem de Linux işletim sistemlerinin üzerinde çalışan kapılar mevcut.
Cross “Bunlar VoIP networkünün kalbi durumundalar,” diyor. “Burada tüm sesli mailler ve tedarik bilgileri saklı tutulur. Eğer birisi buranın kontrolünü ele geçirecek olursa, tüm telefon sistemlerinin de kontrolünü ele geçirmiş olur.”
Cross “Bu saldırıların çoğu, geleneksel işletim sistemlerine karşı gördüğümüz uzaktan kod çalıştırma saldırı çeşitleri ile çok benzer,” diye ekliyor.
Endişe konularından bir diğerini ise, ilk olarak Cisco’nun bundan iki yıl kadar önce uyardığı VoIP telefonların kendilerine karşı gerçekleştirilen uzaktan kod çalıştıra saldırıları oluşturuyor.
Cross “Aslında VoIP telefon dediğimiz, temelde bir bilgisayardır,” diyor. “Eğer birisi bu bilgisayarda çalışmakta olan servislerden birisini istismar etmeyi başarabilirse, bilgisayarın kontrolünü ele geçirebilir ve uzaktan mikrofonu açıp ses kaydediciyi çalıştırabilir ve böylece bir dinleme cihazı elde etmiş olur.”
Cross’un belirttiği korkutucu örneklerden birisi de 2005’in sonlarında dinlendiği rapor edilen UT Starcom kablosuz telefon cihazı.
Cross “Kutusundan üzerinde bir telnet portu ile çıkıyordu,” diyor. “Bu port ile cihaza telnet yapabiliyordunuz ve otomatik olarak atanan şifre de tahmin edilmesi çok kolay bir şifreydi. Telefona telnet yapmak ve oturum açmak kadar kolaydı ve böylece telefon üzerinde tamamen kontrolü ele geçiriyordunuz.”

Kaynak : 