VoIP servislerinde mevcut açıklara yönelik uyarılar, kısa süre öncesine kadar pratikten çok teorikti. Ama haziran ayında yüksek teknolojiye sahip 2 hırsız, kasıtlı olmadan servis sağlayıcılarını bir milyon dolardan fazla zarara uğratmakla suçlandıklarında bu durum tümden değişti.
Suçlanan iki hırsızdan birisi olan Edwin Andrew Pena, yasal gözüken bir VoIP perakende satış şirketi Fortes Telecom’un sahibi idi. Bu şirketin, 10 milyon dakikalık görüşmeyi Net2Phone’un da aralarında olduğu servis sağlayıcıları aracılığı ile yasa-dışı olarak yönlendirdiği ve daha sonra bu görüşmeleri faturalandırdığı ortaya çıktı. Hack olayında trafiğin çıkış noktasının saklanması için kurumsal bir IP-PBX’in kullanıldığı da ortaya çıktı. Vaka ve suçlamalar ile ilgili mahkeme tutanaklarına buradan ulaşabilirisiniz.
Olay halka açıklanan “ilk büyük ölçekli VoIP dolandırıcılığı” olması nedeniyle geniş yankı bulurken, cevaplanması gereken daha önemli soru ise bunun izole bir vaka mı olduğu, yoksa şimdilerde yığınlarca insanın kullanmaya başladığı VoIP servislerine saldırı yapmanın büyümekte olan bir trend haline mi geldiğidir. Bu soru karşısında farklı yorumlar yapılıyor.
Vonage firmasının kurucuları arasında yer alan VoIP öncüsü Jeff Pulver olayın fazlasıyla reklam edildiği görüşünde. Pulver, “Net2Phone’dan dakikaların çalınması olayı, bence doğrudan yapılmış bir hırsızlık olayıdır ve sonuçta bu çalınan dakikaların IP dakikaları olması ilginç.” dedi.
Uzmanlar, VoIP ile ilişkili güvenlik açıklarının çözülmemesi durumunda, sorunların gittikçe daha da büyüyeceğine inanıyorlar. Network ve güvenlik konularında danışman bir firma olan Core Competence’ın başkanı ve aynı zamanda “Understanding Voice Over IP Security” (IP Üzerinden Ses Aktarım Güvenliğini Anlamak) adlı kitabın da yazarlarından olan David Piscitello, güvenlik mail listeleri ve diğer forumlar aracılığı ile bildirilen vakalarda bir artış olduğuna dikkat çekiyor.
Piscitello “VoIP ürünlerinde her geçen gün, daha fazla açık bildirilmekte ve VoIP protokolleri ve SIP/IPBX konfigürasyonları aracılığı ile networklere nasıl sızılabileceği ile ilgili daha fazla araştırma yapılmakta. Bu durum da bana VoIP’in oldukça büyük bir sektör olduğunu ve bu sektörü cazip bir hedef haline getirmek için finansal bir motivasyonun (örneğin toll fraud-uzak mesafe çağrı dolandırıcılığı) olduğunu gösteriyor.” diyor.
Mobil telefonlar ve IM (hazır mesajlaşma) için yazılan virüslerle ilgili felaket tellallığından da anlaşılacağı üzere (ki bu yine de endüstrinin bu platformlara dikkat etmemesi gerektiği anlamına gelmiyor), medyada yer alan abartılı haberler ve güvenlik sektörü kol kola ilerlemekteler. Voice Over IP Güvenlik İttifakı yöneticilerinden birisi olan ve aynı zamanda 3Com’un TippingPoint güvenlik departmanında güvenlik araştırma yöneticisi olan David Endler, VoIP vakasında medyanın yanlış bölgelere odaklanmış olabileceğini belirtiyor.
Endler, arayan ID’si değiştirme, uzak-mesafe aramalarında yapılan dolandırıcılık, telefon dinleme ve çağrı ele geçirme gibi alanların varlığını işaret ederek “Hackerların IP üzerinden ses aktarım networklerini ve servislerini istismar ettikleri yönünde son zamanlarda medyada yaşanan bir abartılı haber patlaması söz konusudur,” diyor. Ancak denial-of-service saldırıları, kurtçuklar, virüsler ve hacker sömürüleri gibi, VoIP servisleri de dahil tüm IP data networklerini hedef alan diğer tehditlere medyada daha az önem veriliyor. “Dürüst olmak gerekirse bu tip saldırılar günümüzde VoIP networkler için daha ciddi bir tehdit oluşturmaktalar.” diyor Endler.
Haberin devamını VoIP Sektöründe Dolandırıcılık – 2 başlığı altında okuyabilirsiniz.

Kaynak : 