最近在網上發表了一些文章說明有關VoIP電話竊聽的問題,發現有很多人提出反對意見說我在制造恐慌。大多數反對的評論都屬於如下三類:第一類反對意見說竊聽威脅只有在加密和其他安全控制措施被關閉的情況下才能發生;第二類反對意見說其實VoIP的安全性問題很好理解;第三類則表示確保VoIP網絡的安全性本質上和確保其他IP應用程序的安全性是一致的。其中的一位反對者做了如下評論:
“在網絡和IT環境已經是安全的情況下,很多的VoIP安全預防措施就已經到位了。”
這位反對者也對我強調竊聽威脅給予了感謝,就和其他的正面評論一樣。
那麼現實是怎樣的呢?這些故事是不是僅僅是猜想,還是VoIP協議和應用確實存在著其特有的值得特別關注的威脅和風險呢?為了回答這些問題,我們需要先將VoIP和其他的網絡應用做些比較。
正如其名字所揭示的,VoIP是運行在IP網絡上的。這就意味著它和其他基於IP的應用,如網頁浏覽(web)和電子郵件(email)一樣有著共同的安全威脅和弱點。這些威脅和弱點包括所有的來自IP網絡層的威脅,這樣的威脅網管人員和郵件系統管理員在日常工作中經常會面對;這些威脅還包括標准網絡安全技術和優秀的網絡設計試圖解決的問題。
除了這些網絡層的若干威脅外,VoIP應用還需要面對一系列的協議和應用特有的威脅和一系列內容相關的威脅。
這些協議和應用相關的威脅源自協議的設計和實現,也源自VoIP應用所要提供的服務。VoIP協議很復雜,這部分是因為VoIP致力於在IP網絡上提供實時的通訊服務,也部分因為VoIP協議需要提供一個面向標准電話的接口。因為在日常生活中使用固定和移動電話服務,我們已經很習慣或者說很依賴於電話系統的一些特性,VoIP協議也需要將這些特性應用在協議設計中。
除此之外,VoIP應用實際上提供了很多非語音的服務,例如視頻會議、在線查詢服務(提供某人是否在線的信息、確定最佳的聯系方式等),甚至是及時消息(Instant Messaging,IM)和分頁(Paging)服務。協議和應用相關的威脅包括大量的泛洪攻擊(flooding attack)和通話干擾威脅。干擾威脅包括通話終止攻擊(惡意攻擊者簡單地將通話切斷)和通話劫持攻擊(攻擊者接管通話)。在這些VoIP應用相關的威脅中,多數威脅在其他網絡應用中找不到直接的類似攻擊。
內容相關的安全威脅影響到VoIP通話的內容,包括個人對個人的通話、語音會議通話或者視頻會議通話。這類威脅包括簡單的未授權的通話監控或者竊聽(就像SIPtap中演示的那樣)或通話劫持(攻擊者接管通話)或通話滲透(攻擊者加入一個語音或者視頻流來隱藏或代替原始通話)。雖然VoIP內容相關的威脅在email和web服務中有其類似的威脅,如垃圾郵件以及惡意或不正確的網頁內容,但是VoIP劫持或者滲透攻擊背後的技術顯然和email spam和惡意網頁內容技術相去甚遠。
VoIP內容安全威脅和協議、應用安全威脅都是真實的,能夠被演示。SIPtap上描述的通話竊聽事件就是一個例子。其他可演示的威脅包括大量的泛洪攻擊、通話終止攻擊和通話劫持攻擊以及一些VoIP特有的拒絕服務攻擊。但是,這些威脅是已知的這個事實,就像我沒有聲明我是第一個發現這些威脅的人一樣,並不是每個人都認識到了。
保護系統免受已知的VoIP攻擊的威脅是可能的。標准的安全技術、運用防火牆技術、實現好的設計和操作策略都是好的開始和必要的一步,但是這並不能解決所有的問題。標准安全技術能夠應付“標准的”威脅,但是專家級防范措施才能夠解決許多VoIP特有的威脅。這就像email和web應用需要專家級的安全產品如垃圾郵件過濾器(spam filter)和網頁內容和訪問策略控制系統一樣。相對於這兩種應用VoIP更復雜,因此更需要一個專家級的威脅防范系統。
正如需要專家級安全技術來保護VoIP網絡一樣,用於識別安全漏洞的專家測試和分析技術同樣是不可或缺的。標准的滲透和測試工具在發現網絡層漏洞方面表現很好,但是它們缺乏發現大多VoIP應用、協議和內容相關威脅的能力。
那麼,VoIP通話的竊聽攻擊還是假想的嗎?其他所有的能夠被演示的VoIP安全威脅也是猜想的嗎?我想,答案顯然是否定的。這些威脅是真實存在的。事實上,確實存在著安全控制措施能夠保護免受這些威脅,但是在VoIP網絡管理員意識到這些威脅存在以及意識到威脅的危險程度前,技術並不能起太大作用。
最後我來說說那個認為SIPtap只有在加密和其他安全控制措施被關閉的情況下才能起作用的評論吧。2007年11月在北京召開的最近一期SIPit論壇上,有報告說只有25%的被測試系統支持SRTP。SRTP是加密VoIP通話的標准協議。當然,可以認為是被測系統的樣本太小,但是這個統計數據表明問題不在於是否能通過關閉加密來演示一個理論上的安全威脅,關鍵在於通過演示使大家認識到這個問題的存在,進而更多的VoIP系統生產商將加密功能集成到他們的產品中。