Varnostne luknje v internetni telefoniji Asterisk

Podjetje ISS, ponudnik varnostnih rešitev in storitev za zaščito pred različnimi informacijskimi nevarnostmi, seznanja javnost, da so raziskovalci v ISS X-force odkrili dve luknji v produktih za internetno telefonijo (VoIP) Asterisk. Asterisk je brezplačen odprtokodni sistem internetne telefonije, ki podjetjem ponuja vse storitve običajnega telefonskega omrežja – tudi glasovna sporočila, konferenčne pogovore, glasovne menije, identifikacijo klicočega, čakalne vrste itn. Organizacija, ki skrbi za ta odprtokodni projekt, je na podlagi informacij prejetih od ISS-a že pripravila popravke, ki varnostne luknje odpravijo, uporabniki rešitev ISS Proventia pa so varni pred grožnjami tudi če tega VoIP izdelka še niso posodobili.

Kot vidimo se z vse hitrejšim odkrivanjem in popravljanjem varnostnih lukenj bitka seli na vedno nova in nova področja, eno izmed njij je VoIP telefonija. Tako se seznanjamo še z enim novim izrazom – vishing. Izraz spominja na phishing predvsem zato ker pomeni podobno stvar, le da se za krajo osebnih podatkov (in še kaj drugega) ne uporabljajo lažne spletne strani temveč storitve na VoIP protokolih. V prihodnje bomo verjetno priča tudi poskusom vdorov v zasebna omrežja preko pomanjkljivosti v teh storitvah. Omenjeni odkriti pomanjkljivosti sicer nista omogočali vdora, bi pa lahko bili izkoriščeni za zasičenje napadenega omrežja z ničvrednim prometom in s tem onemogočeno uporabo (denial-of-service attack) ali kot izhodišče za DOS napad na neko drugo omrežje.