VoIP已打入主流市场 树大招风倍受安全困扰

　　CNET科技资讯网6月7日国际报道 要证明某种信息科技(IT)已打入主流市场，最明显的征兆，就是看它是否招致安全攻击。网络电话(VoIP)备受网址嫁接(pharming)等安全攻击所扰，就是其中一例。

　　出席芝加哥电信会议Supercomm 2005的业界主管指出，成本低廉的VoIP通话服务广受民众欢迎，却也成为网络攻击者锁定的目标，导致网络通话被监听、用户与自用VoIP帐户的 连线受阻、通话品质遭到破坏等事件频传。

　　今年元月，Harris Interactive意见调查报告显示，60% 的美国受访成年人都知道有互联网电话可用，但基于安全性与隐私顾虑而未实际去用。此后，互联网协定(IP)的安全疑虑有增无减。

　　免费扩散的VoIP软件大受欢迎，但安全问题可能成为绊脚石。VoIP软件允许把互联网连线同时当作家用或商用电话线，估计美国2 亿户家庭与企业中，已有大约750 万户以VoIP取代传统电话。

　　研究公司Gartner 预测，到2008年，使用VoIP的家庭可能增加到多达2500 万户。一大吸引力是：VoIP企业提供月付20美元无限制通话的服务。

　　然而，VoIP潜在的弱点，是容易受制于黑客攻击，因为像电子邮件一样，VoIP通话靠确认通话双方所用设备的IP位址(独一无二的一串数字)连线，但许多VoIP企业在扩大服务之余，却未妥善落实一些基本的安全措施，例如把通话信息加密处理。

　　虽然锁定VoIP系统的攻击大致仍只是研究报告上的主题，但一些采用VoIP服务的企业已经遭遇实际的攻击，企业电话系统整合企业BearingPoint Institute 指出。

　　柏林Snom Technology 公司创始人Christian Stredicke 在Supercomm 安全会议上致词时表示：“安全性攸关IP电话能否广获一般民众接纳。”

　　但是，企业若不加快脚步围堵VoIP安全威胁，恐怕就来不及了。Gartner 分析师今年1 月即警告，只消两年的时间，有组织的攻击就会开始锁定信号网络(signaling networks)，也就是承载、引导指令以确保通话连线正确的那部分电话网络。

　　“不令人意外地，在VoIP企业纷纷抢生意的时后，黑客也急于探寻并利用各种手段窃取或扰乱这些通话服务，”BearingPoint主管Stephen Doty与Fred Hoffmann 在最近发布的研究报告中写道。

　　多家VoIP服务企业与设备制造商已求助于新近成立的Voice over IP 安全联盟。该联盟将标准VoIP业界的安全部署需求，并着手解决安全技术元件、架构与网络设计、网络管理以及终端存取和认证问题。

　　VoIP安全威胁层出不穷，最新浮现的一种是VoIP版的“网址嫁接”。

　　网址嫁接的手法，是利用把电邮与网络地址转换成IP位址的网络设备潜在的弱点，劫持域名名系统(DNS)服务器，进而掌控VoIP通话，导致VoIP用户在不知情的状况下，通话被转接到不明的位址。

　　最早期的一种VoIP威胁，则是通话者身份冒用(Caller ID spoofing)，也就是冒名顶替别人的通话者身份信息。

　　称为“clipping”的安全问题，则发生在缆线调制解调器遭大量通话流量攻击，导致VoIP通话品质低落。

　　另一种攻击类型称为影像邮件炸弹(V-bombing)，发生在数千封影像邮件同时对准单一VoIP邮件信箱疲劳轰炸的时候。