Met de gratis tool UCSniff is het heel eenvoudig VoIP-gesprekken af te luisteren. Jason Ostrom, directeur van het VIPER lab van VoIP-leverancier Sipera, demonstreerde zijn tooltje vorige week tijdens het Forrester Security Forum in het Amerikaanse Boston. Hij gebruikte daarbij gangbare hardware: Een Cisco switch, twee Polycom videotelefoons en een ordinaire laptop.

Youtube

Door die laptop aan te sluiten op een netwerkaansluiting die verbinding heeft met een VoIP-server is het eenvoudig om de gesprekken af te luisteren. Zo is het mogelijk dat medewerkers of gasten gesprekken afluisteren, als ze toegang hebben tot het netwerk. UCSniff slaat die gesprekken vervolgens eenvoudig op, waarna de spion ze op bijvoorbeeld YouTube kan plaatsen.

De tool maakt gebruik van een beveiligingsprobleem dat al meer dan een jaar geleden werd getoond op beveiligingsconferenties. Door het nabootsen van een address resolution protocol (ARP) aanvraag kan de tool het telefoonboek van het bedrijf opvragen. Daarna kan de hacker bepaalde telefoons monitoren en gesprekken opnemen zodra er een binnenkomt of uitgaat.

Versleutelen

Ondanks de bekendheid van het probleem zijn nog veel bedrijven vatbaar, meent Ostrom. Volgens de VoIP-specialist is slechts 5% van de bedrijven voldoende beveiligd om het afluisteren van VoIP-, en videogesprekken tegen te gaan. Het versleutelen van het verkeer zou voldoende moeten zijn volgens de Amerikaan. “Toch zie ik encryptie bijna nooit ingeschakeld”, zegt hij tegen Networkworld.

Het versleutelen van alle signalen van en naar de telefoons is volgens Ostrom de beste remedie tegen het afluisterprobleem. Dat probleem ligt volgens hem dan ook niet bij de hardware, maar op de manier waarop deze in het netwerk geconfigureerd zijn.

Honeypot

Edward Amoroso, hoofd veiligheid van het Amerikaanse telecombedrijf AT&T heeft een andere oplossing om het probleem tegen te gaan. Het Amerikaanse telecombedrijf gaat dit soort kwetsbaarheden bewust planten om hackers in de val te lokken. Een zogenaamde honeypot. Trapt iemand in die val, dan zorgt AT&T dat diegene wordt overgedragen aan de politie. Volgens Amoroso worden hackers zo wat onzekerder, en zullen ze wel twee keer nadenken voor ze ingaan op iedere kwetsbaarheid die ze zien.