 |
|
 |
|
VoIP Sektöründe Dolandırıcılık Yakın geçmişte yaşanan ve VoIP operatörlerini etkileyen yüksek profilli bir hack vakası dikkatlerin yeniden güvenlik meselelerine çevrilmesine yol açtı. Servis sağlayıcıları, sorun yaygınlaştıkça, IP güvenliğine daha dikkatli bakmaya başladılar. VoIP servislerinde mevcut açıklara yönelik uyarılar, kısa süre öncesine kadar pratikten çok teorikti. Ama haziran ayında yüksek teknolojiye sahip 2 hırsız, kasıtlı olmadan servis sağlayıcılarını bir milyon dolardan fazla zarara uğratmakla suçlandıklarında bu durum tümden değişti.Suçlanan iki hırsızdan birisi olan Edwin Andrew Pena, yasal gözüken bir VoIP perakende satış şirketi Fortes Telecom'un sahibi idi. Bu şirketin, 10 milyon dakikalık görüşmeyi Net2Phone'un da aralarında olduğu servis sağlayıcıları aracılığı ile yasa-dışı olarak yönlendirdiği ve daha sonra bu görüşmeleri faturalandırdığı ortaya çıktı. Hack olayında trafiğin çıkış noktasının saklanması için kurumsal bir IP-PBX'in kullanıldığı da ortaya çıktı. Vaka ve suçlamalar ile ilgili mahkeme tutanaklarına buradan ulaşabilirisiniz. Olay halka açıklanan "ilk büyük ölçekli VoIP dolandırıcılığı" olması nedeniyle geniş yankı bulurken, cevaplanması gereken daha önemli soru ise bunun izole bir vaka mı olduğu, yoksa şimdilerde yığınlarca insanın kullanmaya başladığı VoIP servislerine saldırı yapmanın büyümekte olan bir trend haline mi geldiğidir. Bu soru karşısında farklı yorumlar yapılıyor. Vonage firmasının kurucuları arasında yer alan VoIP öncüsü Jeff Pulver olayın fazlasıyla reklam edildiği görüşünde. Pulver, "Net2Phone'dan dakikaların çalınması olayı, bence doğrudan yapılmış bir hırsızlık olayıdır ve sonuçta bu çalınan dakikaların IP dakikaları olması ilginç." dedi. Uzmanlar, VoIP ile ilişkili güvenlik açıklarının çözülmemesi durumunda, sorunların gittikçe daha da büyüyeceğine inanıyorlar. Network ve güvenlik konularında danışman bir firma olan Core Competence'ın başkanı ve aynı zamanda "Understanding Voice Over IP Security" (IP Üzerinden Ses Aktarım Güvenliğini Anlamak) adlı kitabın da yazarlarından olan David Piscitello, güvenlik mail listeleri ve diğer forumlar aracılığı ile bildirilen vakalarda bir artış olduğuna dikkat çekiyor. Piscitello "VoIP ürünlerinde her geçen gün, daha fazla açık bildirilmekte ve VoIP protokolleri ve SIP/IPBX konfigürasyonları aracılığı ile networklere nasıl sızılabileceği ile ilgili daha fazla araştırma yapılmakta. Bu durum da bana VoIP'in oldukça büyük bir sektör olduğunu ve bu sektörü cazip bir hedef haline getirmek için finansal bir motivasyonun (örneğin toll fraud-uzak mesafe çağrı dolandırıcılığı) olduğunu gösteriyor." diyor. Mobil telefonlar ve IM (hazır mesajlaşma) için yazılan virüslerle ilgili felaket tellallığından da anlaşılacağı üzere (ki bu yine de endüstrinin bu platformlara dikkat etmemesi gerektiği anlamına gelmiyor), medyada yer alan abartılı haberler ve güvenlik sektörü kol kola ilerlemekteler. Voice Over IP Güvenlik İttifakı yöneticilerinden birisi olan ve aynı zamanda 3Com'un TippingPoint güvenlik departmanında güvenlik araştırma yöneticisi olan David Endler, VoIP vakasında medyanın yanlış bölgelere odaklanmış olabileceğini belirtiyor. Endler, arayan ID'si değiştirme, uzak-mesafe aramalarında yapılan dolandırıcılık, telefon dinleme ve çağrı ele geçirme gibi alanların varlığını işaret ederek "Hackerların IP üzerinden ses aktarım networklerini ve servislerini istismar ettikleri yönünde son zamanlarda medyada yaşanan bir abartılı haber patlaması söz konusudur," diyor. Ancak denial-of-service saldırıları, kurtçuklar, virüsler ve hacker sömürüleri gibi, VoIP servisleri de dahil tüm IP data networklerini hedef alan diğer tehditlere medyada daha az önem veriliyor. "Dürüst olmak gerekirse bu tip saldırılar günümüzde VoIP networkler için daha ciddi bir tehdit oluşturmaktalar." diyor Endler. Daha geniş çaplı tehditler Milyon dolarlık güvenlik vakaları her zaman medyanın ilgisini çekecektir, ancak güvenlik meselelerinde çoğu zaman olduğu gibi pek çok hack olayı medyaya duyurulmadan gelip geçer. Dolayısıyla bazı olaylar gizlenecek, tedbirler alınmakta geç kalınacak ve VoIP, uzak mesafe çağrı dolandırıcılığından çok daha fazlasına maruz kalacak gibi gözüküyor. Endler'ın belirtiklerinin yanı sıra spam içeren diğer saldırılarda -daha tehditkar olan akronimiyle SPIT (Internet telefonculuğu üzerinden spam)- ücretsiz ses uygulamaları yüklenmiş mobil cihazlarla bağlantı kurulması için kullanılan hotspotlar (kablosuz Internet bağlantı noktaları) bu tarz saldırılar için imkan yaratmakta. Juniper Networks'ün Asya Pasifik ürün pazarlama ve çözüm şefi Andrew Ma, bir başka problemi "bazı vakalarda kullanıcıların hack edildiklerini fark edememeleri" olarak tanımlıyor. Ma, yanlış yapılandırılmış Internet telefonları üzerinden ses aktarımında araya girmeye yarayan bir Unix aracı olan başka bir tehdidi, VOMIT'i (yanlış yapılandırılmış Internet telefonları üzerinden ses aktarımı) işaret ediyor. VOMIT, VoIP veri paketlerini ele geçirmek ve bunları bilgisayar aracılığı ile tekrar oynatılabilir bir Dalga sesine dönüştürmek üzere bir başka Unix aracı olan tcpdump ile birlikte işlem görüyor. Ma "Kamusal ücretsiz Internet erişim noktalarından gerçekleştirilen VoIP servisleri, tele-kulak vakalarına karşı özellikle savunmasız durumdalar. Çünkü aynı ücretsiz erişim noktasındaki herhangi birisi VoIP paketinizi sinsice ele geçirerek konuşmayı tekrar oluşturmak için VOMIT'i kullanabilir," diyor ve ekliyor: "Servisi korumak için kullanılması gereken çözüm uçtan uca şifreleme yöntemi kullanmaktır." Ma "Bir başka sorun, VoIP'te gittikçe daha fazla kullanılmaya başlayan ve HTTP'ye benzer text-tabanlı bir protokol olan SIP protokolünde yaşanıyor. Bu durum riski de arttırıyor. Çünkü hackerlar deneme yanılma yöntemi ile SIP sinyali üzerinde oynama yapabiliyorlar. Ayrıca VoIP oturumları tipik olarak hem sinyalleri hem de ses taşıma kanallarını dinamik bir biçimde açması gereken çoklu oturumlar. Bu durum da güvenlik duvarı ve IDP'lerin, servisi etkin bir biçimde korumak için VoIP protokolünden daha fazla haberdar olmalarını gerektiriyor," diyor. Tarihteki tüm teknolojik gelişmelerin gerçekçi güvenlik gereksinimlerini sürekli geride bıraktığını belirten Endler, yeni bir ciddiyete kavuşacak eski tehditlerin yanı sıra VoIP uygulama düzeyindeki saldırıların da artmasını bekliyor. Endler "VoIP'in de diğer yeni teknolojilerden bir farkı yok. Halihazırdaki veri networkünüze ses servislerinin yakınsaması, VoIP'i güvenli tutmak konusundaki en önemli zorluk," diyor. "Zaten varlığını daha önceden göstermiş olan pek çok tehdit, daha fazla ciddiyet kazanabilir." "Örneğin bir denial of service saldırısı altındaki geleneksel bir kurum kullanıcılarına oranla daha yavaş bir Web taraması deneyimi yaşıyor olabilir. Ancak bir VoIP networkünde yaşanacak olan bir denial of service saldırısı tüm iletişimlerin anlaşılmaz hale gelmesi sonucunu da doğurabilecek nitelikte. Var olan veri networkünüze VoIP teknolojisini eklediğinizde, aynı zamanda ele alınması gereken şu yeni güvenlik gereksinimlerini de eklemektesiniz: elverişlilik, servis kalitesi ve gizlilik." Asalak VOIP Sağlayıcılardan Sakının VoIP'in halihazırdaki networke eklenmesinin IP networklerin doğasında var olan güvenlik açıklarını arttırdığına inanlardan çoğunlukta. Bunlar, VoIP Servis sağlayıcıları ve organizasyonların VoIP'e henüz yeterli dikkati göstermediklerini iddia ediyorlar. Uzmanlar şöyle diyor: Network güvenliği sektöründe yüzleştiğimiz en büyük zorluk, hem organizasyonların hem de servis sağlayıcılarının bir VoIP network ile, kendilerinin kullanmakta oldukları geleneksel anahtarlamalı sistem arasındaki farkı anlamalarını sağlamak. IP networkleri doğaları gereği güvenli olmayan networklerdir ancak bu VoIP'i bir kenara atmamızı gerektirmez. Yapmamız gereken tek şey VoIP güvenliğinde de diğer normal IP güvenliklerinde sergilediğimiz yaklaşımı sergilemek. Gerçek VoIP (taşıyıcı düzeyindeki büyük servis sağlayıcıları tarafından kendi büyük altyapıları kullanılarak sağlanan) ile Skype, Net2Phone, Vonage ve diğerleri gibi parazitimsi VoIP uygulamalarını aynı kefeye koymamak gerekir. İki grup arasında oldukça büyük bir fark var. Birisi, çok düşük oranda kalite kontrolüne sahip ve neredeyse hiç hizmet kalitesi (QoS) güvencesi olmadan kullanıcılar tarafından ad-hoc* temelli olarak kurulmuştur. Diğeri ise profesyonel network integratörleri ve servis sağlayıcıları tarafından kurulmuş olup QoS takip edilir ve korunur. Uzmanlar kablosuz servisler için ise şöyle diyor: Potansiyel olarak güvenli olmayan bir VoIP'i kablosuz Internet erişim noktalarının güvensizliği ile kombine ediyorsanız, güvenliğin "G" harfinden bile bahsetmemek gerekir. Kullanıcıların şu an pazarda bulunan şifreleme yöntemlerinden birisini kullanarak, kendi güvenliğinizi oluşturmanız şart. Güvenlik bir ürün değil, süreç olmalıdır Tehditler ve potansiyel açıklar doğru olsa da, pek çok gözlemci VoIP güvenliğinin layıkıyla sağlanabileceğine inanıyor. Aslında, IP networklerinin güvenliğinin sağlanması için gerekli olan her şey bir süredir yapılmakta, ancak servis sağlayıcıları ve organizasyonlar mevcut olanlardan daha güçlü bir politika ve prosedür ihtiyacındalar. Uzmanlar da güvenliğin bir ürün değil süreç olması gerektiğine işaret ediyorlar: Kritik önemdeki IP telefon sağlayıcılarının, networklerinin korunmasını daha fazla güçlendirmek için çoklu güvenlik katmanları uygulaması doğru olacak. Böylece hackerların bu katmanlardan birisi tarafından yakalanabilir olması sağlanacaktır. Uzmanlar bir başka hatayı da "önce bir VoIP networkü kurup, daha sonra bu networkün güvenliğini düşünmek" olarak tarfiliyorlar ve diyorlar ki: Organizasyonel gereksinimleri ve bununla ilgili güvenlik önceliklerini kavramak, başarılı bir VoIP networkü kurmanın en önemli adımıdır. VoIP networkü güvenlik ihtiyacı planlanarak kurulmalıdır. Uzmanlar VoIP networklerinin planlanmasında, VPN'lerle bağlanabilirlik, güçlü yama yönetim süreçleri ve dış kaynaktan IP-PBX'lere erişimi kısıtlama gibi uygulamaların kullanılmasını tavsiye ediyorlar. Pek çok servis sağlayıcısının ve işletmecinin, VoIP trafiğini diğer IP trafiklerinden ayırmak ve böylece yetkilendirilmemiş terminallerin VoIP cihazlarına kolayca ulaşmasını engellemek için MPLS veya VLAN gibi network sanallaştırma teknolojilerini kullandığına da işaret ediliyor. Uzmanlar ayrıca, topoloji yapmak ve IP adresi gizlemek için oturum sınırlama kontrol mekanizmalarının kullanılmasını ve VoIP'de yaşanan denial of service saldırıları durumunda oluşacak olan aşırı çağrı hacmini engellemek için network içine çağrı kabul kontrol mekanizmalarının kurulmasını öneriyorlar. Levent Uysal Bu makale turk.internet.com sitesinden alınmıştır.
|
|