Archive for the ‘VoIP Security’ Category Arquivo para a 'VoIP Segurança' Category
Is someone using your VoIP phone to eavesdrop on you ? Se alguém está usando seu telefone VoIP para eavesdrop sobre você?
A leading member of the Jericho Forum has criticised the security of voice-over-IP technology after security researchers revealed that it was possible to eavesdrop on VoIP conversations. Um líder membro do Fórum Jericó tem criticado a segurança de voice-over-IP tecnologia de segurança após investigadores revelaram que era possível eavesdrop sobre VoIP conversas.
An eavesdropping vulnerability was revealed on the popular Full Disclosure mailing list on Wednesday. Escutas foi revelada uma vulnerabilidade no popular Full Disclosure mailing list na quarta-feira. Vulnerability researchers Humberto Abdelnur, Radu State and Olivier Festor claimed the exploit could allow a remote attacker to turn a VoIP phone into an eavesdropping device, citing a Grandstream SIP phone as an example. Vulnerabilidade investigadores Humberto Abdelnur, Radu Estado e Olivier Festor alegou a explorar poderia permitir a um atacante remoto para ligar um telefone VoIP em um dispositivo escutas, citando uma Grandstream SIP telefone como um exemplo.
The Jericho Forum is an international group of leading corporate security professionals, academics and vendors, and promotes the development of secure software architectures, among other IT security interests. O Fórum Jericó é um grupo internacional de líderes corporativos de segurança profissionais, acadêmicos e vendedores, e promove o desenvolvimento de software seguro arquiteturas, entre outros, os interesses de segurança de TI.
As a follow-up to our story from last year, the VoIP hacker who made a million stealing VoIP service has an interview with InformationWeek : Como um follow-up para a nossa história desde o ano passado, o VoIP hacker, que fez um milhão de roubar serviço VoIP tem uma entrevista com InformationWeek:
Convicted hacker Robert Moore, who is set to go to federal prison this week, says breaking into 15 telecommunications companies and hundreds of businesses worldwide was incredibly easy because simple IT mistakes left gaping technical holes. Condenadas hacker Robert Moore, que é definido para ir à prisão federal esta semana, diz quebrando em 15 empresas de telecomunicações e de centenas de empresas a nível mundial foi incrivelmente fácil porque simples IT erros esquerda gaping técnico buracos.
Moore, 23, of Spokane, Wash., pleaded guilty to conspiracy to commit computer fraud and is slated to begin his two-year sentence on Thursday for his part in a scheme to steal voice over IP services and sell them through a separate company. Moore, 23, de Spokane, Washington, defendeu culpado de conspiração para cometer fraude e computador é slated para iniciar o seu período de dois anos na quinta-feira, por seu turno, em um esquema para roubar serviços de voz sobre IP e vendê-los através de uma companhia separada. While prosecutors call co-conspirator Edwin Pena the mastermind of the operation, Moore acted as the hacker, admittedly scanning and breaking into telecom companies and other corporations around the world . Enquanto procuradores chamada co-conspirador Edwin Pena a clássia da operação, Moore agido como o hacker, admito varredura e invasão de empresas de telecomunicações e de outras corporações em todo o mundo.
"It’s so easy. It’s so easy a caveman can do it," Moore told InformationWeek , laughing. "É tão fácil. É tão fácil caveman um pode fazer isso", disse Moore InformationWeek, rindo. "When you’ve got that many computers at your fingertips, you’d be surprised how many are insecure." "Quando você tem que muitos computadores na ponta dos seus dedos, você pode ser surpreendido quantos são precários".
If you’re considering switching from the traditional public switched Se você está considerando comutação da tradicional pública comutada
telephone network (PSTN) service to VoIP, you might be wondering Rede de telefonia (PSTN) serviço de VoIP, você pode estar perguntando
whether the change will make you more vulnerable to scammers, help Se a mudança irá torná-lo mais vulnerável a scammers, help
protect you from common scams, or not make much difference at all. Protegê-lo de comum scams, ou não fazer muita diferença em tudo.
Full Story Full Story
Interesting demonstration of "tapping" optical cables carrying voice or data: Interessante demonstração de "escuta" cabos ópticos que transportam voz e de dados:
Optical fibre is a lot easier to tap than most people imagine. Fibra óptica é muito mais fácil de tocar do que a maioria das pessoas imagina. There is no need to break or splice the fibre now — a relatively shallow bend can be enough. Não há necessidade de quebrar ou splice a fibra agora - uma curva relativamente superficial pode ser suficiente.
The technique works because the light in the cable propagates by bouncing off the insides of the fibre. A técnica funciona porque a luz no cabo propaga pelos inativos fora do interior da fibra. Unsheath the cable, and a detector can pick up the tiny amount of light that escapes through the fibre’s coating, explained Thomas Meier, the CEO of Swiss company Infoguard. Unsheath a cabo, e um detector pode pegar a pequena quantidade de luz que escapa através da fibra do revestimento, explicou Thomas Meier, o CEO da empresa suíça Infoguard.
He demonstrated the technique on a fibre carrying a VOIP phone call over Gigabit Ethernet. Ele demonstrou a técnica em uma fibra VOIP transportar um telefonema durante Gigabit Ethernet. A section of fibre from inside a junction box was looped into a photodetector called a bend coupler, and the call was recorded and then played back on a laptop. Um troço de fibra de dentro de uma caixa junção foi looped em uma célula chamada uma curva acoplador, ea chamada foi gravada e, em seguida, reproduzida em um laptop.
"People claim optical fibre is harder to tap than copper, but the opposite is true — you don’t even have to break the insulation, as you would with copper," Meier said. "As pessoas alegam fibra óptica, é mais difícil de tocar do que cobre, mas o contrário é verdade - que nem sequer têm a romper o isolamento, como faria com cobre", disse Meier. "You can read through the fibre’s cladding with as little as half a dB signal loss." "Você pode ler através da fibra do revestimento com tão pouco como meio dB a perda de sinal."
As demonstrated by last year’s (alleged) HP corporate espionage scandal, businesses will go to great lengths to get the edge on their competition. It has even been reported that some foreign governments eavesdrop on business communications (phone calls, e-mails) to give domestic companies an advantage. Como demonstrado pelos do ano passado (alegadamente) HP espionagem escândalo corporativo, as empresas irão para grandes comprimentos de obter a borda sobre a sua concorrência. Tem ainda sido relatado que alguns governos estrangeiros eavesdrop em negócios comunicações (telefonemas, e-mails) Empresas nacionais para dar uma vantagem.
Aside from the typical benefits of VoIP, including cost savings and flexibility, business VoIP solutions can also provide extra security for phone calls against eavesdropping. High value targets might be calls between top executives, discussions of confidential sales strategies, mergers and acquisitions, or the development or launch of a new product. Além da típica benefícios do VoIP, incluindo as economias de custos e flexibilidade, soluções empresariais VoIP também pode fornecer uma segurança extra para telefonemas contra escutas. Alto valor metas poderiam ser chamadas entre altos executivos, de discussões confidenciais estratégias de vendas, fusões e aquisições, ou a Desenvolvimento e lançamento de um novo produto.
Companies should already be requiring employees to use an encrypted VPN (virtual private network) to gain access to the corporate intranet. For enterprise VoIP or other in-house implementations, this makes VoIP security easy: Internet phone calls that your employees make from the road are already protected at least back to your company’s network. This, of course, assumes that you have a secure VPN service running that uses strong encryption, such as AES. As empresas já deveria estar exigindo funcionários a usar um criptografada VPN (rede virtual privada) para ter acesso à intranet corporativa. Por empresa VoIP ou outras in-house implementações, o que torna fácil VoIP segurança: Internet telefonemas que seus funcionários fazem da estrada Já estão protegidos, pelo menos, voltar a rede da sua empresa. Isto, naturalmente, assume que você tem um seguro VPN executando serviço que usa criptografia forte, como a AES.
Smaller companies using a hosted VoIP solution should check with their providers. If the company doesn’t have any offers, an add-on such as Phil Zimmermann’s zFone might be useful. Pequenas empresas através de uma solução hospedada VoIP deve verificar com seus fornecedores. Caso a empresa não tem nenhum oferece, um add-on, como Phil Zimmermann's zFone pode ser útil.
While some argue that Skype Enquanto alguns argumentam que a Skype 
is a good option because it makes use of encryption, others argue that the encryption is used to protect Skype secrets (it’s not open source) and allow it to pass through filters more easily. Without a professional, independent evaluation of the security features, while Skype offers a good VoIP product, we cannot assume anything about its security. É uma boa opção, uma vez que faz uso de criptografia, outros argumentam que a criptografia é usada para proteger segredos Skype (não é open source) e deixe-o passar por filtros mais facilmente. Sem um profissional, avaliação independente das características de segurança , Enquanto VoIP Skype oferece um bom produto, não podemos assumir nada sobre a sua segurança.
And don’t forget that phone calls are just one part of the equation. Physical security, shredding documents before discarding them, etc., are as important as ever. E não se esqueça que telefonemas são apenas uma parte da equação. Segurança física, retalhamento documentos antes de desfazer-las, etc, são tão importantes como nunca.
And there are plenty of stories of airline passengers being lucky enough to sit next to a competitor on the way to a sales presentation - a competitor who works with confidential sales materials in plain sight. Listening to Internet phone calls seems like a lot of hassle when presented with this kind of gift! E existem inúmeras histórias de passageiros aéreos a ser sorte de sentar ao lado de um concorrente no caminho para uma apresentação de vendas - um concorrente, que trabalha com vendas materiais confidenciais na planície vista. Ouvindo Internet telefonemas parece ser uma série de problemas quando Presenteado com este tipo de dom!
Post your VoIP security questions below and we’ll answer them in a future story. Publique o seu VoIP segurança perguntas abaixo e nós vamos respondê-las num futuro história.
Not VoIP service related, but an article on Slashdot has the details of a government initiative to use Full Disk Encryption (FDE) on all government-owned computers. The mandate came about in the wake of lost or stolen laptops with personal information stored on their hard drives. VoIP serviço não relacionado, mas um artigo sobre Slashdot tem os detalhes de uma iniciativa governamental para utilização Full Disk Encryption (FDE), em todos os governos de propriedade computadores. O mandato surgiu na sequência de perda ou roubo laptops com informações pessoais armazenadas no seu Discos rígidos.
We’re posting it to nudge companies in this direction as well - protect the security of your data when your employees are traveling by FDE. We’ve covered VoIP security in the past, and will have more to say in the next week. Estamos colocando-a ao nudge empresas nesse sentido, além - proteger a segurança dos seus dados quando seus funcionários estão viajando pelo FDE. Nós abordamos VoIP segurança no passado, e vai ter mais a dizer na próxima semana.
Phil Zimmermann has launched a new Web site for Zfone , his VoIP encryption product. Still a little light on the content, but the new site demonstrates that he’s committed to Internet phone security. Phil Zimmermann lançou um novo site na Web para Zfone, seu produto VoIP criptografia. Ainda um pouco de luz sobre o conteúdo, mas o novo site demonstra que ele está empenhada na Internet telefone segurança.
The Georgia Tech Information Security Center (GTISC) today announced it is creating a partnership with BellSouth (NYSE:BLS) and Internet Security Systems (NASDAQ: ISSX) to explore security surrounding the emerging Voice over Internet Protocol (VoIP) technology. O Georgia Tech Security Information Center (GTISC) anunciou hoje que está a criar uma parceria com a BellSouth (NYSE: BLS) e Internet Security Systems (NASDAQ: ISSX) para explorar de segurança em torno do emergentes Voice over Internet Protocol (VoIP) tecnologia. As communication services migrate to Internet-based platforms, it is important that the security and dependability users expect in the current public switched networks be maintained with these new converged technologies. Como serviços de comunicação migrar para Internet baseados em plataformas, é importante que a segurança ea fiabilidade usuários esperam na actual públicos redes comutadas ser mantido com estas novas tecnologias convergentes. At the GTISC VoIP Security Summit held in April 2005, GTISC initiated a dialogue with security and telecommunications industry leaders, including ISS and BellSouth, to proactively address security associated with this emerging technology. Ao GTISC VoIP Security Cimeira realizada em abril de 2005, GTISC iniciou um diálogo com os líderes da indústria de segurança e telecomunicações, incluindo ISS e BellSouth, de forma proativa endereço de segurança associados a esta tecnologia emergente.
“At GTISC, we feel strongly that security should not be an after-thought with VoIP,” said Mustaque Ahamad, principal investigator and director of GTISC. "Na GTISC, sentimos vivamente que a segurança não deve ser um pós-pensamento com VoIP", disse Mustaque Ahamad, investigador principal e diretor de GTISC. “By partnering with proven industry leaders ISS and BellSouth, GTISC will be able to lead the research efforts necessary to better understand VoIP threats and explore techniques that are well suited for securing VoIP devices, protocols and services.” "Em parcerias com líderes da indústria provada ISS e BellSouth, GTISC será capaz de liderar os esforços necessários para entender melhor VoIP ameaças e explorar as técnicas que são bem adaptadas para garantir VoIP dispositivos, protocolos e serviços."
Internet Security Systems and BellSouth have committed to a two-year research program totaling $300,000. Internet Security Systems ea BellSouth têm empenhado em um período de dois anos de investigação programa somaram US $ 300000. This funding will enable GTISC faculty and graduate students to work with ISS and BellSouth technologists to develop and evaluate solutions that address VoIP security. Este financiamento permitirá GTISC professores e alunos a trabalharem com a ISS e BellSouth tecnólogos para desenvolver e avaliar soluções que endereço VoIP segurança. In return, BellSouth and ISS will have access to the resulting intellectual property. Em contrapartida, BellSouth e ISS terá acesso à propriedade intelectual resultantes.
“Internet Security Systems was one of the first security companies to provide coverage for VoIP protocols in our products,” said Christopher Rouland, chief technology officer at Internet Security Systems. "Internet Security Systems foi uma das primeiras empresas de segurança para fornecer cobertura para VoIP protocolos em nossos produtos", disse Christopher Rouland, diretor de tecnologia funcionário Internet Security Systems. “We look forward to working with experts at GTISC and BellSouth to further our understanding of VoIP vulnerabilities and how best to mitigate them for our customers.” "Estamos ansiosos para trabalhar com especialistas em GTISC e BellSouth para continuar a nossa compreensão do VoIP vulnerabilidades e qual a melhor maneira de mitigar-los para os nossos clientes."
“BellSouth is committed to ensuring security is an integral component in all our products and services and working with GTISC and ISS is one way to continue that focus with next generation products such as VoIP” said John Heveran, VP-Chief Information Security Officer, BellSouth. "BellSouth está empenhada em garantir a segurança é um componente integral em todos os nossos produtos e serviços e trabalhando com GTISC e ISS é uma maneira de continuar com esse foco próxima geração produtos como VoIP", disse John Heveran, VP-Chief Information Security Officer, BellSouth .
BorderWare Technologies Inc., and PGP (Pretty Good Privacy) founder Phil Zimmermann, industry leaders in IP communications security, privacy and compliance solutions, today announced an agreement to make BorderWare the first commercial licensee of Zfone, secure VoIP media encryption software, created by Zimmermann. BorderWare Technologies Inc., e PGP (Pretty Good Privacy) fundador Phil Zimmermann, a indústria líderes em comunicações IP segurança, a privacidade eo cumprimento soluções, anunciou hoje um acordo para realizar a primeira BorderWare comercial licenciado de Zfone, segura VoIP media encriptação software, criado por Zimmermann. This agreement tightly integrates Zfone with BorderWare’s SIPassure VoIP Security Gateway, bringing a new level of security and ease of use to VoIP systems. Este acordo bem integra Zfone com BorderWare's SIPassure VoIP Security Gateway, trazendo um novo nível de segurança e facilidade de uso de sistemas de VoIP.
VoIP and related real-time communication applications, such as video conferencing and instant messaging, continue to attract considerable interest worldwide, with millions of active private and business VoIP users today. VoIP e afins em tempo real de comunicação aplicações, tais como, vídeo conferência e mensagens instantâneas, continuam a atrair grande interesse em todo o mundo, com milhões de ativos privados e negócios VoIP usuários hoje. Carriers and enterprises are increasingly seeing the benefits of VoIP services that allow voice messaging and video conferencing to be conducted securely, like email, as communications are transferred freely over traditional phone networks and the Internet. Transportadores e as empresas estão cada vez mais vendo os benefícios do VoIP serviços que permitem voice messaging e videoconferência a ser conduzido segura, como e-mail, como comunicações são transferidos livremente mais tradicionais redes de telefone e da Internet.
Interesting article as a follow-up to the hacking scheme : Artigo interessante como um follow-up para o hacking esquema:
“It was a 100-percent margin business,” mused Seshu Madhavapeddy, CEO of Sipera Systems , a Richardson, Texas-based VoIP security company. "Foi uma margem de 100 por cento negócios", mused Seshu Madhavapeddy, CEO da Sipera Systems, uma Richardson, Texas-baseada VoIP segurança social.
But in a telephone interview with TMCnet, Madhavapeddy on Thursday cautioned that the breaches are no laughing matter and the highly publicized incident might even inspire copycat to resort to criminal activity like intrusion, spoofing or spamming – techniques that aren’t entirely insurmountable but vexing nonetheless. Mas, em uma entrevista telefônica com TMCnet, Madhavapeddy na quinta-feira advertiu que as violações não estão rindo assunto e altamente divulgado o incidente poderia inspirar copycat mesmo de recorrer a actividade criminosa como intrusões, ou spoofing spamming - técnicas que não são inteiramente insuperáveis, mas mesmo assim vexing .
“There are a lot of guys out there that are looking at these guys as role models,” Madhavapeddy warned. "Há um monte de gente lá fora, que estão a olhar para esses rapazes como modelos", alertou Madhavapeddy.
The security breakdown actually occurred at two points in the communication system and is the best illustration to date of the embryonic state of VoIP firewalling – ie enabling VoIP traffic to traverse the pinholes of a corporate firewall, the security expert explained. A segurança repartição realmente ocorreu em dois pontos do sistema de comunicação e é a melhor ilustração a data do estado embrionário de VoIP firewall - ou seja, permitindo o tráfego VoIP para percorrer os pinholes de um firewall corporativo, a segurança perito explicou. Because the firewall has grown to be a reliable (and in some cases is the only) security layer in the data realm, enterprises have turned to NAT traversal as a “best-practices” method for voice packets to travel through the network. Porque o firewall tem crescido a ser um fiáveis (e, em alguns casos, é a única) camada de segurança na área de dados, as empresas transformaram-se ao NAT traversal como uma das "melhores práticas de" método de voz pacotes de viagens através da rede.
Yet that alone isn’t enough. Ainda que por si só não é suficiente. Enterprises also need to account for intrusion detection (worms, Trojans, etc.) and direct attacks (spam, Distributed denial-of-service, etc.) to safeguard against malicious hackers. As empresas também precisam de conta para detecção de intrusão (worms, cavalos de Tróia etc), bem como ataques diretos (spam, Distribuído negação de serviço, etc) para proteger contra hackers.
“In order to assemble a security system for an enterprise today, you use multiple products,” Madhavapeddy told TMCnet. "Para montar um sistema de segurança de uma empresa, hoje, usar vários produtos", Madhavapeddy disse TMCnet.
