黑色嘉年华：VoIP将是黑客的第二乐园

　　当互联网站和局域网络对黑客们已经没有了神秘感。何处，将是他们下一块瞄准的新大陆？

　　VoIP是一项非常了不起的应用，它的出现大大降低了人们通话的费用，它的出现消除了通话上距离的概念，在VoIP的世界里，没有长途电话之说，世界上任何两个人之间的通话只和网络流量有关，而和距离无关。

　　它的普及应用是大势所趋。所有的通讯网络向IP融合也是大势所趋。而在这个趋势中，VoIP的安全性将会被摆在越来越重要的地位。VoIP会成为黑客们继互联网数据网之后的第二个乐园，也为从事网络安全的人们提供了巨大的商机。希望业界能更多关注VoIP的安全和有关产品与解决方案，在这个市场找到更多发展的机会。

　　在现在通讯网络的发展阶段， 大概并行存在着两张网。一个是传统的语音电话网（PSTN）或者无线蜂窝网, 一个是传送数据的基于IP的数据网。数据网相互联通，构成了我们现在的互联网。而基于IP开放结构的互联网早已是黑客们的乐园。开放意味着匿名，意味着几乎不可被追踪。黑客们可以任意对数据进行截取，攻击商业网站来敲诈等等。相比之下，传统的语音网好像一直都较少听到安全方面的问题。而这个状态正在由VoIP（基于IP的语音服务）的迅速普及而改变。 VoIP正在把固定电话语音网、移动语音网和互联网逐渐融合起来， 给网络安全提出了新的挑战，如不严阵以待，语音世界将成为黑客们的第二个乐园。

　　其实传统的语音电话网也存在着安全问题，美国有一个非常有名的黑客杂志叫phack， 实际上就是phone hack的意思，它一开始就主要讨论如何hack传统的语音电话网。 例如如何免费打国际长途，如何找到未被人使用过的语音信箱等等。而这些安全问题，在VoIP的世界里，都被原封不动的保留了下来，而且还带来了更多的安全问题。

　　互联网安全痼疾

　　首先，互联网固有的安全问题，在VoIP上也都存在。与数据网络不同，在语音世界里，负责控制的协议和语音的数据通道是分开的。 VoIP的控制协议如SIP，都是以互联网一贯的客户端/服务器模式来设计的。也就是说，它由一系列的服务器组成一个控制网络， 而这个结构，如同互联网其他协议一样，是非常容易受到拒绝服务的攻击的。只不过这时的拒绝服务攻击是用的是VoIP的控制协议如SIP，而不是TCP或者UDP。VoIP网络中的一些服务器，如边界代理服务器（edge proxy server）， 对于互联网黑客来说只不过是一个能够对SIP协议进行响应的IP地址， 和攻击其他网站的方法并没有什么不同。其他传统的黑客攻击手段对VoIP设备也一样适用。　以下为几个例子：

　　·攻击VoIP设备运行的操作系统（Windows或者Linux）来远程控制VoIP设备，底层操作系统如果不及时打安全补丁，必然会有漏洞，而这些漏洞有可能会被黑客扫描到，从而控制VoIP设备。

　　·与普通电话机不同，每一台VoIP设备都需要一定的配置，配置不当或者使用缺省的配置能让攻击者很容易找到目标，这些设备也就是黑客们常说的“肉鸡”。估计以后黑客们想找到的就是“肉鸡电话”了。

　　·利用设备厂商在VoIP协议实现上的漏洞，进行远程缓冲区溢出攻击。每个厂商在VoIP协议实现的方法不同，不同风格的代码实现的协议的抗攻击性也不相同。那些急于把产品推向市场，抢占市场份额的厂商，在实现VoIP协议时常常只要求功能完备，而不考虑协议实现的安全性和强壮性，从而使产品推向市场的时候就存在安全方面的隐患。