免除黑客惦记：VoIP安全问题探讨

当越来越多VoIP安全的话题在媒体上露面时，现实的应用中，却很少遇到实际的灾难事件。于是，一些人开始困惑，VoIP安全威胁到底是椅子下面的定时炸弹，随时可能引爆；还是传说中的尼斯湖怪兽，只存在于人们的想象里……

谁的奶酪？

“对于VoIP安全问题的担忧，也许最大的原因并不是来源于技术本身，而是这个市场。”赛门铁克中国区首席安全顾问田成一语中的。

的确，如果单从技术角度讲，VoIP就是将语音通过数据包的方式来传输，它并不会比现有的数据网络“更不安全”。然而这一市场巨大的含金量，却注定让它像藏在身上的巨款一样，无论怎么包裹，总会让人感到忐忑不安。

根据市场调研公司In-Stat的预计，从2005年至2009年，亚洲地区VoIP市场每年将增长10亿美元，2009年该市场规模将从目前的50多亿美元飞跃到100亿美元，同期用户数量将增长一倍以上。到那时，VoIP将占到全球电话通信量的近一半。而且据行业分析家预计，企业的应用将更为广泛，估计全球2000强公司到2009年，有三分之二将采用VoIP作为主要的语音通信方式。

作为通信业历史上最具革新性的技术，VoIP是一块令所有人垂涎欲滴的奶酪，当然，对于黑客而言也不例外。现在所有的安全企业在谈到新的安全威胁时，都会强调一句话：那就是，黑客攻击越来越受到经济利益的驱动。对他们来说，摆在眼前的VoIP无疑就是一座金山，不要说涉及商业机密的语音仿冒与窃取，单单是话费盗取和欺诈（比如入侵语音网关，花别人的钱打国际长途电话），以及发送语音垃圾邮件，就会产生惊人的收益。

田成表示，“尽管从目前来看，赛门铁克全球监测网发现针对VoIP的攻击报告很少，但随着VoIP作为新的通信技术得到广泛认可和部署，攻击者将它作为集中攻击目标只是时间问题。”

虽然有些人认为，由于VoIP这样的服务大多是由电信运营商来操控的，安全方面的问题可以依靠管制政策来控制，但是，VoIP的应用远远不只于语音，而且由于IP网络跨越国界，很难在全球范围内实现一致的管制，就可行性而言，VoIP的安全性问题，还是应该主要通过技术手段来解决。那么从技术层面来看，VoIP安全的症结究竟在那里呢？

软肋有多软

如果用户就VoIP的安全问题去咨询，那么在IP通信商和专业安全厂商那里会得到截然不同的答案。前者认为VoIP系统至少同传统的语音系统一样安全，而后者则认为其安全问题比电子邮件、Web应用等更加严重。

当然，这是站在不同利益立场上的发言，不过，单从技术上来看，在VoIP环境中，话音和数据一样是一个个的“包”，它没有理由可以躲避开各种病毒和黑客攻击的困扰。从理论上来讲，眼下黑客对数据网络的所有攻击手段，都有可能被应用到IP语音之上。

比如话费盗取和欺诈，虽然IP话机不能通过并线的方式拨打电话，但通过窃取使用者IP电话的登录密码同样能够获得话机的权限。这就如同在一根普通模拟话机线上又并接了一个电话一样。再比如语音网页仿冒，语音欺诈等。

田成也介绍说，未来垃圾邮件的泛滥，同样可能出现在VoIP系统之上。黑客会使用和寻找电子邮件地址一样的目录获取攻击，寻找出大量的合法IP电话地址，然后将一段wav文件放到某台计算机上，就可以发送大量垃圾语音邮件，并且通过假造的IP电话地址，让人无从追查。

总之，如果“幸运”的话，包括病毒、蠕虫、木马、DoS攻击、垃圾邮件、网络钓鱼等这些“老朋友”，你都可能在VoIP环境中再次碰到。

那么，为什么到目前为止，我们在已经应用的VoIP系统中，并没有看到大规模的攻击事件，难道这些威胁只是存在于技术的理论层面吗？

对此，Juniper高级系统工程师王卫认为，之所以目前VoIP还没有任何关于大规模网络攻击或安全系统遭破坏的报道，究其原因，很大程度上是因为VoIP本身尚未成熟，比如大量的非标准化和互操作性问题，这些问题一方面给VoIP的部署应用带来了巨大的麻烦，但另一方面，也给黑客的攻击造成了很大的障碍。

我们知道，开放的、标准化的体系最容易受到病毒和恶意攻击的影响，而眼下，VoIP厂商和服务提供商们在为客户安装系统时，通常提供不同种类的防火墙、私有协议、预防侵入系统和其他一些保护装置。此外，很多企业VoIP解决方案通常是封闭的系统，分组语音只在LAN上传送，而大多数外部传输流经过网关在PSTN上传送。不过，随着VoIP的不断成熟演进，走向开放、标准化、纯IP的体系是必然趋势，到那时，VoIP将因为很多语音和数据的融合应用，向整个互联网开放，而安全问题也必将随之大量爆发。