Por Network World

O livro "Securing VoIP Networks" ("Garantindo a segurança de redes VoIP", na tradução para o português), escrito por Peter Thermos e Ari Takanen, analisa as vulnerabilidades existentes na infra-estrutura de uma rede de voz sobre IP. E muitas das ameaças, segundo eles, dizem respeito a falhas humanas.
 
Confira aqui as principais vulnerabilidades identificadas pelos autores:
 
1.Verificação insuficiente de dados: em uma implementação de VoIP, isso permite que usuários entrem na rede para promover ataques.
 
2. Falhas de execução: bancos de dados padrão são normalmente utilizados como o backbone de serviços de VoIP e seus registros. Na hora da implementação, é preciso olhar com atenção para filtros de conteúdo ativo, como solicitações SQL envolvendo nomes de usuários, senhas e URLs de sessões. A maioria dos problemas relacionados a falhas de execução resulta da má implementação de filtros e programação insegura.
 
3. Pacotes mal formados, com conteúdo e estruturas inesperadas exsitem em qualquer protocolo de mensagem, incluindo SIP, H.323, SDP, MGCP, RTP e SRTP. A maioria das mensagens mal formadas envolve ataques de buffer overflow. O resultado é que o input dado pelo invasor é escrito sobre outros conteúdos de memória interna, como registros e pointers, que permitirão ao invasor total controle sobre o processo vulnerável.
 
4. Poucos recursos: especialmente em equipamentos embutidos, os recursos disponíveis para implementações VoIP podem ser muito escassos. Pouca memória e baixa capacidade de processamento podem ajudar o invasor a derrubar os serviços VoIP nesses equipamentos.
 
5. Pouca largura de banda: o serviço precisa ser criado de forma a suportar a demanda mesmo que todos os usuários decidam utilizá-lo simultaneamente. Um serviço pode receber uma série de falsas solicitações ou mesmo, por engano, carga de usuários reais. Se não tiver capacidade suficiente, o resultado é a paralisação do serviço.
 
6. Falhas de manipulação de recursos e arquivos: estes são resultados típicos de erros de implementação e programação, e incluem o acesso inseguro a arquivos.

Outros destaques do COMPUTERWORLD:
> Cobrança por pulsos acabou, mas consumidor tem dúvidas
> Vivo compra a Telemig em negócio de até R$ 2,8 bi
> Prazo de validade do cartão pré-pago de celular pode acabar
> Portabilidade numérica será realidade no Brasil até 2009
> Governo não deve permitir bloqueio de conteúdo na TV Digital

 
7. Gerenciamento de senhas: a única identificação que um usuário de VoIP tem é o número de seu telefone ou a URL SIP e uma eventual senha para o serviço. A senha é armazenada tanto no cliente quanto no servidor. Se as senhas forem armazenadas no servidor em um formato que possam ser revertidas, qualquer um com acesso a esse servidor pode obter o nome de usuário e a senha referente a ele.