黑帽安全大会成“揭黑”会议

　　防数据泄漏产品存在安全风险，VoIP电话系统漏洞随时可能被利用，在美国拉斯维加斯举办的第11届黑帽安全大会成了一场“揭黑”的会议。

　　Matasano Security公司的研究人员在黑帽安全大会上表示，寻求控制数据泄漏的公司可能会给自己带来新的麻烦。

　　在过去的9个月里，Matasano公司为寻求部署信息保护系统的公司测试了多种防数据泄漏产品。研究人员在他们研究的软件中发现多种漏洞。例如: 他们能够在代理软件解析AOL的即时消息协议的过程中利用漏洞来获得对代理计算机的控制，他们可以改写管理控制台的事件日志，他们发现客户机以非加密的格式向管理服务器报告数据。

　　但是Matasano公司拒绝提供漏洞的详细信息。事实上，他们甚至拒绝提供所评估的产品名称，只是说研究了4到8种产品。该公司的研究人员说他们的介绍旨在给IT工作人员提供一张在部署信息保护系统前向厂商提出的问题清单。

　　防数据泄漏产品存在安全问题，VoIP电话系统同样也不能被完全信任。安全咨询公司iSec Partners在黑帽大会上详细介绍了6种攻击基于H.323和Inter Asterisk eXchange(IAX)协议的VoIP电话系统的方法。该公司主要合伙人Himanshu Dwivedi和安全分析师Zane Lackey还在公司网站上发布了利用工具，以证明他们所给出的有关H.323 和IAX弱点的断言。Dwivedi说，来自Cisco、Avaya和Polycom的支持H.323的设备会受到他在黑帽安全大会上描述的攻击类型的影响。

　　在黑帽安全大会上发表有关VoIP安全问题演讲的NGS Software公司高级安全咨询师Barrie Dempster认为，iSec Partners针对H.323和IAX的漏洞利用是非常有价值的研究。他对VoIP系统的总体看法是：VoIP电话的安全性并不是非常好，哄骗和拦截攻击以及资费欺诈为人所知已经有很多年。

　　Dempster说：“VoIP存在的问题同电子邮件、即时消息客户端以及Web浏览器存在的问题一样糟。”具有讽刺意味的是：相对于VoIP来说，传统电话网的安全性看起来似乎更好一些。