扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
防数据泄漏产品存在安全风险,VoIP电话系统漏洞随时可能被利用,在美国拉斯维加斯举办的第11届黑帽安全大会成了一场“揭黑”的会议。
Matasano Security公司的研究人员在黑帽安全大会上表示,寻求控制数据泄漏的公司可能会给自己带来新的麻烦。
在过去的9个月里,Matasano公司为寻求部署信息保护系统的公司测试了多种防数据泄漏产品。研究人员在他们研究的软件中发现多种漏洞。例如: 他们能够在代理软件解析AOL的即时消息协议的过程中利用漏洞来获得对代理计算机的控制,他们可以改写管理控制台的事件日志,他们发现客户机以非加密的格式向管理服务器报告数据。
但是Matasano公司拒绝提供漏洞的详细信息。事实上,他们甚至拒绝提供所评估的产品名称,只是说研究了4到8种产品。该公司的研究人员说他们的介绍旨在给IT工作人员提供一张在部署信息保护系统前向厂商提出的问题清单。
防数据泄漏产品存在安全问题,VoIP电话系统同样也不能被完全信任。安全咨询公司iSec Partners在黑帽大会上详细介绍了6种攻击基于H.323和Inter Asterisk eXchange(IAX)协议的VoIP电话系统的方法。该公司主要合伙人Himanshu Dwivedi和安全分析师Zane Lackey还在公司网站上发布了利用工具,以证明他们所给出的有关H.323 和IAX弱点的断言。Dwivedi说,来自Cisco、Avaya和Polycom的支持H.323的设备会受到他在黑帽安全大会上描述的攻击类型的影响。
在黑帽安全大会上发表有关VoIP安全问题演讲的NGS Software公司高级安全咨询师Barrie Dempster认为,iSec Partners针对H.323和IAX的漏洞利用是非常有价值的研究。他对VoIP系统的总体看法是:VoIP电话的安全性并不是非常好,哄骗和拦截攻击以及资费欺诈为人所知已经有很多年。
Dempster说:“VoIP存在的问题同电子邮件、即时消息客户端以及Web浏览器存在的问题一样糟。”具有讽刺意味的是:相对于VoIP来说,传统电话网的安全性看起来似乎更好一些。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。