Staronový bezpečnostní problém ohrožuje internetovou telefonii

  • 7
Útoky hackerů podle oficiální zprávy hrozí mnoha směrovačům, síťovým přepínačům, softwaru i telefonům využívajícím standard H.323.

Bezpečnostní audit provedený britskou vládní institucí odhalil vážné bezpečnostní chyby v hardwarových a softwarových produktech umožňujících internetovou technologii s využitím standardu H.323. Útočník může způsobit zmrznutí software nebo dokonce získat nad zařízením kontrolu. Chybou jsou zasaženy produkty mnoha renomovaných firem, další společnosti zatím zjišťují napadnutelnost svých výrobků. Velmi podobný problém ohrožoval implementace protokolu SNMP pro správu sítí již předloni, někteří výrobci se však zřejmě nepoučili. Útoky podle oficiální zprávy hrozí mnoha směrovačům, síťovým přepínačům, softwaru i telefonům využívajícím H.323

Již v roce 2002 byl odhalen problém v implementaci standardu ASN.1 (Abstract Syntax Notation One, Abstraktní popis syntaxe číslo jedna). V tomto standardu se definuje jakási gramatika pro přenos strulkturovaných dat pomocí jedniček a nul, využívá se v kryptografii mimo jiné u protokolů SSL, S/MIME a SET a pro zápis digitálních certifikátů, v bezdrátových adaptérech standardu ZigBee, v signalizaci na ISDN, u adresářového protokolu LDAP i u protokolu SNMP pro správu počítačových sítí. Kvůli chybě v softwarové knihovně pro ASN.1 objevené Skupinou bezpečnostního programování na univezitě ve finském městě Oulu byla již loni ohrožena zařízení využívající protokol SNMP, dodavatelé tehdy přislíbili nápravu. Zdálo se, že další bezpečnostní problémy s ASN.1 zatím nehrozí.

Na ASN.1 je založen i standard H.323 pro internetovou telefonii, například firma RADVISION proto podle svého vyjádření přepsala software pro své produkty postavené na H.323 a tím je imunizovala. Britská vládní organizace NISCC (National Infrastructure Security Co-ordination Centre, Národní koordinační středisko bezpečnosti infrastruktury) přesto provedla dlouhodobý audit telekomunikačních produktů využívajících standard H.323. Audit odhalil bezpečnostní problémy u mnoha produktů. Nejpikantnějším objevem byla chyba v Microsoft ISA Serveru, která umožňovala útočníkovi prostřednictvím útoku na H.323 zmocnit se kontroly serveru. Účelem serveru je přitom zabezpečení počítačových sítí.

Jedním z nejpostiženějších výrobců byla společnost Cisco, podle jejíž zprávy mohou speciálně upravené pakety protokolu H.255.0 a zprávy protokolu Q.931 přenášené přes TCP zbůsobit zamrznutí či restart software IOS, CallManager, Conference Connection, ISN, softwarové telefonní ústředny BTS 10200, internetového telefonu Cisco 7905 a analogových telefonních adaptérů řady ATA 18x, pokud používají H.323. Společnost Cisco dává ovšem v internetové telefonii před standardem H.323 přednost signalizačnímu protokolu SIP a vlastnímu Skinny Protocolu, které současnými problémy ohroženy nejsou. To je jedním z důvodů, proč je seznam produktů Cisca, které nemají problémy, mnohem delší.

Microsoft již vydal pro chybu v ISA Serveru záplatu. Aplikovat by ji mělo mnoho zákazníků, ISA Server je také součástí produktu Small Business Server 2000 a 2003. také Cisco publikovalo podrobný přehled bezpečných verzí software. Další výrobci začali zevrubně kontrolovat svůj software, kromě Microsoftu a Cisca je již jasné, že bezpečnostními problémy s H.323 trpí software firem Avaya, Nortel Networks a Tandberg. Bezpečný by měl být software firem Apple, Cyberguard, eSoft, Hitachi, Juniper, Objective Systems, OSS Nokalva, RADVISION, Red Hat, Symantec, uniGone a operační systém NetBSD.

Situace se stále vyvíjí, uživatelé zařízení a software souvisejícího s internetovou telefonií by měli sledovat zprávu britské vlády a varování CERT (Computer Emergency Response Team, Tým pro reakci na počítačové nebezpečí) na Carnegie Mellon University, které jsou průběžně aktualizovány, a v neposlední řadě informace od dodavatelů hardware i software.

Možná, že nakonec budeme vzpomínat v dobrém na staré telefony s rotačním číselníkem a na analogové telefonní ústředny.