Spöksamtalen

Jag har på denna spalt skrivit några inlägg om SIP-utrustning och -softvara. Tanken är att telefoni är ett område där vi har möjlighet att dra fördel av fiberinvesteringen. Tyvärr är detta inte problemfritt. En del av oss har erfarit sk spöksamtal, som är att jämföra med den elektroniska postens spamproblem. Här är en välskriven redogörelse över SIP spamproblemen, men skriften beskriver också olika sätt att förhindra spöksamtalen:

The Session Initiation Protocol (SIP) and Spam

Översikten är från 2008 så den är något föråldrad. Författarna ritar också upp en strategi för hur man skall gå vidare i saken, men det är inte mycket att hänga i julgranen. En märklig sås med moskombination av alla spamförhindringstekniker. Jag tar fasta på detta medel:

- TLS with mutual authentication

Telefonerna och serversystemen måste identifiera sig på ett hållbart sätt. Många av de nuvarande servermaskinerna och serverprogrammen har färdiga sertifikat eller möjlighet att ladda upp ett eget sertifikat. Det börjar också vara vanligt att också telefonerna har sertifikat så det tänker vi satsa på.

Systemet beskrivs i den färskaste upplagan (3rd edition) av Alan B. Johnstons bok Understanding the Session Initiation Protocol, avsnitt 14.5 och sida 314. Avsnittet förmedlas alltså generöst av Google Books.

Största delen (88% procent i ett test för ett par månader sedan) av dagens telefoner klarar av TLS. Vet inte hur det är med äldre telefoner. Skall det vara en analogtelefon med ATA-burk, så tycks Cisco LINKSYS ATA-burk PAP2T vara förträfflig och prismässigt mycket överkomlig. Väl dokumenterad och - såvitt jag förstår - dessutom förhållandevis lätt att underhålla i ett byanät (jfr. deras provisioning-manual).

Den som tänker erbjuda telefontjänster inom det egna byanätet, åtar uppenbarligen sig ett ganska digert studiejobb. Det gäller att bemästra datasäkerhetsproblemen och telefoni är en tillämpning som dessutom har sina egna säkerhetshemligheter och -lösningar. Den som är okunnig om hur dåligt det egna nätet är skyddat, kan tro att allt är i sin ordning. Det kan vara ledsamt om man lär sig att så inte är fallet först när olyckan redan hänt. Så förbered er ordentligt förrän ni ger in er på produktion av telefonitjänster.

David Endler och Mark Collier tycks vara av den åsikten att det bästa sättet att lära sig förstå och hantera problemen är att man funderar igenom hur boven går till väga. Endlers och Colliers bok Hacking Exposed. VoIP: Voice over IP Security Secrets & Solutions publicerades redan år 2007, men den är likväl högaktuell tills SIP och andra telofoniteknologier kommit över sina barndomssjukdomarna.

Det är häpnadsväckande att se hur enkelt hackern kan avbilda telefonnätets fotavtryck, för att sedan kunna skanna igenom apparater, portar och VoIP tjänster. Det börjar med helt alldagliga internetsök genom Google och går vidare med hackerns specialredskap. Boken går igenom SIP-trafikens detaljer och ger insikt i hur hackern blottar systemets svagheter för att slutligen kunna störa och komma åt själva telefontrafiken. Boken är intressant därför att den på ett mycket detaljerat sätt ger inblick i hackerns arbetsmetoder. Därefter ger författarma konkreta råd åt dem som vill undgå telefonbovens inbrott.

Verket är verkligtt roligt och lärorikt att läsa för man lär sig så mycket om internetkommunikation på alla nivåer. Det är näturligtvis också en aning tråkigt att boken på detta sätt också blir en handbok för den hugade hackern. Men I-samhällets aktivister har knappast ett bättre alternativ än att värna öppenheten.

här är ett bra program för att tjuvlyssna på voip, ja.... egentligen på allt i nätet.

http://www.oxid.it/cain.html

lösenord, banktrafik, mitm .... you name it ... enkelt och funkar bra .... rekommenderar

Bra. Här är en link till bokens redskap:

Tools and Downloads

Vill ni ta er en titt på boken, så går det också för sig:

Chapter 3: Enumerating a VoIP Network

På tal om det så var det mycket enkelt att tjuvlyssna på telefon förr. Men blanka ledningar var det världens enklaste sak att koppla en extra telefon till linjen.

Det är idé att tro att det finns helt säkra system.