https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

VoIP停、看、聽

2005 / 11 / 03
文 / Marcus J.Ranum 翻譯 / 路克
VoIP停、看、聽

最近信箱中是不是常收到推銷威而鋼這一類的垃圾信件?還是當你準備坐下用餐時,不識趣的電話行銷人員又要你申辦信用卡?等著吧,以後VoIP盛行之後,這種惱人的事情會更多!
VoIP 電話挾著低成本、低通話費用的優勢,準備進軍傳統電話市場,成為新一代的殺手級應用(killer app)。預估市場產值超過 100億美金,當然電話行銷與垃圾電話業者,絕對不會放過這塊新大陸。
你能試著感受一下,在星期一早上進辦公室之後,你的語音信箱被數十通垃圾語音留言塞爆的心情嗎?接著還會看到許多熟悉的低利貸款廣告、二胎借貸和常見的壯陽廣告,聽了一堆垃圾之後,才發現助理今天請病假的留言,實在令人感到無力。
在市場上可以聽到部分產品的業務人員宣稱,『沒問題!我們已經克服了SPAM的問題。』實際上,這是錯誤的。
線上分析及過濾語音電話內容有一定難度,太多的潛在因素會導致至這類技術失效,若要提供一定水準的通話品質,勢必過濾的處理速度要夠快,像是基於貝氏統計的線上過濾模式,就會導致通話品質下降。
而垃圾電話集團也會利用無辜的發話者作為發送留言的轉送跳板,接著會開始尋找可以作為轉送跳板的受害者,甚至會開發出搜尋用的工具。如果我們對於語音電話的安全防護漠不關心,這個問題就會擴大到一般電話用戶,也會遭受來自VoIP的垃圾電話攻擊,這是電信業者該嚴陣以待的問題。當VoIP的長途電話成本降到夠低,也許企業的客服中心也會逐漸轉移到勞力較便宜的國家,這時候更沒有人可以保證你不會在半夜三點接到令人為之氣結的推銷電話。
然而,我們該如何因應呢?
一般而言,許多新的科技產品推出時,都有一個共通的趨勢,就是安全措施都做的不夠好,VoIP也不例外。可能要經過一、二年,問題逐漸浮現且危及產品生命週期,才會開始出現大量湧現的『解決方案』,而這些解決方案其實在剛開始就應該列入設計中。
針對VoIP,如何避免遭受垃圾電話騷擾的安全方案,就是不要讓外部VoIP流量進入你的防火牆。如果你採用VoIP目的是降低電話成本,那就讓VoIP取代內部的傳統電話就好了。還有,可以利用VoIP的代理伺服器(Proxy)來進行通話與否的管制。就目前而言,因為VoIP設備還停留在高單價的階段,所以駭客們也還沒有開始在此深耕,創造出一些好用的入侵工具。但是,這只是時候未到,遲早駭客們會找出許多弱點,設計出可以透過代理伺服器通話的工具,利用通話轉接大舉玩弄VoIP。
維護安全的不二法門:一開始以最嚴謹的規則阻擋所有進出流量,當有需要或安全問題得以解決時,再開啟其他存取限制。
VoIP很有可能是未來取代傳統電話的絕佳替代方案。提供數以萬計的用話人在線上即時通話,但是不管採取哪一種安全方案來保障用戶的頻寬和系統,用戶終究難逃自家電話公司行銷電話騷擾。這樣算是有『進步』嗎?我覺得一點都沒有改變。