¿Qué hace que VoIP sea más vulnerable que una línea telefónica "normal"?

3

NIST está en desuso Autenticación VoIP SMS.

No entiendo la decisión.

¿Qué hace que VoIP sea más vulnerable que una línea telefónica tradicional? Desde el lado del consumidor, ¡ni siquiera sé cómo distinguir la diferencia! Y me imagino que si mi proveedor de servicios quiere interceptar algo, podría interceptar cualquiera de ellos (diablos, lo tradicional podría ser incluso más fácil). Y si estamos hablando de "stringrays", bueno, de nuevo, pueden interceptar toda la conexión móvil.

¿Cuál es el problema real? Simplemente no compro la explicación, ¡pero nadie parece estar cuestionándola!

    
pregunta Mehrdad 10.08.2016 - 08:19
fuente

4 respuestas

1

En primer lugar, me gusta la cantidad de pasión que tienes por el tema.

Ahora para la respuesta:
VoIP es una forma digital de enviar comunicaciones de voz a través de IP. Un ejemplo de esto sería el envío de voz a través de Internet entre dos nodos VoIP.

Debido a que VoIP utiliza Internet para comunicarse, el acceso a los nodos ya los servidores que manejan las solicitudes está en riesgo para todo el mundo. Esto significa que si exploré Internet y encontré un nodo VoIP y encontré una vulnerabilidad, puedo usar el sistema operativo del nodo para cualquier propósito malicioso (Ejemplo: usarlo como un bot en un ataque DDoS, detectar el tráfico y escuchar música Las llamadas y etc ...).

En una línea telefónica tradicional, la comunicación se realiza a través de una red privada cerrada que está conectada a su casa desde una caja de control que probablemente se encuentre en algún lugar de su vecindario (y esa caja está conectada a otra y así sucesivamente hasta que el control principal sistema). Para poder hackear, deberías conectarte a esta red cableada. Esto requiere un acceso físico que ya hace que sea más difícil hackear una red VoIP.

Hay muchas más razones pequeñas y cada una tiene aspectos positivos y negativos, pero en general la razón por la cual VoIP es más vulnerable es porque utiliza internet o cualquier otra red para comunicarse, lo que la hace vulnerable a todos los ataques estándar. De cualquier manera, ambos son bastante hackeables cada uno a su manera.

Nota: Algunos proveedores de servicios ya han combinado los sistemas de control de las líneas telefónicas con Internet, lo que también lo hace vulnerable.

    
respondido por el Bubble Hacker 10.08.2016 - 08:37
fuente
1

VoIP no es más inseguro que un teléfono convencional. En todos los casos, no hay cifrado de extremo a extremo, y en la mayoría de los casos no hay cifrado en absoluto. Se puede escuchar una línea fija simplemente conectando los cables, y se puede romper el celular atascando las bandas más seguras (3G y LTE) y haciendo que el teléfono descienda a 2G, que utiliza criptografía rota. Sin mencionar que el operador puede espiar las llamadas y los mensajes por diseño, y por el horror que he visto en un proveedor respecto a sus propios sistemas, no me sorprendería que su infraestructura de administración ya esté comprometida.

Sin embargo, con las herramientas adecuadas, VoIP puede ser más seguro que cualquier teléfono estándar, suponiendo que ambos extremos de la llamada lo admitan. El uso de TLS para cifrar la señalización y SRTP para cifrar los datos de audio lo hace bastante a prueba de balas. He implementado con éxito un sistema de este tipo para un sistema telefónico interno. Lamentablemente, realmente no puede usar este tipo de seguridad si desea realizar llamadas a la PSTN, ya que inherentemente no admite el cifrado.

    
respondido por el André Borie 10.08.2016 - 18:13
fuente
0

El SMS es realmente un segundo factor pobre, ya que con más frecuencia no se puede descifrar al mismo tiempo con el factor principal en un ataque dirigido.

En el caso específico de VoIP, está sujeto a todo tipo de manipulaciones en Internet, especialmente del sistema de enrutamiento y DNS. Por ejemplo, "China puede redirigir la web" tipo de miedo.

Además, muchas implementaciones de VoIP utilizan un cifrado débil o nulo para la carga útil y la mayoría de los clientes no advierten sobre esto.

    
respondido por el billc.cn 10.08.2016 - 14:53
fuente
0

Si el adversario que le preocupa es un proveedor de servicios de telefonía, entonces el tipo de servicio telefónico no importa. Si el adversario está físicamente presente cerca del teléfono del destinatario, los SMS en un servicio de "VoIP" podrían ser más seguros, ya que existe una mayor posibilidad de que use el cifrado adecuado. Sin embargo, solo porque una defensa no sea efectiva contra ciertos adversarios no significa que sea inútil.

Un número de teléfono que atraviesa algún sitio web y finalmente termina en una PC atraviesa más sistemas que son vulnerables a ataques comunes que uno que va directamente del operador móvil a un teléfono básico. La posibilidad de que alguna parte de la cadena en un servicio VoIP haya sido violada a través de un ataque automatizado generalista es mayor que con un servicio telefónico clásico. No estoy diciendo que los servicios que no son VoIP siempre son seguros, solo que tienen una superficie de ataque más pequeña y, en promedio, son un poco más seguros.

No sé si ese es el razonamiento de NIST, este es solo mi análisis personal.

    
respondido por el Gilles 11.08.2016 - 02:37
fuente

Lea otras preguntas en las etiquetas