Freitag, 21. Mai 2010

Keine Standardsicherheit bei VoiceMail...

VoIP-Hacking, vor allem bei VoiceMail-Systemen ist keine Medienerfindung...einer der gerade bekannt gewordenen Fälle macht’s überdeutlich: bei VoiceMail-Systemen sollten keinesfalls Standardpassworte verwendet werden.

Passiert: eine Ansage wurde vor dem Melden mit dem * und einem Standardpasswort von außen gehackt und die Vertreterfunktion mit verschiedenen ausländischen Rufnummer aktiviert. Über diese Einstellung wurde fleißig aus dem Ausland ins Ausland telefoniert, was in Kürze einen Schaden von mehreren tausend Euro produzierte.

In solchen und ähnlichen Fällen ließ sich beim Prüfen der Protokolle feststellen, dass verschiedene Rufnummern aus dem Ausland, vermutlich automatisiert, ganze Rufnummernblöcke in Deutschland abtelefonieren und gezielt nach dieser Schwachstelle suchen.

Umfassende Sicherheitseinstellungen für VoIP und aktuelle Software bieten u.a. die Möglichkeit, die Amtsberechtigung der IVR-Teilnehmerports einzuschränken, die Vertreterfunktion in der IVR des Teilnehmers zu deaktivieren oder die Rufnummernlängenbegrenzung zu aktivieren, so dass keine längeren Nummern gewählt werden können.

Keine Kommentare: