Falhas ameaçam segurança das redes de Voz sobre IP

14 jan 2004 14:10

Este artigo tem mais de 22 anos

Uma revisão técnica conduzida pelo Governo inglês à infra-estrutura de comunicações do país deu conta de várias falhas de segurança em produtos que utilizam VoIP e mensagem de texto, nomeadamente da Microsoft e da Cisco Systems.

Num teste aos vários produtos usados na infra-estrutura de comunicações do Reino Unido, o National Infrastructure Security Coordination Centre (NISCC), regulador nacional para a área da Internet, deu conta de várias falhas de segurança em produtos que utilizam VoIP e mensagem de texto, nomeadamente da Microsoft e da Cisco Systems.

As falhas afectam software e hardware que suportam a norma de processamento e de comunicações multimédia em tempo real International Telecommunications Union (ITU) H.323. Por exemplo, nos produtos de telecomunicações da Cisco que correm o seu sistema operativo IOS, a vulnerabilidade pode levar as máquinas a bloquear ou a reiniciar. Contudo, no Internet Security and Acceleration Server 2000, incluído nas edições Small Business Server 2000 e 2003, a vulnerabilidade poderá permitir que alguém assuma o controlo do sistema.

No caso do Internet Security and Acceleration Server da Microsoft - concebido para ajudar a proteger as redes empresariais de ataques online - é um filtro usado no servidor que assegura as comunicações de VoIP que é vulnerável à falha de segurança.

A Microsoft apresentou ontem o código de correcção para o seu Internet Security and Acceleration Server, assim como a Cisco Systems, que publicou os patches para as falhas que afectam os seus produtos CallManager, da versão 3.0 à 3.3, Conference Connection, Internet Service Node e vários switches de VoIP.

Os problemas de segurança foram descobertos porque o NISCC tem vindo a testar a variedade de produtos usados na infra-estrutura de comunicações do Reino Unido.

O programa usado para testar os produtos é um projecto criado no seio da Universidade de Oulu, na Finlândia, onde o Secure Programming Group desenvolveu ferramentas para encontrar falhas de segurança em standards de redes de comunicação. Há dois anos atrás, este grupo encontrou uma grande vulnerabilidade numa norma básica usada pela Internet e por outras redes de comunicação e durante o ano passado o grupo apontou falhas de segurança no Session Initiation Protocol (SIP), outra tecnologia usada em redes de VoIP.