馬堤的剪報筆記

要證明某種資訊科技(IT)已打入主流市場，最明顯的徵兆，就是看它是否招致安全攻擊。網路電話（VoIP）備受網址嫁接(pharming)等安全攻擊所擾，就是其中一例。

出席芝加哥電信會議Supercomm 2005的業界主管指出，成本低廉的VoIP通話服務廣受民眾歡迎，卻也成為網路攻擊者鎖定的目標，導致網路通話被監聽、用戶與自用VoIP帳戶的連線受阻、通話品質遭到破壞等事件頻傳。

今年元月，Harris Interactive意見調查報告顯示，60%的美國受訪成年人都知道有網際網路電話可用，但基於安全性與隱私顧慮而未實際去用。此後，網際網路協定（IP）的安全疑慮有增無減。

免費散布的VoIP軟體大受歡迎，但安全問題可能成為絆腳石。VoIP軟體允許把網際網路連線同時當作家用或商用電話線，估計美國2億戶家庭與企業中，已有大約750萬戶以VoIP取代傳統電話。研究公司Gartner預測，到2008年，使用VoIP的家庭可能增加到多達2,500萬戶。一大吸引力是：VoIP業者提供月付20美元無限制通話的服務。

然而，VoIP潛在的弱點，是容易受制於駭客攻擊，因為像電子郵件一樣，VoIP通話靠確認通話雙方所用裝置的IP位址(獨一無二的一串數字)連線，但許多VoIP業者在擴大服務之餘，卻未妥善落實一些基本的安全措施，例如把通話訊息加密處理。

雖然鎖定VoIP系統的攻擊大致仍只是研究報告上的議題，但一些採用VoIP服務的企業已經遭遇實際的攻擊，企業電話系統整合業者BearingPoint Institute指出。

柏林Snom Technology公司創辦人Christian Stredicke在Supercomm安全會議上致詞時表示：「安全性攸關IP電話能否廣獲一般民眾接納。」

但是，業者若不加快腳步圍堵VoIP安全威脅，恐怕就來不及了。Gartner分析師今年1月即警告，只消兩年的時間，有組織的攻擊就會開始鎖定訊號網路(signaling networks)，也就是承載、引導指令以確保通話連線正確的那部分電話網路。 

「不令人意外地，在VoIP業者紛紛搶生意的時後，駭客也急於探尋並利用各種手段竊取或擾亂這些通話服務，」BearingPoint主管Stephen Doty與Fred Hoffmann在最近發表的研究報告中寫道。

多家VoIP服務業者與設備製造商已求助於新近成立的Voice over IP安全聯盟。該聯盟將規範VoIP業界的安全部署需求，並著手解決安全技術元件、架構與網路設計、網路管理以及終端存取和認證問題。

VoIP安全威脅層出不窮，最新浮現的一種是VoIP版的「網址嫁接」。

網址嫁接的手法，是利用把電郵與網路地址轉換成IP位址的網路設備潛在的弱點，劫持網域名系統(DNS)伺服器，進而掌控VoIP通話，導致VoIP用戶在不知情的狀況下，通話被轉接到不明的位址。 

最早期的一種VoIP威脅，則是通話者身分冒用(Caller ID spoofing)，也就是冒名頂替別人的通話者身分資料。

稱為「clipping」的安全問題，則發生在纜線數據機遭大量通話流量攻擊，導致VoIP通話品質低落。

另一種攻擊類型稱為影像郵件炸彈(V-bombing)，發生在數千封影像郵件同時對準單一VoIP郵件信箱疲勞轟炸的時候。

CNET新聞專區：Ben Charny