Per Hellqvist om IT-säkerhet och sånt

Tema utan säkerhet

1 Dec 2006

** Notera: Detta inlägg är editerat av mig, då jag upptäckt fel i den ursprungliga iden bakom inlägget **

Computer Sweden har under hösten haft temabilagor som tagit upp olika ämnen som IT i vården och nu idag IP-telefoni.

Jag har inte lusläst dem tyvärr, men när man bläddrar igenom dem ser man att en viktig sak inte tas upp tillräckligt – säkerhetsdiskussion.

Jag menar inte att man alltid måste ha med nån domedagsprofet som säger att “om du installerar det där så kommer alla dina system dö, världen översvämmas och priset på klementiner gå upp“, utan en mer klarsynt diskussion om säkerhetsfrågor i relation till temat.

I fråga om IT i vården kunde man till exempel tagit upp diskussionen om hur man skyddar våra journaler i en trådlös miljö och på portabla datorer av olika slag.

Dagens temanummer om IP-telefoni hade verkligen behövt en mer utförlig säkerhetsartikel. Det är en sak att titta på hur mycket pengar man sparar in på att installera IP-telefoni och hur enkelt det är och så vidare. Men det är inte bara att köra igång och sen sitta och räkna hem slantarna. Långt ifrån. Säkerheten nämndes i två artiklar. I den första var det minst sagt luddigt och i den andra var den inte riktigt relevant.

Det finns mycket information på internet om vad man ska tänka på när man kör igång med VoIP. Det finns massor med fallgropar (jo, det är en bra ide att klicka på kryptering…) och mycket tyder på att elakingarna redan är väl medvetna om hur man avlyssnar samtalen, samt tar sig in i VoIP-systemen. Ett relativt enkelt sätt är att köra programmet WireShark för att hitta samtalen i nätverkstrafiken och sen köra Cain & Abel för att spela in dem som t ex MP3-filer.

En del kanske tycker att det inte spelar nån större roll om nån spelar in samtalet mellan dig och din moster, men om vi säger att de spelar in samtalet när du utför bankärenden via telefon? Då får man direkt dina loginuppgifter (piip, piiiiip, pip, pip, piiiip) som man sedan kan använda för en “replay-attack“. Eller spelar in när du utför nån annan av de miljontals tjänster man kan göra via telefon?

En del företag försöker spara in än mer pengar och klämmer in VoIP-trafik i det vanliga nätverket. Det kostar förmodligen för mycket att lägga in mer kabel. Men fundera lite längre – vad händer om man riktar in en DoS-attack mot VoIP-nätet? Då dör ju ALL trafik. Eller om det dyker upp sårbarheter i VoIP-applikationer? Då kan de öppna upp resten av nätet för attackeraren.

Som vanligt gäller det att tänka efter före, så man har hela bilden klar för sig.

Lycka till!

Taggar: Uncategorized

Kommentarer

Lämna en kommentar

Du måste vara inloggad för att lämna en kommentar.