30 mei 2008

Internettelefonieleverancier Newport Networks wijst er op dat er 'a new type of identity fraud, which sees hackers tapping into voice-over IP telephony accounts, has been confirmed'. Gebruikersnamen en wachtwoorden van voice-over IP (VoIP) telefoonaccounts 'are selling online for more than stolen credit cards'. Deze informatie maakt het hackers mogelijk om de telefoondiensten gratis af te nemen. Deze vorm van identiteitsfraude staat nog in de kinderschoenen; het afluisteren van gesprekken echter is een veel meer voorkomende beveiligingsproblematiek. Maar ' the move into stealing usernames and passwords which are routinely sent across the network when a call is made, is a worrying new trend', zo zegt Dave Gladwin, product Vice-President van Newport. 'It is still at an embryonic stage but as voice adoption increases it becomes more of a problem and needs addressing'. De details worden niet als plain text verzonden maar zijn dermate slecht gecodeerd dat ze 'easily captured and unobscured' zijn. Gladwin stelt dat 'Credit card details have been traded fairly openly online for some time and can be bought for around $12 each. VoIP account details fetch a slightly higher price, at $17'.

Het probleem is niet zo heel groot voor bedrijven die routinematig VoIP bieden aan hun medewerkers, omdat de gebruikers ervan over het algemeen gebonden zijn aan een zwaar beveiligd bedrijfsnetwerk. Het is echter wel zorgwekkend voor die individuele consumenten, die veelal vertrouwen op een publiek of minder zwaar (of on-) beveiligd netwerk, dat vaak ook nog draadloos is. Als zodanig is dat al minder zwaar te beveiligen. '90% of carriers don't offer a secure VoIP service', zegt Gladwin. Hij schat dat het ongeveer 1,5 tot 2 euro kost per abonnee om het additionele niveau van beveiliging in te voeren. 'Most of the software out there has the capability of running in secure mode if the service providers would accept it', zo zei hij. Skype liet al weten, in reactie op Gladwin's uitspraken, dat, in tegenstelling tot veel van haar rivalen, haar dienst een 'end to end encryption' biedt. 'It doesn't matter whether I'm on an open wireless connection, there is no way someone could get hold of my username or password', zo zegt Jonathan Christensen, algemeen manager aqudio en video bij Skype. Hij geeft toe dat er beveiligingsproblemen zijn, vooral voor providers die 'less robust security mechanisms' gebruiken, maar hij vraagt zich af wat intenretcriminelen met een gratis VoIP-account aanmoeten. Jupiter analis Ian Fogg is het daar mee eens. 'I have not seen security issues with VoIP as a big issue. This is partly because such services aren't that mainstream and therefore have not been targeted by criminals in the way that e-mail and online banking services have', zo stelt deze. Niettemin heeft Gladwin een punt; voor die providers die VoIP niet gratis bieden, kan een dergelijk beveiligingslek consequenties hebben. En die providers zijn er ook….