Geçen haftalarda Amerika Birleşik Devletleri’ndeki düzinelerce KOBİ’nin telefon sistemleri hack olaylarına sahne oldu. Bunların çoğu küçük ve yeterli güvenlik önlemlerini alamayan şirketlere ait. Telefon sistemlerine giren hacker’lar genellikle telefonu kullananların banka hesap bilgilerini ve şifrelerini öğrenecek yöntemler uyguluyorlar.

Hacker’lar telefon sistemine girerek gözlerine kestirdikleri mağdurları arıyorlar ve bankalarının ödeme sistemlerinde bir sorun olduğunu ve hesaplarının kilitlendiğine dair daha önceden kaydedilmiş, sanki otomatik santralden aranıyormuş gibi bir mesaj dinletiyorlar. Mesajda hesap numaraları ve şifreleri ile sisteme giriş yapılıp, hesabın kullanıcıya ait olduğunun doğrulanması isteniyor. Endişelenen mağdurlar da sesli mesajda ne denirse yapıyorlar ve hasap numaraları ile şifreler anında hackerların kucağına düşüveriyor. Hacker’lar bu bilgileri kullanarak sahte nakit banka kartları basıyor veya doğrudan internet üzerinden banka hesaplarına girip tüm içindeki tutarı boşaltıyorlar.

Hackerlar’ın telefon sistemlerini kurcalayıp kendi yararlarına kullanmaları yirmi yıldan daha eski bir konu ve zaman zaman hem Amerika’da hem de ülkemizde gazete manşetlerine kadar çıkabiliyorlar. Fakat var olan telefon sistemlerinin internet ile gitgide daha fazla entegre olmaya başlamaları, bu siber suçlulara daha yeni yeni anlaşılmaya başlanan farklı imkanlar ve keşfedilecek yeni sahalar sunuyor.

VoIP üzerinden hack yapılabilmesi, iletişim güvenliği açısından bambaşka bir cephe doğuruyor. Özellikle, bunun yapılabilirliğinin ve yüksek oranda efektif olmasının hackerlar tarafından ispatlanması sonucunda şirketlerin endişe etmesi gereken başka bir önemli güvenlik açığı da listedeki yerini alıyor.

VoIP saldırıları arasında şu an en popüler olanının ismi Asterisk ve salgın gibi hızla yayılmakta. 2008 yılında bu pek önemli bir sorun gibi görülmezken, kullanımı kolay hack araçlarının yaygınlaşması, hatta bu konudaki video, podcast ve blog siteleri ile artık neredeyse herkesin kullanabileceği bir şekle sokulmuş durumda. Asterisk, iki aşamalı bir hack yapısı sunuyor. Bir arabayı çalabilmek için daha önce bir levye çalmaya çalışmak gibi.
Bu hazır ve kullanımı kolay araçlar ile bir ofisin yerel ağ bağlantısına girip, daha sonra da dünyanın geri kalanı ile ofisin ağını bağlayan servis sağlayıcıya sızıp (bu durumda bizde Türk Telekom) kolaylıkla istenilen yapılabiliyor.
Hacker’ın VoIP sisteminin şifresini tahmin etmesi gerekiyor. Normalde onbinlerce farklı şifre denenmesi gereken bu çalışma eninde sonunda sonuç veriyor. Çünkü VoIP sistemleri örneğin GMail gibi belli bir sayıda yanlış şifre girildikten sonra kendilerini kullanıcıya kilitlemiyorlar. Yani VoIP sistemleri aslında her türlü bilgisayarın bağlanmasına izin veriyorlar. Otomatik sistemler ile bu onbinlerce şifre denemesi hacker için sadece bir zaman sorunu oluyor. Şifre bulunduktan sonra sisteme giren hacker’ın çalışan telefon eklentilerini (örneğin dahili numaraları) bulması gerekiyor. Yine deneme yanılma ile bulunabiliyor. Sonrasında ise hacker klasör saldırı aracını çalıştırıyor ve sisteme tam erişim alıyor. Bundan sonra ister bedava telefon görüşmesi yapar, ister başkalarına telefon açıp sahte mesajlar dinletir. Artık sistemin bir parçası.

Ekim ayının başında Amerika’daki Innovate Technologis şirketinin de başına tam olarak bu geldi. Romanyalı bir takım siber suçlular tarafından VoIP ağlarına sızılan şirket çalışanlarına, çalıştıkları bankadan sesli postalar gelmeye başladı. 3 Ekim tarihinde şirketin CEO’su da benzer bir sesli posta mesajı alınca iki gün önceki VoIP kayıtlarını incelemek istedi. Hacker’lar bütün haftasonu boyunca toplamda 300 arama yapmışlardı. Şirketin CEO’sunun dediğine göre eğer bu kadar çok arama olmasaydı yüksek ihtimalle kayıtlara ne kadar bakılırsa bakılsın fark edilmeyecekti bile.

Bütün bunları engellemenin aslında basit yolları var. Bunlardan ilki şirketin VoIP sistemindeki SIP (Session Initiation Protocol) portlarını değiştirmeleri. Diğer basit önlemler ise sistemin belli bir sayıdaki yanlış şifre tahmininden sonra kullanıcıyı engelleyecek şekilde yapılandırılması. Üçüncü olarak da tabii ki tahmin edilmesi zor, uzun ve karmaşık şifreler kullanmak.
VoIP sistemini kullanan şirketlerin çoğu sadece konferans görüşmelerinin kaliteli olması konusunda endişeli. Oysaki VoIP sistemleri, internetteki herhangi bir site kadar saldırıya açıklar. VoIP kullanılırken etrafta bir bilgisayarın görünmüyor olması insanların VoIP’yi bambaşka bir sistem olarak algılamasına sebep oluyor. Oysa ki bir VoIP telefonu, internete bağlanan herhangi bir biglsayardan çok da farklı değil. VoIP sunucusu, internet üzerindeki herhangi bir posta veya web sunucusundan hiçbir şekilde farklı değil. VoIP de internet üzerindeki her türlü cihaz gibi aynı şekilde veri gönderip alıyor. Bu bilincin oluşturulup, diğer internet üzerinde yapılan çalışmalar için ne kadar güvenlik önlemi alınıyorsa, VoIP için de alınmasını sağlamak gerekiyor. Aksi halde şirketinizin tek kaybı kabarık uluslar arası telefon faturalarını ödemekten çok daha fazla olabilir.