內部人員使用一種免費的軟件工具能夠容易地破解企業視頻電話會議，實時監視電話會議并且用適合在YouTube網站發布的文件記錄會議內容。

    VoIP廠商Sipera的VIPER實驗室主管Jason Ostrom說，雖然利用這個安全漏洞的情況已經在一年前的一個安全會議上進行了演示，但是，大多數企業網絡仍然存在這個安全漏洞。Ostrom在實驗室對客戶的企業VoIP網絡進行滲透測試。

    Ostrom說，只有5%的企業網絡進行了正確的設置，可以阻止這種攻擊。這種攻擊能夠生成整個會議的音視頻文件。他說，我幾乎沒有看到過啟用加密功能。

    Ostrom上個星期在波士頓舉行的Forrester安全論壇會議上演示了這種攻擊。他使用了一臺思科交換機、兩部Polycom視頻電話和一臺裝有UCSniff黑客工具的筆記本電腦。這個黑客工具是他用開源軟件工具組合而成的。

    為了竊聽電話，需要有人能夠接觸到VoIP電話插口，包括公司休息室的電話插口，把配置黑客工具的筆記本電腦插入到VoIP插口。這個設備就可以利用地址解析協議(ARP)欺騙手段收集企業VoIP目錄，使黑客能夠監視每一部電話并截獲電話內容。UCSniff黑客工具中有一個名為ACE的工具可以簡化捕獲目錄的過程。

    目標通話的音視頻一旦遭到攔截，就會傳送到筆記本電腦。黑客可以在傳送過程中觀看并且以獨立文件記錄下來，每結束一段通話就生成一個文件。

    加密是應對措施

    Ostrom說，最佳的網絡防御措施是啟用信號傳送和媒體的加密功能。這個問題不是網絡或者VoIP和視頻設備本身的問題，而是如何在網絡中設置這些設備的問題。

    一位參加會議的人建議說，二層監視工具能夠檢測到這種攻擊。Ostrom同意這種說法。但是，他說，他們在實踐中很少使用。我很少看到使用2層保護措施防御這種攻擊。

    此外，他在滲透測試中發現，他測試的網絡70%都容易受到長途電話費欺詐攻擊。這種攻擊利用企業網絡作為代理打長途電話。

    AT&T首席安全官Edward Amoroso說，AT&T故意公開暴露一些安全漏洞，引誘攻擊者進入沒有與公司網絡連接在一起的蜜罐。然后，AT&T與執法部門合作找出并起訴這些黑客。

    Amoroso說，這種做法給黑客提出了一些不確定性。黑客不知道這些安全漏洞是真的還是假的，也許不愿意進入他們發現的每一個安全漏洞。