Исследователи из университета г. Балтимор, штат Мэриленд, США, обнаружили
уязвимость в новых алгоритмах Интернет-телефонии, обеспечивающих повышенное
качество передачи голоса за счет переменной степени сжатия звука.
Оказалось, что по длине пакетов, в которых сжаты различные звуки, можно
определить целые слова и фразы. Большинство современных сетей IP-телефонии пока
защищены от таких способов перехвата разговоров, но в перспективе многие
операторы такого вида связи уже собираются внедрить новые алгоритмы. Технология
сжатия звука с переменными параметрами (variable bitrate compression)
обеспечивает повышенное качество звука при одинаковой пропускной способности
линии за счет того, что разные звуки кодируются пакетами разной длины. Сложные и
длинные звуковые сочетания вроде «оу» кодируются большими пакетами, а простые
звуки типа «ц» - короткими. Исследователям удалось наглядно показать, что
перехваченные пакеты можно использовать для расшифровки содержания разговора. С
помощью специального словаря, составленного на основе записанных реальных
переговоров в одной из сетей IP-телефонии, программисты сумели добиться
распознавания слов с точностью более 50%. По словам авторов работы из группы
Джона Хопкинса, легче всего распознаются переговоры с большим числом длинных
специализированных терминов – такие термины имеют характерную структуру, которую
несложно выделить в потоке пакетов. Гораздо труднее выделить слова и фразы в
неформальных разговорах, где используются слова из бытового обихода, часто очень
похожие друга на друга.
Сообщение об уязвимости алгоритмов сжатия голоса прокомментировал Фил
Циммерман, основатель защищенной сети Zfone VoIP и автор алгоритма шифрования
PGP. По его словам, обучаемые алгоритмы сжатия голоса уже не выглядят
защищенными. Вместо них стоит использовать разбиение сжатого голоса на пакеты
одинаковой длины, хотя это может привести к снижению эффективности сжатия.
Статья Джона Хопкинса и его коллег об уязвимости адаптивных алгоритмов сжатия
голоса в сетях IP-телефонии была представлена на симпозиуме по безопасности и
конфиденциальности 2008 IEEE Symposium on Security and Privacy, прошедшего в мае
этого года.
