VoIP-Billigangebote bieten keine Sicherheit
Internet-Telefonie mit Sicherheitslecks
Mit VoIP-Schwachstellen Hacker einladen
VoIP-Billigangebote bieten keine Sicherheit
Das waren noch Zeiten, als Technikfreaks per Pfeifton umsonst telefonieren konnten: Schon in den 60er Jahren nutzten so genannte “Phreaker” in den USA Schwachstellen der klassischen analogen Telefonanlage, denn die steuerte einige Funktionen mit Signaltönen. So hieß ein Ton von 2.600 Hertz: Ich bin eine Vermittlungsstelle, bei mir bitte keine Gebühren berechnen!
Auch moderne Phreaker wollen über VoIP umsonst telefonieren. Daher sollten man VoIP-Zugangsdaten tunlichst verschlüsseln, per SIP oder SSL (SIPS), was aber erst wenige Anbieter ermöglichen.
“Die Qualitätsparameter der traditionellen TK-Anlage sind noch lange nicht erreicht. Ob Phreaking, Sniffing, Phishing und Spamming oder Denial of Service-Attacken – die Angriffsmethoden der Hacker sind äußerst vielfältig, und die vorhandenen Schwachstellen bieten die optimale Eintrittsplattform,” betont Marco Filippo, Geschäftsführer der VisuKom Deutschland GmbH in seinem Vortrag auf dem Kongress Life Security 2007 in Berlin.
Vor allem Unternehmen sollten auf Billigangebote verzichten, rät Filippo, denn es existieren noch zu viele Sicherheitslecks. Zum Beispiel Sniffing, das Mithören des Datenverkehrs in einem lokalen Netz, abstellbar über eine Verschlüsselung mittels SRTP (Secure Realtime Transport Protocol). Nur wenn beide Gesprächspartner SRTP nutzen, sind die Sprachdaten verschlüsselt.
Klingelstreiche können das Netz lahmlegen
VoIP-Billigangebote bieten keine Sicherheit
Mit einfachen Mitteln sei das Abhören und Manipulieren von Gesprächen möglich, so Filippo. Als “Killer-Applikation” demonstrierte er zum Beispiel “RingAll”. Dieser Klingelrundruf nutzt die Sicherheitslücken des bei VoIP üblicherweise eingesetzten Netzprotokolls SIP, das die Kommunikationsverbindung zwischen Teilnehmern aufbaut und dafür sorgt, dass das Telefon klingelt.
Und das tut es denn auch pausenlos, wenn ein Hacker mit RingAll eine Denial of Voip-Attacke (DoVoIP) ausgelöst hat. So lässt sich ein SIP-Netzwerk außer Funktion setzen und sabotieren. Oder ARP-Spoofing: Hier bombardiert der Angreifer den Switch mit gefälschten Absenderadressen, um den Datenverkehr zwischen zwei Hosts abzuhören.
Steigendes Risikopetenzial von VoIP bemängeln auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) in seinem Lagebericht über die IT-Sicherheit 2007 und das Unternehmen Arbor Networks. Letztes stellt in seinem “Worldwide Infrastructure Security Report” fest, dass nur 20 Prozent der Provider spezielle Werkzeuge einsetzen, mit denen sie Gefahren für VoIP erkennen und abwehren können. Das Unternehmen beruft sich dabei auf Informationen von rund 70 weltweit tätigen Tier1- und Tier2-Netzbetreibern über Angriffe zwischen Juli 2006 und Juni 2007.
Eine Möglichkeit, gegen Hacker und anonyme Zugriffsversuche vorzugehen, sind Penetrationstests, durchgeführt von Sicherheitsunternehmen. Sie simulieren aus der Perspektive der Hacker einen möglicht realitätsnahen Angriff auf das Unternehmensnetz und überprüfen so Server, Dienste und Applikationen.