VoIP - das nächste grosse Ziel der Hacker

VoIP ist bequem und ermöglicht es, Geld zu sparen. Mögliche Sicherheitsprobleme sind allerdings noch längst nicht gelöst.

Artikel erschienen in Swiss IT Magazine 2005/12

     

Voice over IP erfreut sich in vielen Unternehmen zunehmender Beliebtheit. Zu verlockend sind die zahlreichen Vorteile, die das Telefonieren über das Datennetz verspricht: Neben der bequemen Integration von Daten- und Voice-Diensten ist oft auch von einer hohen Flexibilität die Rede, die das intelligente Telefon bietet. Im Vordergrund steht für die meisten allerdings nach wie vor die potentielle Kostenersparnis, fallen doch die teuren, internen Telefonrechnungen weg. In einer aktuellen Studie kommen denn auch die Marktforscher von Ovum zum Schluss, dass im Jahr 2008 rund 20 Prozent der Telefonanrufe über VoIP-Netze anstelle vom traditionellen Telefonnetz getätigt werden, was für die Unternehmen Ersparnisse bei der Telefonrechnung in der Höhe von bis zu 60 Prozent bedeuten wird.
Viele Firmen übersehen angesichts dieser überaus verlockenden Sparmöglichkeiten allerdings die zahlreichen Sicherheitsrisiken, die mit Voice over IP verbunden sind. Man kann über das traditionelle Telefonnetz sagen, was man will – unbestritten ist, dass es stets und zuverlässig funktioniert. Man nimmt den Hörer ab und kann telefonieren. Bei VoIP ist das prinzipiell auch so – mit der kleinen Einschränkung, dass bei VoIP die Anrufe über das vergleichsweise eher instabile, von Geschwindigkeitsschwankungen betroffene, von Hackern kompromittierte und von Viren heimgesuchte Internet laufen.


Experten warnen

Tatsächlich erbt VoIP die meisten der von herkömmlichen Datennetzwerken bekannten Sicherheitsprobleme und Bedrohungen, wie David Endler, Vorstand der im Februar gegründeten Voice Over IP Security Alliance (VOIPSA), erklärt. Allerdings räumt er ein, dass mit der Integration von spezialisierten VoIP-Komponenten in die Netzwerke auch zusätzliche Sicherheitsmassnahmen eingebaut werden, etwa zur Verbesserung von Quality of Service, Zuverlässigkeit und Geheimhaltung. Andererseits rechnet Endler damit, dass in nächster Zukunft auch neue Angriffsmethoden entwickelt werden, die über die von traditionellen Netzwerken bekannten Attacken hinausgehen und gezielt gegen die VoIP-Komponenten vorgehen. So seien etwa bereits erste Proof-of-Concept-Exploits für Sicherheitslöcher in den beliebtesten VoIP-Protokollen H.323 und SIP (Session Initiation Protocol) veröffentlicht worden.




Die Bedrohung lauert bei VoIP an allen Ecken und Enden. Recht offensichtliche Szenarien sind etwa Stromausfälle oder Denial-of-Service-Attacken, die das Netz einfach lahmlegen. Auch die Vorstellung von Viren und Würmern, die ein VoIP-Telefon oder das darunterliegende Betriebssystem kompromittieren können, erscheint nicht besonders ungewöhnlich. Immerhin lassen sich solche Vorkommnisse mit herkömmlicher Antiviren-Technologie, Firewalls und Intrusion-Detection/Prevention-Systemen halbwegs im Griff halten, und nach Totalausfällen durch DoS-Attacken und Stromausfall läuft das Netz meist schnell wieder reibungslos.





Beunruhigender sind für viele Experten Szenarien, bei denen ein Angreifer Telefonate abhört oder sogar aktiv in das Gespräch eingreift. Dabei wird die Tatsache genutzt, dass VoIP-Gespräche noch kaum verschlüsselt werden, die Technologie zum Abfangen von Datenpaketen aber schon lange gebräuchlich ist. Als Mann in der Mitte fischt der Angreifer die Datenpakete aus dem Netz und konvertiert sie in Sprachdateien – die Vertraulichkeit von Telefongesprächen ist verletzt. Durch die Injektion von SIP-Control-Paketen in eine Session kann ein Eindringling ins Netz sogar die totale Kontrolle über das Gespräch übernehmen.


Spit als Gefahr

An der VON-2004-Konferenz (Voice-over-Network) vom letzten Herbst haben Forscher von AT&T vorgeführt, wie sich ein Angreifer in ein Gespräch einklinken kann. Die Spezialisten haben gezeigt, dass man beliebige Wörter im Sprachduktus des Sprechers in eine Konversation einschleusen kann, ohne dass dieser davon überhaupt etwas merkt. Es gelang ihnen auch, komplette Voice-Mail-Nachrichten zu fälschen, die sogar von Sprachanalyse-Tools des FBI als echt deklariert wurden.




Als grosse Gefahr für den Erfolg von VoIP hat AT&T auch «Spit» (Spam over Internet Telephony) identifiziert: Spammer könnten künftig per Knopfdruck Tausende von Voice-Nachrichten gleichzeitig versenden, die dann nicht nur Voice-Mailboxen zumüllen, sondern auch bei anwesenden VoIP-Teilnehmern das Telefon dauerklingeln lassen – eine wesentlich nervtötendere und zeitintensivere Angelegenheit als
das tägliche Löschen der Spam-Mails im E-Mail-Client. Letztlich, so ein AT&T-Forscher, könnte als Gegenmassnahme gegen Dauer-Spit
nur das Ausstecken des Telefons helfen.
Ein weiteres Problem für die Akzeptanz von VoIP ist nach wie vor die Sprachqualität, die zwar im Normalbetrieb gute Werte erreichen kann, sich bei zunehmendem Netzwerkverkehr, der etwa durch Viren verursacht werden kann,
aber trotz QoS-Features rasant verschlechtert.





Nicht zu unterschätzen sind schliesslich die Probleme, die sich durch den VoIP-Einsatz für das normale Datennetz ergeben. So nutzen aktuelle VoIP-Protokolle für ein Gespräch zahlreiche, innerhalb eines bestimmten Bereichs zufällig ausgewählte Ports auf der Firewall, die sie zur Nutzung zwar öffnen, aber nicht wieder schliessen. Auf diese Weise öffnen VoIP-Gespräche quasi ein Scheunentor, das zu Port-Scanning-Attacken geradezu einlädt.
In einem aktuellen Report des amerikanischen National Institute of Standards and Technology (NIST) zählen die Experten insgesamt nicht weniger als zwölf weitere Sicherheitsprobleme in den Bereichen Vertraulichkeit, Integrität und Zuverlässigkeit auf – und betonen, dass ihre Liste keineswegs Anspruch auf Vollständigkeit erhebt (http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf
).


Vielerlei Lösungen

Gegen viele der Sicherheitsprobleme von Voice over IP stehen mögliche Lösungen bereit oder werden derzeit erforscht. So liessen sich etwa die beschriebenen AT&T-Attacken, aber generell auch Abhörversuche relativ einfach verunmöglichen, indem VoIP-Gespräche chiffriert würden. Die Ver- und Entschlüsselung eines Datenstreams erzeugt allerdings einen grossen Rechenaufwand – was nicht nur in grossen VoIP-Umgebungen zu Problemen etwa mit der Sprachqualität und hohen Kosten führt.






Zu hohen Kosten führen auch die Empfehlungen der Experten, wie die Sicherheit von VoIP erhöht werden könnte. Meistens geht es nämlich darum, die Sicherheitsmassnahmen, die in IP-Netzwerken selbstverständlich sind, zu erweitern. So können etwa die Kommunikationsserver rundum mit auf VoIP spezialisierten Firewalls und Intrusion-Prevention-Systemen abgesichert werden, und VPNs könnten für einen gesicherten Transport der Sprachpakete sorgen. Auch wird empfohlen, die Sprachnetze mittels VLANs von den Datennetzen zu trennen und das SIP-Protokoll wenn immer möglich nur verschlüsselt zu nutzen. Nicht zuletzt wird auch vom Einsatz von «Softphones» (Headset und Software auf dem Standard-PC) abgeraten; statt dessen sollten hardwarebasierte IP-Phones diesen potentiellen Schwachpunkt eliminieren.
Letztlich geht es wohl einfach darum, die (monetären) Vorteile von VoIP gegen die (sicherheitstechnischen) Nachteile sorgfältig abzuwägen und zu entscheiden, was für einen die höhere Priorität hat. Dabei darf allerdings nicht vergessen werden, dass eine Erhöhung der Sicherheit möglich ist, aber viel kostet – was die potentiellen Kostenersparnisse schnell auffressen kann.


Problemfall Notfallnummern

Ein spezielles Problem bilden in VoIP-Netzen die Notfallnummern wie etwa die 117 für die Polizei. Ruft man eine solche an (was voraussetzt, dass das Netz nicht gerade wegen Strom- oder eines anderen Ausfalls brachliegt), geht der VoIP-Anruf zunächst an den zentralen Kommunikationsserver, bevor er an den gewünschten Zielort weitergeleitet wird. Unproblematisch ist das nicht, wie das Beispiel einer geographisch verteilten Installation beim Krankenversicherer CSS zeigt: Ruft beispielsweise jemand in der Filiale in Genf die Polizei, geht der Anruf zuerst an den zentralen Server in Luzern. Dort wird festgestellt, dass der Anruf an eine Polizeistelle geleitet werden soll und die Anruferkennung in einer Tabelle nachgeschlagen. Aufgrund dieser Angaben schliesslich wird der Anruf an den passenden Polizeiposten in Genf geschickt. Die entsprechende Tabelle muss einmal täglich aufdatiert werden, damit sichergestellt ist, dass der jeweilige Anrufer auch tatsächlich mit seinem aktuellen Standort verknüpft ist.




Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER