Angriff auf Audio- und Videokonferenzen wird zum Kinderspiel
Mit dem Tool UCSNiff lassen sich Audio- und Videostreams zwischen VoIP-Telefonen künftig auch unter Windows belauschen. VideoJak kann Videosequenzen ins Netzwerk einspeisen und so zum Beispiel ein Videoüberwachungssystem blenden.
- Uli Ries
- Daniel Bachfeld
Die Entwickler des VoIP-Sniffers UCSniff haben auf der gestern zu Ende gegangenen Hacker-Konferenz Defcon Version 3.0 vorgeführt, die um zwei entscheidende Neuerungen erweitert wurde. Zum einen erkennt das von Jason Ostrom und Arjun Sambamoorthy programmierte UCSniff nun von VoIP-Telefonen übertragene Videodaten im Netzwerk automatisch, auch wenn sie mit den Audiodaten vermischt sind. Damit erfasst das Tool die in einer typischen sogenannten Unified-Communication-Umgebung auftretenden Audio- und Videokomponeten. Zum anderen soll die Software künftig auch unter Windows lauffähig sein – bislang war sie nur für den Einsatz in Kombination mit der auf Linux beruhenden Penetrationtestdistribution Back Track 3 gedacht. Die Entwickler wollen die neue Version in Kürze zum Download anbieten.
UCSniff setzt auf eine klassische Man-in-the-Middle-Attacke im Unternehmens-LAN, wofür es Ettercap benutzt. UCSniff 3.0 erkennt die in einen Voice-Datenstrom eingebetteten Videoströme (H.264) und konvertiert sie anschließend in eine getrennte AVI-Datei. Eine Besonderheit beim Einklinken in das Netzwerk ist der integrierte VLAN-Hopper: Das Tool erkennt, ob der Ethernet-Switch ein eigenes VLAN für die Audio- und Videokomponenten aufbaut. Um die vom übrigen Netzwerk und somit auch vom PC oder Notebook des Angreifers getrennten Daten mitschneiden zu können, gibt sich UCSniff als VoIP-Telefon aus und erhält somit von Switch die Freigabe für den Zugriff zum Voice-VLAN. Der Sniffer soll dabei die VLAN-IDs verschiedener Hersteller erkennen und automatisch das passende Ethernet-Paket an den Switch schicken. Anschließend startet das Tool die übliche ARP-Spoofing-Attacke.
Die Macher von UCSniff haben mit VideoJak noch ein weiteres Angriffstool im Programm. VideoJak kann beliebige Videosequenzen ins Netzwerk einspeisen und so zum Beispiel ein Videoüberwachungssystem blenden. In einer Live-Demonstration simulierten die Programmierer das Überwachen eines wertvollen Schmuckstücks im Museum (dargestellt durch eine Wasserflasche): Erst zeichnete das Tool 20 Sekunden lang die unberührte Flasche auf und spielte diese Sequenz anschließend immer wieder ein, während sich der "Dieb" unbemerkt vom "Wachpersonal" die Flasche greifen konnte.
Schutz vor Angriffen auf Unified-Communication-Systeme böte nach Ansicht der Experten das Verschlüsseln der Audio- und Videodaten. Nach Ansicht von Ostrom und Sambamoorthy nutzt in der Praxis aber lediglich nur ein von 20 Unternehmen die meist von Haus aus vorhandenen Sicherheitsoptionen der UC-Infrastruktur. (Uli Ries) / (dab)
