Sprachstörung

Seite 3: Cap'n Crunch lebt

Cap'n Crunch lebt

Neben den per RTP übertragenen Daten sind auch die SIP-Daten sehr interessant. So könnte das schon fast in Vergessenheit geratene Phreaking, also das Erschleichen von kostenlosen Telefonaten, durch VoIP wieder zu neuer Popularität kommen. Endgeräte übertragen per SIP Authentifizierungsdaten, die das SIP-Gateway etwa zum Verbindungsaufbau und gegebenenfalls zur Gebührenberechnung anfordert. Bekommt ein Angreifer die Daten in die Finger, so kann er kostenlose Anrufe innerhalb des jeweiligen Anbieters unter falscher Kennung durchführen und auch Anrufe über PSTN-Gateways ins normale Festnetz führen. Ob der Kunde bei überhöhten Rechnungen dann mit der Nachsicht des Providers rechnen kann, ist fraglich.

Falsche SIP-Kennung — Im SIP-Header lässt sich leicht die Anruferkennung manipulieren. Allerdings ist der Anrufer immer noch durch die IP-Adresse zurückverfolgbar

Zum Fälschen einer Rufnummernkennung ist aber nicht unbedingt ein fremde Identität notwendig. Durch kleine Änderungen im SIP-Header ist man in der Lage, einen anderen Anrufer vorzutäuschen. So sind statt Phishing-Mails zukünftig Phishing-Anrufe denkbar, bei denen Betrüger vorgeben, von der eigenen Hausbank zu sein und zur Kontenüberprüfung die PIN und eine TAN zu benötigen. Sowohl die Manipulation als auch das Mitlesen von SIP-Daten erschwert der Standard SIP over SSL (SIPS); allerdings setzt ihn bislang kaum ein Anbieter ein. Ein Grund dafür ist angeblich die zusätzlich erforderliche Rechenleistung zum Verschlüsseln.

Dialer ohne Modem

Auch die Dialer-Problematik könnte zu einem neuen Problem werden. Glaubten sich DSL-Anwender bislang vor solchen Schadprogrammen sicher, da diese auf Modems und ISDN-Karten angewiesen sind, so gibt es bereits erste Proof-of-Concept-Dialer für Softphones. Derlei Skripte wählen dann teure 0190- oder 0900-Rufnummern per VoIP an, sobald der Anwender eine bestimmte URL anklickt.

Noch sind die aufgezeigten Szenarien eher theoretischer Natur. Damit der flächendeckende Einsatz von VoIP aber später nicht zum Desaster wird, sollten Provider, Hersteller und Anbieter schon jetzt einige vorbeugende Maßnahmen ergreifen. Eine durchgehende Verschlüsselung per SSL sowohl bei SIP als auch bei RTP stellt dabei das Minimum für eine sichere Kommunikation dar. Privatanwender sollten daher bei der Providerwahl und beim Hardware- und Softwarekauf auf die unterstützten Protokolle achten. Wie auch bei Spam gibt es gegen Spit, also Spam per IP-Telephonie, keinen 100%-igen Schutz. Daher sollte der Nutzer darauf achten, ob und wo er seine VoIP-Kennung veröffentlicht.

Für Unternehmen empfiehlt das amerikanische National Institute of Standards and Technology (NIST) sogar, aus Sicherheitsgründen intern getrennte Netze aufzubauen [9]. Bei derlei Aufwand zum Schutz von VoIP schmilzt der Kostenvorteil allerdings schnell dahin.

Markus Burkard und Marco Di Filippo sind Security Consultants beim Dienstleister für IT-TK-Integration Visukom Deutschland.