Wie sicher ist VoIP eigentlich?

VoIP – im Visier der Cyberkriminellen
Kommentare

Etliche Anbieter nutzen seit einigen Jahren VoIP für die Sprachkommunikation, und die Telekom stellt gleich das komplette Telefonnetz auf VoIP um. Aber wie sicher ist das eigentlich?

Wie schon im Artikel über die Sicherheit von Autos und anderen mobilen Mitgliedern des IoT [1], geht es auch in diesem Artikel mit tatsächlichen Angriffen los. Und zwar mit ganz willkürlich ausgewählten, denn es gab noch etliche mehr. Aber ein Beispiel für jede Angriffsart reicht als „Existenzbeweis“ ja aus; Sie finden sie in der Zeitleiste.

Es gibt alle möglichen Angriffe – und wieso sind die möglich?

Die Cyberkriminellen fahren gegen VoIP-Systeme also das volle Programm möglicher Angriffe auf: Missbrauch der Dienste, (D)DoS-Angriffe, Ausspähen von Daten, es ist alles vertreten. Aber wie erlangen die Cyberkriminellen die Kontrolle über die VoIP-Systeme? Bei DDoS-Angriffen müssen die Systeme ja „nur“ zum Beispiel mit irgendwelchen Daten überflutet werden, um sie lahmzulegen. Daten ausspähen oder Dienste missbrauchen ist aber nur möglich, wenn die Cyberkriminellen Zugriff auf die Systeme erlangen. Aber auch das ist nicht unbedingt ein großes Problem. Vor allem dann nicht, wenn die Default-Passwörter nicht geändert oder von Anfang an schwache Passwörter verwendet werden.

Zeitleiste
2004-2006: Eine Million US-Dollar Gewinn durch Verkauf von Ferngesprächen
Schon 2004 bis 2006 konnte man mit Angriffen auf VoIP Geld verdienen [2, 3, 4]. Zwei Cyberkriminelle haben in den USA mehr als zehn Millionen Minuten Ferngespräche zu einem Bruchteil des üblichen Preises verkauft und illegal als VoIP-Telefongespräche über die Netze von einem Dutzend oder mehr Telekommunikationsanbietern geleitet.
Um die Herkunft der Telefonate zu verschleiern, leiteten sie die Gespräche über kompromittierte Router unbeteiligter Dritter. Den Zugriff auf die VoIP-Netze und Router verschafften sie sich mit Brute-Force-Angriffen. Ihr Gewinn: Mehr als eine Million US-Dollar. Von denen erhielt der für die Suche nach nutzbaren Routern zuständige „Partner“ nur 20 000 US-Dollar – und saß zwei Jahre im Gefängnis. Der andere Cyberkriminelle war zwischenzeitlich geflohen, wurde 2009 aber in Mexiko verhaftet und 2010 zu zehn Jahren Gefängnis und der Zahlung von einer Million US-Dollar Entschädigung verurteilt [5]. Dieses Verbrechen hat sich jedenfalls nicht gelohnt.
2008: Vishing – Phishing mit dem Telefon
Das Social Engineering von Phishing-Mails stößt an seine Grenzen, wenn die potenziellen Opfer den Rat ihrer Bank beherzigen, keine PIN, TAN und Ähnliches auf einer anderen als der eigenen Website einzugeben oder per E-Mail mitzuteilen. Daher haben die Cyberkriminellen einen neuen Weg gesucht, wie sie ihren Opfern die Daten doch abschwatzen können. Und „abschwatzen“ ist dabei das entscheidende Stichwort: PIN, TAN und Co. sollen nirgends eingegeben oder per E-Mail verschickt werden, aber man kann ja mal danach fragen. Beim Vishing („Voice Phishing“) erhalten die Opfer per E-Mail die Aufforderung, ihre Bank anzurufen [6]. Die zu wählende Telefonnummer ist in der Mail angegeben und im Allgemeinen ein VoIP-Anschluss – bei dem sich dann natürlich die Cyberkriminellen melden, nicht die Bank.
In einer Variante wird das Opfer über einen VoIP-Anschluss angerufen und zum Beispiel um die Bestätigung von Daten und die Angabe der Kartenprüfnummer gebeten [7]. Dabei wird oft die Anrufertelefonnummer gefälscht, sodass die beim Opfer angezeigte Telefonnummer die Nummer seiner Bank ist.
Weitere Varianten der Angriffe sind möglich [8], und VoIP-Anrufe mit gefälschter Anrufernummer werden auch im Rahmen anderer Angriffe eingesetzt.
2010: 13,5 Millionen US-Dollar Gewinn durch Premiumanrufe
2010 wurde in Rumänien eine Gruppe Cyberkrimineller verhaftet, die auf kompromittierten Servern ausgespähte VoIP-Zugangsdaten für Anrufe bei Premiumtelefonnummern genutzt hat [9]. Der Schaden wird auf mehr als 13,5 Millionen US-Dollar geschätzt.
2010/2012: DoS-Angriffe zur Vertuschung und als Geschäftsmodell
Die Cyberkriminellen können VoIP-Verbindungen nicht nur missbrauchen, um damit Geld zu verdienen – auch mit deren Lahmlegen lässt sich ein Geschäft machen. Der zum Beispiel 2010 vom FBI beschriebene Angriff wird – naheliegend – als „Telecommunication Denial of Service“ oder TDoS bezeichnet und dient in erster Linie dazu, von einem parallel laufenden anderen Angriff abzulenken – oder auch, ihn zu erleichtern [10]. Während des TDoS-Angriffs wird parallel das Onlinebanking des Opfers angegriffen, um Geld auf die Konten der Cyberkriminellen zu übertragen. Versuche der Banken, mit ihren Kunden telefonisch in Kontakt zu treten, scheitern an deren lahmgelegten Telefonanschlüssen.
2012 wurde berichtet, dass die TDoS-Angriffe von den Cyberkriminellen auch einzeln angeboten werden [11] – nicht nur für VoIP-Anschlüsse, sondern auch für herkömmliche Telefonanschlüsse. Im Fall von VoIP wird dabei oft auf SIP-Flooding zurückgegriffen: Die Geräte der Opfer werden mit Verbindungsanfragen überflutet, zum Beispiel, indem einfach ein Brute-Force-Angriff auf das Passwort durchgeführt wird. Erhalten die Angreifer dabei Zugriff auf das Gerät, haben sie quasi zwei Fliegen mit einer Klappe geschlagen und sowohl ihren Auftrag ausgeführt und den Anschluss lahmgelegt als auch Zugriff auf das Gerät, um es später für weitere Angriffe zu missbrauchen.
2013: VoIP-Anbieter kompromittiert, Benutzerdaten kopiert
Im Sommer 2013 wurde der VoIP-Anbieter Viber Opfer eines Angriffs der Hackergruppe Syrian Electronic Army (SEA) [12, 13]. Der Server support.viber.com wurde kompromittiert, persönliche (laut Viber aber keine sensiblen) Daten der Benutzer wurden kopiert und die Seite danach defaced. Auch die Beschreibung der Viber-App in Apples App-Store wurde geändert [14]. Laut Viber erfolgte der Angriff über per Phishing erbeutete Zugangsdaten.
Anfang 2014: Unbefugte Telefonate über ausgespähte SOHO-Router-Zugangsdaten
Anfang 2014 haben Cyberkriminelle über ausgespähte Zugangsdaten von außen auf FRITZ!Box-Router zugegriffen und darüber Telefonmehrwertdienste angerufen [15]. Etwas später meldete Sipgate, dass die VoIP-Accounts von auffällig vielen FRITZ!Box-Nutzern für teure Auslandstelefonate missbraucht wurden [16]. Die betroffenen Benutzer hatten vergessen, das beim Angriff auf die FRITZ!Box ebenfalls ausgespähte VoIP-Passwort zu ändern.
Oktober 2014: DDoS-Angriff zur Erpressung von Lösegeld
Am 23. und 24. Oktober 2014 führten Cyberkriminelle einen DDoS-Angriff auf sipgate durch [17]. Nach einem ersten Testlauf oder „Warnschuss“ am frühen Morgen des 23.10. folgte eine Mail mit einer Lösegeldforderung. Am Nachmittag des 23.10. und am frühen Morgen des 24.10. folgten dann zwei Wellen von DDoS-Angriffen, die sowohl die Erreichbarkeit der Website als auch die Internettelefonie der sipgate-Kunden teilweise stark beeinträchtigten. Weitere Angriffe am Abend des 24.10. sowie im Verlauf des 25.10. konnten von den ergriffenen Gegenmaßnahmen abgewehrt werden. Das Lösegeld hat sipgate natürlich nicht bezahlt.

Dann können die Cyberkriminellen einfach die Default-Zugangsdaten verwenden oder das Passwort über einen Wörterbuch- oder Brute-Force-Angriff ermitteln. Schon 2011 wurde von einem Exploit-Kit die SIPvicious-Suite per Drive-by-Infektion verteilt [18]. Die SIPvicious-Tools sind eigentlich harmlose Python-Skripte zur Auditierung von SIP-Systemen. Die Angreifer haben sie missbraucht, um über Brute-Force-Angriffe auf das Passwort Zugriff auf VoIP-Telefone im lokalen Netz der kompromittierten Rechner zu erlangen. Im Erfolgsfall haben die Cyberkriminellen dann über die gekaperten Telefone Gespräche geführt. Auch gibt es immer wieder Phishing-Angriffe auf VoIP-Nutzer, wie zum Beispiel im Oktober 2014 gegen sipgate-Kunden [19].

Und dazu kommen dann noch die Schwachstellen in Firmware und Weboberfläche der Geräte, zu denen ich gleich komme. Vorher geht es noch kurz um etwas anderes.

Wie finden die Cyberkriminellen ihre Opfer?

Hier muss man erst einmal zwischen Benutzern und Geräten unterscheiden. Benutzer werden zum Beispiel beim Phishing quasi mit der virtuellen Schrotflinte gejagt: Die Phishing-Mails werden meist einfach an irgendwelche E-Mail-Adressen verschickt. Viele dieser Mails werden von Spam- und Phishing-Filtern gestoppt, aber es erreichen immer noch genügend Mails ihre Empfänger. Und wenn dann Benutzer des abgephishten Anbieters dabei sind, fallen sie ja vielleicht auf die Mail herein. Alle anderen Empfänger werden die Mail als Irrläufer oder Spam betrachten und ignorieren.

Beim eben erwähnten Phishing-Angriff auf sipgate-Kunden zum Beispiel waren auch viele Nicht-sipgate-Kunden unter den Empfängern [20]. Die Phisher haben also einfach eine vorhandene Liste mit Namen und E-Mail-Adressen verwendet, um personalisierte E-Mails zu erstellen.

Und was die Geräte betrifft, so kann man die natürlich bei Shodan suchen. Oder selbst einen Portscan des gesamten Internets machen. Oder machen lassen. So geschehen zum Beispiel 2011: Das Botnet Sality hat im Februar 2011 anscheinend den gesamten IPv4-Adressraum auf VoIP-Endpunkte durchsucht [21].

Aber kommen wir nun zu den Schwachstellen. Die gab es schon reichlich, und dazu in allen möglichen Produkten. Für einige Schwachstellen wurden eindrucksvolle Proof-of-Concepts entwickelt, die auf Sicherheitskonferenzen vorgestellt wurden. Die dürfen hier natürlich nicht fehlen. Aber auch ganz „normale“ Schwachstellen sollen nicht unter den Tisch gekehrt werden.

Stellen Sie Ihre Fragen zu diesen oder anderen Themen unseren entwickler.de-Lesern oder beantworten Sie Fragen der anderen Leser.

Ein ideales Beispiel: Einige kritische Schwachstellen in Snom-Telefonen

Im Januar warnte das BSI in einer Kurzinfo vor kritischen Schwachstellen in Snom-Telefonen [22]. Die möglichen Folgen laut BSI: „Durch Ausnutzen dieser kritischen Schwachstellen kann ein entfernter, nicht authentifizierter Angreifer die IP-Telefone komplett komprimieren, d. h. Root-Rechte erlangen. Es ist u. a. möglich,

  • Hintertüren einzubauen, die sogar nach einem Zurücksetzen des Systems auf den Auslieferungszustand fortbestehen,
  • aus der Ferne das eingebaute Mikrofon zu aktivieren und dadurch den Raum, in dem das Telefon steht, abzuhören,
  • Telefonanrufe (getätigte und empfangene) anzuzapfen, z. B. indem ein Sniffer auf dem Telefon installiert wird,
  • Telefonnummern auf eine hochpreisige Servicenummer umzuleiten, wodurch hohe Kosten entstehen können,
  • das Telefon als Sprungbrett in das interne Netzwerk zu missbrauchen und weitere Systeme anzugreifen.“

Entdeckt wurden die Schwachstellen von SEC Consult [23], die sie am 31.10.2014 an Snom melden wollten. Laut des Advisories war das nicht ganz einfach, sodass die Beschreibung der Schwachstellen erst am 7.11. an die zuständige Adresse geschickt werden konnte. Auf der Mailingliste Full Disclosure meldete sich nach der allgemeinen Veröffentlichung des Advisories jemand, der einige der Schwachstellen bereits am 12. März 2014 an Snom melden wollte, allerdings keinen Erfolg hatte [24].

Die Schwachstellen umfassen zum einen die „üblichen Verdächtigen“ für webbasierte Oberflächen: XSS und CSRF, Path Traversal, Directory Traversal, direkter Zugriff auf sensitive Informationen wie Klartextpasswörter, Umgehen der Authentifizierung, Privilegieneskalation und ungesicherte Übertragung der Informationen vom Provisionierungsserver. Zum anderen schließen sie auch die Möglichkeit ein, über OpenVPN-Profile Befehle mit Root-Rechten auszuführen. Darüber konnte zum Beispiel ein SSH-Zugang eingerichtet werden, der sich auch durch einen Factory Reset nicht entfernen lässt. Die Schwachstellen wurden durch einen Firmware Patch behoben, der die webbasierten Schwachstellen korrigiert und den OpenVPN-Client aus dem Firmware Image entfernt [25]. Außerdem sollen möglicherweise installierte bösartige Skripte entfernt werden. Benutzer, die OpenVPN benutzen wollen, können es nachinstallieren, handeln sich damit aber auch die Schwachstelle bei der Verarbeitung von Profilen ein.

Snom weist in der Patch-Ankündigung darauf hin, dass nur Installationen betroffen waren, bei denen für den Webserver kein Benutzername und Passwort vergeben wurden. Zumindest im Fall der CSRF-Schwachstellen dürfte das nicht korrekt sein, denn CSRF-Angriffe dienen ja gerade dazu, eine Webanwendung ohne Kenntnis der Zugangsdaten zu manipulieren, indem einem angemeldeten Benutzer präparierte URLs untergeschoben werden. Im Advisory von SEC Consult gibt es keine Aussage über einen vorhandenen oder nicht vorhandenen Passwortschutz.

Ach ja: Man beachte die Feinheiten in Snoms Ankündigung [25] und in der History, wie zum Beispiel die Hervorhebung des Danks an die Entdecker der Schwachstelle. Als ich mich auf der CeBIT am Snom-Stand nach der Sicherheit der Geräte und insbesondere den behobenen Schwachstellen erkundigt habe, hat mein Gesprächspartner sich erst einmal fürchterlich darüber aufgeregt, dass die Österreichische Telekom ein Privatunternehmen damit beauftragt hat, die Sicherheit der Telefone zu untersuchen. Ein Privatunternehmen! Ich habe nicht gefragt, ob es dem Herrn lieber wäre, wenn öffentliche Stellen wie NSA und Co. das machen würden. Denn das haben sie bestimmt schon – aber ohne ihre Ergebnisse an Snom zu melden.

Aber betrachten wir kurz die gefundenen Schwachstellen: Zum einen sind es klassische Webschwachstellen, zum anderen eine Schwachstelle in einer Drittherstellerkomponente. Eigentlich genau das, was man bei den webbasierten Oberflächen im IoT immer wieder findet. Und das nach wie viel Jahren Entwicklung? „Sicherheit“ scheint bei der Entwicklung der Weboberflächen keine große Rolle zu spielen. Und zwar allgemein, nicht nur bei Snom. Die liefern hier nur gerade ein aktuelles Beispiel. Wenn Sie sich für die (Un)sicherheit der Webserver in Embedded Devices interessieren, empfehle ich Ihnen einen Vortrag von Michael Sutton auf der Black Hat USA 2011 [26]. Der ist zwar relativ alt, aber auch sehr eindrucksvoll. Michael Sutton hat die Webserver einer Vielzahl von Geräten auf Möglichkeiten für Angriffe hin untersucht und ist sehr oft fündig geworden. Unter anderem bei VoIP-Telefonen, aber auch bei einer Kaffeemaschine, Projektoren, Scannern, Kopierern und weiteren Geräten. Das Fazit der Vortrags: Der Anschluss von Geräten mit Embedded-Webservern ans Internet kann unliebsamen virtuellen Besuch nach sich ziehen.

VoIP auf Sicherheitskonferenzen

Auf den verschiedenen Sicherheitskonferenzen gab es eine Vielzahl von Vorträgen zur (Un)sicherheit von VoIP, bei denen auch immer wieder Angriffe auf Schwachstellen demonstriert wurden. Das Folgende ist nur eine kleine Auswahl.

Ist das ein Cisco-VoIP-Telefon, eine Wanze oder beides?

Ang Cui und Michael Costello von der Columbia University haben auf dem 29C3 im Dezember 2012 gezeigt, wie sich VoIP-Telefone von Cisco so manipulieren lassen, dass sich darüber der Raum, in dem sie stehen, abhören lässt [27, ,28, 29]. Ang Cui hatte den Angriff bereits kurz zuvor auf dem Amphion Forum 2012 in San Francisco demonstriert [30, 31, 32, 33].

Theoretisch, also laut Dokumentation, sollten die Telefone recht sicher sein: Die Firmware wird digital signiert, die verwendeten Verschlüsselungsverfahren sind FIPS-zertifiziert, die Administration ist nur über verschlüsselte HTTPS- oder SSH-Verbindungen möglich, allgemein ist die Angriffsfläche der Geräte minimiert. Das Gleiche gilt sinngemäß für die als Betriebssystem dienende Unix-Variante Cisco Native Unix (CNU). Praktisch schützt das alles nicht vor einem Angreifer, da der CNU-Kernel einige Schwachstellen bei den Systemaufrufen (Syscall) zur Kommunikation mit anderen Ebenen enthält. Darüber kann ein Angreifer das System einschließlich des Kernels kompromittieren.

Ang Cui und Michael Costello haben nur drei Änderungen am Gerät vorgenommen, um es in eine Abhörwanze zu verwandeln:

  1. Der Digital Signal Processor (DSP) wurde an die geplante Abhörfunktion angepasst, sodass die Audiodaten vom Hörer an den Angreifer geschickt wurden. Das war die aufwändigste Manipulation.
  2. Über den Kernel wurde die Ausgabe des Hörermikrofons auf „hoch“ gestellt (das Mikrofon für die Freisprecheinrichtung ließ sich nicht verwenden, da bei seiner Aktivierung eine LED eingeschaltet wird, die den Angriff verraten hätte) und dem Gerät vorgegaukelt, der Hörer sei abgenommen, sodass das Mikrofon eingeschaltet wurde.
  3. In der Java Virtual Machine wurde die Anzeige für das Abheben des Hörers manipuliert, sodass die Aktivierung des Mikrofons nicht durch das Icon für einen abgehobenen Hörer im Display angezeigt wird.

Der Angriff erfordert den physischen Zugriff auf das VoIP-Telefon, da eine kleine Hardware (ein RJ11/RS232-Bluetooth-Adapter) an den AUX-Port des Geräts angeschlossen werden muss. Darüber wird dann eine Bluetooth-Verbindung zwischen dem VoIP-Telefon und dem Smartphone des Angreifers hergestellt. Auf dem Smartphone läuft eine App, die das VoIP-Telefon auf Knopfdruck kompromittiert. Nach der Manipulation zeichnet das Gerät bei aufgelegtem Hörer alle Gespräche in der Umgebung auf und sendet sie an das mit ihm verknüpfte Smartphone. Während des Vortrags wurden die Audiodaten mittels Googles Speech-to-Text in Text umgewandelt und in der Präsentation ausgegeben.

Cisco hat die Schwachstellen gepatcht, allerdings lässt sich der Patch umgehen und der Angriff ist trotzdem möglich. Es sind auch Angriffe ohne direkten Zugriff auf das Gerät und damit aus der Ferne möglich. Zwei Monate später haben Ang Cui, Michael Costello und ihr Professor, Salvatore Stolfo, dann auf der RSA Conference 2013 ein schon auf dem 29C3 erwähntes, Symbiotes genanntes Schutzsystem vorgestellt, das solche Angriffe verhindern soll [34, 35].

Und das Gleiche nochmal, diesmal mit einem Avaya-Telefon

Auf der RSA Conference 2014 haben Ang Cui, Jatin Kataria, Michael Costello und Salvatore Stolfo einen ähnlichen Angriff präsentiert [36, 37, 38, 39]. Diesmal aber quasi „von Anfang an“.

Der Angriff beginnt mit einer präparierten PDF-Datei, bei deren Ausdrucken eine eigentlich längst behobene Schwachstelle in einem HP-Netzwerkdrucker ausgenutzt wird, um den Drucker zu kompromittieren. Aber wer installiert schon Firmware-Updates? Diese PDF-Datei ist im Beispiel ein Lebenslauf, der per E-Mail an die Personalabteilung geschickt wird. Beim Ausdrucken des Lebenslaufs wird der Drucker mit Schadsoftware infiziert, die eine Verbindung zu einem Command-and-Control-Server aufbaut. Im nächsten Schritt scannt der Angreifer vom Drucker aus das lokale Netz und findet dabei unter anderem ein VoIP-Telefon von Avaya. In dessen Firmware haben die Forscher zwei Schwachstellen entdeckt, die Avaya vor der Konferenz behoben hat [40]. Vom kompromittierten Drucker aus wird über diese Schwachstellen eine modifizierte Firmware auf dem Telefon installiert. Sie erlaubt es, das Telefon über den Drucker von außen zu steuern und zum Beispiel das Mikrofon einzuschalten, ohne dass dies durch ein Aufleuchten der entsprechenden LED angezeigt wird. Die über das Mikrofon aufgenommenen Gespräche werden noch auf dem Telefon in Textdateien umgewandelt, die dann an den Angreifer geschickt werden.

Alternativ können die Daten auch über Funk mittels einer „Funtenna“ [41] übertragen werden. Das ist laut Ang Cui und Michael Costello „an antenna that was not intended by the designer of the system to be an antenna, particularly when used as an antenna by an attacker“ [42] und wurde als Konzept schon auf dem 29C3 vorgestellt. Über den General-purpose input/output-Pin (GPIO) des Microcontrollers des Telefons wird ein Funksignal erzeugt; als Antenne dient in diesem Fall das Kabel für den Schalter, der einen aufgelegten Hörer signalisiert. Die Reichweite des Signals ist begrenzt, reicht aber aus, um die Daten aus einem Gebäude heraus zum in der Nähe wartenden Angreifer zu übertragen.

Zur Abwehr dieser Angriffe wurde von den Forschern AESOP, die „Advanced Embedded System Sec Ops“, entwickelt [43, 44].

Und noch mehr Angriffe auf Cisco-Telefone …

Ciscos VoIP-Telefone scheinen sehr beliebt zu sein. Zumindest bei den Sicherheitsforschern. Einige Beispiele:

  • Black Hat USA 2014 – Fatih Ozavci: „VoIP Wars: Attack of the Cisco Phones“ [45]. Vorgestellt wurden sowohl Angriffe auf den Cisco Unified Communications Manager und Cisco-VoIP-Clients als auch deren Missbrauch für kriminelle Zwecke sowie das von Fatih Ozavci entwickelte „Viproy VoIP Penetration Testing and Exploitation Kit“ [46, 47] zur Suche nach und Ausnutzung von Schwachstellen in VoIP-Implementierungen.
  • DefCon 22 – Fatih Ozavci: „VoIP Wars: Attack of the Cisco Phones“ [48, 49]. Hier gab es fast das Gleiche wie auf der Black Hat zu hören und zu sehen. Beide Konferenzen fanden nacheinander in Las Vegas statt – die Black Hat vom 2. bis 7. August, die DefCon vom 7. bis 10. August.
  • Hack in the Box Malaysia 2013 – Francisco: „Owning a Cisco VOIP Environment: Exploiting the Call Manager“ [50, 51]
    Vorgestellt wurden die Untersuchung von und Angriffe auf Ciscos Call Manager (den Unified Communications Manager, den auch Fatih Ozavci als Ziel ausgewählt hatte). Mithilfe von sechs Schwachstellen, darunter fünf auf der Konferenz erstmals präsentierten 0-Day-Schwachstellen, kann ein Angreifer ohne vorherige Authentifizierung die vollständige Kontrolle über den Call Manager erlangen und danach alle darüber verwalteten VoIP-Telefone manipulieren oder deren Telefonate belauschen.
  • Black Hat Europe 2012 – Enno Rey und Daniel Mende: „All Your Calls Are Still Belong to Us: How We Compromised the Cisco VoIP Crypto Ecosystem“ [52]
    Zunächst werden die Grundlagen sicherer Netze erläutert, dann folgen einige Fallstudien, die man auch als „schlechte Beispiele“ bezeichnen könnte. Nicht, weil sie ungeeignet wären, sondern weil es mit deren Sicherheit schlecht aussieht: Ein Versicherungsunternehmen, ein Callcenter, ein verarbeitendes Unternehmen, eine öffentliche Verwaltung – überall gab es ausnutzbare Schwachstellen. Als positives Beispiel wurde eine Organisation der Finanzwirtschaft genannt. Bei ihr wurde zwar VoIP nicht verschlüsselt und das Eindringen ins Voice-VLAN war wie bei den anderen Beispielen einfach, jedoch verhinderte der Schutz auf der Zugriffsschicht weitergehende Angriffe. Die Schlussfolgerung: Kryptographie löst nicht alle Probleme, kann aber dennoch hilfreich sein. Zumindest, wenn sie richtig implementiert ist. Das ist bei Ciscos Systemen nicht der Fall, wie danach gezeigt wurde. Das wiederum führt dazu, dass die Schutzmaßnahmen unterlaufen und die Geräte danach belauscht werden können.

Cisco-Telefone scheinen also nicht sonderlich sicher zu sein, und bei den anderen Anbietern sieht es auch nicht viel besser aus. Zum Glück kann die VoIP-Kommunikation verschlüsselt werden, sodass sie wenigstens unterwegs vor Lauschern sicher ist. Hoffentlich. Doch … war da nicht was? Gab es da nicht etwas von Edward Snowden? In der Tat: Die NSA spioniert VoIP-Verbindungen aus [53, 54]. Wahrscheinlich kann sie auch die Verschlüsselung zumindest teilweise brechen, aber dazu weiß man (noch) nichts Genaues. Doch was sagen die Sicherheitsforscher zu dem Problem?

Praktische Angriffe auf die VoIP-Verschlüsselung

Auf der Hack in the Box Malaysia 2013 haben Dominic Chell und Shaun Colley „Practical Attacks Against Encrypted VoIP Communications“ vorgestellt [55, 56]. Das Ergebnis ihrer Untersuchungen am Beispiel von Skype: Über statistische Modelle und weitere Methoden zur Verarbeitung natürlicher Sprache konnten sie bekannte Phrasen in Echtzeit in verschlüsselten VoIP-Verbindungen erkennen. Das Verfahren wurde dann weiterentwickelt, sodass im Endergebnis zumindest Teile von Livegesprächen über verschlüsselte VoIP-Verbindungen entschlüsselt werden können.

Viele Wege führen nach Rom. Und zu VoIP!

Schwachstellen in den VoIP-Endgeräten oder -Servern sind nicht die einzige Möglichkeit, wie ein Angreifer Zugriff auf VoIP-Telefonate erlangen kann. Eine weitere sind Angriffe auf die DSL-Router/Modems der Benutzer. Peter „Blasty“ Geissler und Steven Ketelaar haben auf der Hack in the Box Amsterdam 2013 gezeigt, wie einfach ein Angreifer aus dem Internet heraus DSL-Router von Zyxel kompromittieren kann [57]. Und sitzt der Angreifer erst einmal virtuell im Router, kann er auch zum Beispiel die darüber laufenden VoIP-Verbindungen belauschen.

Auf der Black Hat USA 2013 hat Ankit Gupta Schwachstellen in LTE-Netzen vorgestellt [58], die auch das darüber abgewickelte VoIP betreffen.

Und um noch einmal auf die oben schon erwähnten Webserver von Embedded Devices zurückzukommen: Auf der DefCon 22 haben CJ Heres, Amir Etemadieh, Mike Baker und Hans Nielsen mehr als 20 Geräte des IoT in 45 Minuten gehackt [59, 60, 61, 62]. Darunter ist mit dem Oomo Telo auch ein VoIP-Router.

Fazit

VoIP-Geräte enthalten Schwachstellen und lassen sich angreifen. Das war ja eigentlich nicht anders zu erwarten, oder kennen Sie irgendetwas (außer speziell gehärteten Systemen) im IT-Bereich, das absolut fehlerfrei und sicher ist? Von „Hello World“-Programmen und Ähnlichem einmal abgesehen. Und selbst die enthalten heutzutage wahrscheinlich sehr oft Fehler und Schwachstellen, weil diese in den verwendeten Bibliotheken enthalten sind. Schlimmer ist es, dass Cyberkriminelle diese Schwachstellen schon lange ausnutzen.

Auf der RSA Conference 2014 haben Ang Cui und seine Kollegen gezeigt, wie einfach ein VoIP-Telefon von Schadsoftware aus dem lokalen Netz kompromittiert werden kann [36, 37, 38, 39]. Mit der Umstellung der Festnetzanschlüsse auf VoIP steht bald in jedem deutschen Haushalt mindestens ein VoIP-Gerät. Was passiert, wenn die Cyberkriminellen sich entschließen, mit ihrer Schadsoftware nicht mehr nur Onlinebanking anzugreifen, sondern auch diese VoIP-Geräte? Viele dieser Geräte dürften unsicher konfiguriert sein oder Schwachstellen enthalten. Die Folgen eines groß angelegten Angriffs möchte ich mir gar nicht weiter ausmalen.

Die Telekom hat immer wieder Probleme mit den bereits auf VoIP umgestellten Festnetzanschlüssen. Wenn schon eine Telefongesellschaft VoIP nicht im Griff hat, wie sollen es dann erst die privaten Benutzer oder die IT-Admins in den Unternehmen schaffen?

Da hilft nur eins: auch für die Entwicklung von VoIP-Geräten und -Software müssen die Regeln des SDL gelten. Und vor allem die Grundsätze des „Secure by Design“, „Secure by Default“ und „Secure by Deployment“. Es darf zum Beispiel nicht sein, dass ein VoIP-Gerät in Betrieb genommen werden kann, ohne dass die Admin-Oberfläche mit einem sicheren Passwort versehen wurde. Oder dass Daten unverschlüsselt übertragen werden, wenn der Benutzer die Verschlüsselung nicht gezielt aktiviert. Oder dass sich das Gerät eine manipulierte Firmware unterschieben lässt. Außerdem müssen die vorhandenen VoIP-Geräte auf Schwachstellen geprüft werden. Und zwar sowohl in der Weboberfläche als auch in der Firmware selbst.

Sonst könnte es teuer werden, wenn die Cyberkriminellen sich im großen Stil darüber hermachen. Die Netze der Telekom sind (hoffentlich!) gut geschützt, aber die der Telefonkunden sind es eher nicht. Ich erinnere nur an den DNS-Changer, der vom infizierten Windows-Rechner aus die DNS-Einstellungen von SOHO-Routern manipulierte [63]. Was passiert wohl, wenn sich ein „VoIP-Changer“ aufmacht, VoIP-Telefone zu kapern? Mit der per Drive-by-Infektion verteilten SIPvicious-Suite [18] gab es einen ersten derartigen Angriff ja bereits.

Wenn Sie also ein VoIP-Gerät zu Hause stehen haben und dessen Administrationsoberfläche noch nicht mit einem Passwortschutz versehen ist: Aktivieren Sie ihn. Bevor die Cyberkriminellen Ihre Telefonrechnung in die Höhe treiben.

Entwickler Magazin

Entwickler Magazin abonnierenDieser Artikel ist im Entwickler Magazin erschienen.

Natürlich können Sie das Entwickler Magazin über den entwickler.kiosk auch digital im Browser oder auf Ihren Android- und iOS-Devices lesen. In unserem Shop ist das Entwickler Magazin ferner im Abonnement oder als Einzelheft erhältlich.

Links & Literatur

[1] Carsten Eilers: „Zu Lande, zu Wasser und in der Luft“; Entwickler Magazin 6.14

[2] Ken Belson, Tom Zeller jr.; New York Times: „2 Charged in Scheme Said to Defraud Internet Phone Providers“

http://www.nytimes.com/2006/06/08/technology/08voice.html?hp&ex=1149739200&en=8dd3cc2b5a48c640&ei=5094&partner=homepage&_r=0

[3] Dan Goodin; The Register: „Fugitive VoIP hacker admits 10 million minute spree“

http://www.theregister.co.uk/2010/02/03/voip_hacker_guilty/

[4] U.S. Attorney’s Office, District of New Jersey: „Hacker Pleads Guilty to Infiltrating VOIP Networks and Reselling Services for Profit“

http://www.fbi.gov/newark/press-releases/2010/nk020310a.htm

[5] Lucian Constantin; Softpedia: „Notorious VoIP Thief Gets Ten Years in Prison“

http://archive.news.softpedia.com/news/Notorious-VoIP-Thief-Gets-Ten-Years-in-Prison-158041.shtml

[6] Internet Crime Complaint Center (IC3) | Alert: Vishing attacks increase

http://www.ic3.gov/media/2008/080117.aspx

[7] Dawn Hicks; Federal Reserve Bank of Boston: „Vishing: Another Internet Fraud Scam“

https://www.bostonfed.org/consumer/spotlight/vishing.htm

[8] John LaCour; The PhishLabs Blog: „Vishing campaign steals card data from customers of dozens of banks“

http://blog.phishlabs.com/vishing-campaign-steals-card-data-from-customers-of-dozens-of-banks

[9] Paul Roberts; ThreatPost: „Report: Romanian Authorities Bust VoIP Hacking Group“

https://threatpost.com/report-romanian-authorities-bust-voip-hacking-group-121710

[10] FBI Podcasts and Radio: „TDOS: Telecommunication Denial of Service“

http://www.fbi.gov/news/podcasts/inside/tdos-telecommunication-denial-of-service.mp3/view

[11] Curt Wilson, Arbor Networks Blog: „DDoS attacks targeting traditional telecom systems“

http://www.arbornetworks.com/asert/2012/07/ddos-attacks-targeting-traditional-telecom-systems/

[12] Graham Cluley: „Viber has been hacked by the Syrian Electronic Army“

https://grahamcluley.com/2013/07/viber-hacked-syrian-electronic-army/

[13] Jordan Crook; TechCrunch: „Viber Attacked By Syrian Electronic Army“

http://techcrunch.com/2013/07/23/viber-attacked-by-syrian-electronic-army/

[14] Mark Gurman; 9to5Mac: „Viber hacking appears to extend to app’s App Store description“

http://9to5mac.com/2013/07/27/viber-hacking-appears-to-extend-to-apps-app-store-description/

[15] Carsten Eilers: „Linksys, AVM, Asus – Router in Gefahr“

http://www.ceilers-news.de/serendipity/456-Linksys,-AVM,-Asus-Router-in-Gefahr.html

[16] Ronald Eikenberg; Heise Security: „Jetzt VoIP-Passwort ändern: Kriminelle nutzen erbeutete Fritzbox-Daten aus“

http://www.heise.de/security/meldung/Jetzt-VoIP-Passwort-aendern-Kriminelle-nutzen-erbeutete-Fritzbox-Daten-aus-2155168.html

[17] sipgate: „Die DDoS-Story“

https://medium.com/@sipgate/ddos-attacke-auf-sipgate-a7d18bf08c03

[18] Jayendra Pathak; NSS Labs: „Drive by Download Using Python Script to Attack VoIP Phones“

https://www.nsslabs.com/blog/drive-download-using-python-script-attack-voip-phones

[19] Anna, sipgate-Blog: „Vorsicht: Phishing-Mail (21.10.2014)“

http://www.sipgateblog.de/vorsicht-phishing-mail/

[20] Kommentar unter Anna, sipgate-Blog: „Vorsicht: Phishing-Mail (21.10.2014)“

http://www.sipgateblog.de/vorsicht-phishing-mail/#comment-42283

[21] Alberto Dainotti, Alistair King, kc Claffy, Ferdinando Papale, Antonio Pescape; ACM SIGCOMM Internet Measurement Conference 2012: „Analysis of a „/0“ Stealth Scan from a Botnet“

http://www.caida.org/publications/papers/2012/analysis_slash_zero/analysis_slash_zero.pdf

[22] CERT Bund Kurzinfo CB-K15/0029: „snom Desktop IP Phone Firmware: Mehrere Schwachstellen ermöglichen u. a. das Erlangen von Administratorrechten“

https://www.cert-bund.de/advisoryshort/CB-K15-0029

[23] SEC Consult Vulnerability Lab Security Advisory < 20150113-0 >

https://www.sec-consult.com/fxdata/seccons/prod/temedia/advisories_txt/20150113-0_snom_IP_phones_Multiple_critical_vulnerabilities_v10_wo_poc.txt

[24] kapejod@googlemail.com; Mailingliste Full Disclosure: „Re: SEC Consult SA-20150113-0 :: Multiple critical vulnerabilities in all snom desktop IP phones“

http://seclists.org/fulldisclosure/2015/Jan/57

[25] Snom User Wiki: „8.7.5.15 OpenVPN Security Update“

http://wiki.snom.com/8.7.5.15_OpenVPN_Security_Update

[26] Michael Sutton, Black Hat USA 2011: „Corporate Espionage for Dummies: The Hidden Threat of Embedded Web Servers“

https://www.blackhat.com/html/bh-us-11/bh-us-11-archives.html#Sutton

[27] Ang Cui, Michael Costello; 29C3: „Hacking Cisco Phones – Just because you are paranoid doesn’t mean your phone isn’t listening to everything you say“

http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html

[28] Ang Cui, Michael Costello; 29C3: „Hacking Cisco Phones – Just because you are paranoid doesn’t mean your phone isn’t listening to everything you say“ – Video auf YouTube

https://www.youtube.com/watch?v=f3zUOZcewtA

[29] Ang Cui, Michael Costello; 29C3: „Hacking Cisco Phones – Just because you are paranoid doesn’t mean your phone isn’t listening to everything you say“ – Präsentation auf Yumpu

https://www.yumpu.com/en/document/view/7644473/cuicostellostolfo-29c3

[30] Michael Mimoso; ThreatPost: „Cisco VoIP Phone Hacked, Turned into Listening Device“

https://threatpost.com/cisco-voip-phone-hacked-turned-listening-device-121712/77324

[31] Michael Mimoso; ThreatPost: „Cisco VoIP Hacker Urges Closer Look at Firmware Security Vulnerabilities“

https://threatpost.com/cisco-voip-hacker-urges-closer-look-firmware-security-vulnerabilities-121812/77326

[32] Robert Vamosi; Forbes: „Cisco VoIP Phones Affected By On Hook Security Vulnerability“

http://www.forbes.com/sites/robertvamosi/2012/12/06/off-hook-voip-phone-security-vulnerability-affects-some-cisco-models/

[33] Michael Roden; GetVoIP: „Cisco: Attack of the Phones“

http://getvoip.com/blog/2012/12/26/cisco-attack-of-the-phones

[34] Holly Evarts; The Fu Foundation School of Engineering & Applied Science – Columbia University: „SEAS Computer Scientists Find Vulnerabilities in Cisco VoIP Phones“

http://engineering.columbia.edu/seas-computer-scientists-find-vulnerabilities-cisco-voip-phones

[35] Ang Cui, Michael Costello, Salvatore Stolfo; RSA Conference 2013: „How To: An IP Phone That Can’t be Used to Spy on You“

http://www.rsaconference.com/events/us13/agenda/sessions/135/how-to-an-ip-phone-that-cant-be-used-to-spy-on-you

[36] Ang Cui, Jatin Kataria, Michael Costello, Salvatore Stolfo; RSA Conference 2014: „Stepping P3wns: Adventures in Full Spectrum Embedded Exploitation & Defense“

http://www.rsaconference.com/events/us14/agenda/sessions/1132/stepping-p3wns-adventures-in-full-spectrum-embedded

[37] Ang Cui, Jatin Kataria, Michael Costello, Salvatore Stolfo; RSA Conference 2014: „Stepping P3wns: Adventures in Full Spectrum Embedded Exploitation & Defense“ Video

http://www.rsaconference.com/media/stepping-p3wns-adventures-in-full-spectrum-embedded-exploitation-defense

[38] Ang Cui, Jatin Kataria, Michael Costello, Salvatore Stolfo; RSA Conference 2014: „Stepping P3wns: Adventures in Full Spectrum Embedded Exploitation & Defense“ – Präsentation

http://aesop.redballoonsecurity.com/RBS_RSA_2014.pdf

[39] Michael Mimoso; ThreatPost: „Avaya to Patch Zero Days That Turn IP Phone into Radio Transmitters“

https://threatpost.com/avaya-to-patch-zero-days-that-turn-ip-phone-in-radio-transmitters/104506

[40] ASA-2014-099 – Avaya 9601/9608/9608G/9611G/9621G/9641G and B189 Endpoint Command Injection, Memory Modification and Code Execution Vulnerabilities

https://downloads.avaya.com/css/P8/documents/100178648

[41] funtenna auf GitHub

https://github.com/funtenna

[42] Michael Ossmann, mossmann’s blog: „Funtenna!“

http://ossmann.blogspot.de/2013/01/funtenna.html

[43] Red Balloon Security: „AESOP: Ubiquitous Embedded Security in the Post-Post-PC Threat Environment“

http://aesop.redballoonsecurity.com/RedBalloonSecurity_AESOP.pdf

[44] AESOP

http://aesop.redballoonsecurity.com/

[45] Fatih Ozavci; Black Hat USA 2014: „VoIP Wars: Attack of the Cisco Phones“

https://www.blackhat.com/us-14/speakers/Fatih-Ozavci.html

[46] Viproy VoIP Penetration Testing and Exploitation Kit

http://www.viproy.com/

[47] GitHub: fozavci/viproy-voipkit

https://github.com/fozavci/viproy-voipkit

[48] Fatih Ozavci; DefCon 22: „VoIP Wars: Attack of the Cisco Phones“

https://defcon.org/html/defcon-22/dc-22-speakers.html#Ozavci

[49] Fatih Ozavci; DefCon 22: „VoIP Wars: Attack of the Cisco Phones“ – Präsentation

https://defcon.org/images/defcon-22/dc-22-presentations/Ozavci/DEFCON-22-Fatih-Ozavci-VoIP-Wars-Attack-of-the-Cisco-Phones-UPDATED.pdf

[50] Francisco; Hack in the Box Malaysia 2013: „Owning a Cisco VOIP Environment: Exploiting the Call Manager“

http://conference.hitb.org/hitbsecconf2013kul/francisco-it-security-engineer-lexfo/

[51] Francisco; Hack in the Box Malaysia 2013: „Owning a Cisco VOIP Environment: Exploiting the Call Manager“ – Präsentation

http://conference.hitb.org/hitbsecconf2013kul/materials/D1T2%20-%20Francisco%20-%20Owning%20a%20Cisco%20VoIP%20Environment.pdf

[52] Enno Rey, Daniel Mende; Black Hat Europe 2012: „All Your Calls Are Still Belong to Us: How We Compromised the Cisco VoIP Crypto Ecosystem“

https://www.blackhat.com/html/bh-eu-12/bh-eu-12-archives.html#rey

[53] James Ball, Julian Borger, Glenn Greenwald; The Guardian: „Revealed: how US and UK spy agencies defeat internet privacy and security“

http://www.theguardian.com/world/2013/sep/05/nsa-gchq-encryption-codes-security

[54] Bruce Schneier; Schneier on Security: „How the NSA Exploits VPN and VoIP Traffic“

https://www.schneier.com/blog/archives/2014/03/how_the_nsa_exp.html

[55] Dominic Chell, Shaun Colley; Hack in the Box Malaysia 2013: „Practical Attacks Against Encrypted VoIP Communications“

http://conference.hitb.org/hitbsecconf2013kul/chell-colley/

[56] Peter „Blasty“ Geissler, Steven Ketelaar; Hack in the Box Amsterdam 2013: „How I Met Your Modem: Advanced Exploitation & Trojan Development for Consumer DSL Devices“

http://conference.hitb.org/hitbsecconf2013ams/peter-geissler-steven-ketelaar/

[57] Peter „Blasty“ Geissler, Steven Ketelaar; Hack in the Box Amsterdam 2013: „How I Met Your Modem: Advanced Exploitation & Trojan Development for Consumer DSL Devices“ – Präsentation

http://conference.hitb.org/hitbsecconf2013ams/materials/D2T1%20-%20Peter%20Geissler%20and%20Steven%20Ketelaar%20-%20How%20I%20Met%20Your%20Modem.pdf

[58] Ankit Gupta; Black Hat USA 2013: „LTE Booms with Vulnerabilities“

https://www.blackhat.com/us-13/archives.html#Gupta

[59] CJ Heres, Amir Etemadieh, Mike Baker, Hans Nielsen; DefCon 22: „Hack All The Things: 20 Devices in 45 Minutes“

https://defcon.org/html/defcon-22/dc-22-speakers.html#Heres

[60] CJ Heres, Amir Etemadieh, Mike Baker, Hans Nielsen; DefCon 22: „Hack All The Things: 20 Devices in 45 Minutes“ – Präsentation

https://defcon.org/images/defcon-22/dc-22-presentations/Heres-Etemadieh-Baker-Nielsen/DEFCON-22-Heres-Etemadieh-Baker-Nielsen-Hack-All-The-Things.pdf

[61] CJ Heres, Amir Etemadieh, Mike Baker, Hans Nielsen; DefCon 22: „Hack All The Things: 20 Devices in 45 Minutes“ Wiki

https://www.exploitee.rs/

[62] CJ Heres, Amir Etemadieh, Mike Baker, Hans Nielsen; DefCon 22: „Hack All The Things: 20 Devices in 45 Minutes“ – Video auf YouTube

https://www.youtube.com/watch?v=h5PRvBpLuJs

[63] Carsten Eilers: „“DNS-Changer“ – Was ist ein DNS-Changer?“

http://www.ceilers-news.de/serendipity/191-DNS-Changer-Was-ist-ein-DNS-Changer.html

 

 

Aufmacherbild: Cybercrime – two hands on keyboard in the dark von Shutterstock / Urheberrecht: hamburg_berlin 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -