Angriff der Spitter

SPIT droht zu einer ähnlich schadensträchtigen Belästigung zu werden wie Spam. Möglich wird diese Art von Werbung durch VoIP. „Dadurch sinken die Kosten für einen Anrufer enorm, und das können auch unseriöse Geschäftemacher oder Saboteure nutzen, um mit Hilfe von Computern massenhaft automatisierte Anrufe zu tätigen“, sagt Nicolai Kuntze vom Fraunhofer-Institut für Sichere Informationstechnologie.

Kuntze und seine Kollegen haben eine Simulationssoftware entwickelt, mit der sich die Verwundbarkeit von VoIP-Anlagen testen lässt. Erste Versuche zeigen: Alle Typen von VoIP-Anlagen sind betroffen, und es gibt noch keinen wirksamen Schutz.

Weitere Details enthält die Studie „SPAM over Internet Telephony and how to deal with it“ von Dr. Andreas U. Schmidt, Nicolai Kuntze (beide Fraunhofer SIT) und Rachid El Khayari von der TU Darmstadt. Sie ist unter www.sit.fraunhofer.de zugänglich. Den Quellcode des SXSM-Werkzeugs kann man unter code.google.com/p/sxsm herunterladen.

Die Bekämpfung von SPIT ist viel schwieriger als die von E-Mail-SPAM, weil Inhalte erst während des Gesprächs überprüft werden können. SPAM hingegen können Anti-Spam-Programme schon unterwegs auf einem Server erkennen und abfangen. Dass die SPIT-Versender (SPITTER) die Details der VoIP-Accounts – sprich die Telefonnummern – in den seltensten Fällen kennen, ist kein Hinderungsgrund: Die Wissenschaftler konnten zeigen, dass es mit relativ einfachen Mitteln machbar ist, Adressräume von VoIP-Anbietern zu ermitteln und dann einfach alle möglichen Zahlenkombinationen in diesem Bereich auszuprobieren. Da das auch parallel oder minimal zeitversetzt möglich ist, können die SPITTER problemlos Tausende von Anrufen in kürzester Zeit tätigen.

Die Forscher haben auf Basis des frei verfügbaren Testtools SIPp den SIP XML Scenario Maker (SXSM) entwickelt. SXSM simuliert einen SPIT-Anrufer und produziert SPIT-Testanrufe nach definierbaren Kriterien, versendet sie und speichert die entstehenden Rückmeldungen auf Empfängerseite in Tabellen, die dann ausgewertet werden können. Das Werkzeug arbeitet also wie ein Angreifer und zeigt dem Verteidiger hinterher seine Erfolgsbilanz. (dsc)