Gleich mehrere Vorträge auf der Black-Hat-Konferenz beschäftigten sich mit der Sicherheit von Voice-over-IP (VoIP). So stellten Himanshu Dwivedi und Zane Lackey von der IT-Sicherheitsfirma iSEC Partners fest, dass VoIP noch genauso unsicher ist, wie vor vier, fünf Jahren.
In ihrer Präsentation zeigten sie ausführlich, wie leicht die VoIP-Standards H.323 und dem von den Linux-basierten VoIP-Servern Asterisk verwendete IAX (Inter Asterisk Exchange) angreifbar sind. Von DoS-Attacken über das Ausspähen von Passworten bis hin zum Mitlauschen von Telefonaten ist alles möglich – und dank einfach zu bedienender Tools auch für mäßig begabte Cracker machbar.
Der Autor des VoIP-Scanner SiVuS, Peter Thermos, demonstrierte eine ganz neue VoIP-Attacke: Er leitete den Datenverkehr um, der zwischen VoIP-Endgeräten wie Telefonen oder Softphones und dem Media Gateway ausgetauscht wird. Media Gateways werden in der Regel benutzt, um VoIP-Telefonate ins Fest- und Mobilnetz zu leiten und umgekehrt. Mit einer Man-in-the-middle-Attacke kann der Angreifer also komplette Telefonate belauschen, ohne im gleichen internen Netzwerk zu sein wie sein Opfer.
Sicherer voipen mit Zfone
Rettung vor solchen Attacken verspricht Phil Zimmermann. Der Erfinder von PGP hat sein Zfone getauftes Projekt bereits auf der Black Hat 2005 präsentiert. Zfone verschlüsselt das vollständige Telefonat, einschließlich des bei Crackern so begehrten Anrufaufbaus. Die dazu geschaffene Erweiterung des RTP (Real Time Protocol) nennt Zimmermann folglich ZRTP. Zfone setzt zwar auf den Austausch von Schlüsseln zwischen den Gesprächsteilnehmern, kommt jedoch ohne eine komplexe Public-Key-Infrastruktur aus und ist somit für jedermann fehlerfrei einsetzbar.
Laut Zimmermann ist Zfone extrem flexibel und lässt sich auf Windows- und Mac-OS-Rechnern genauso einsetzen wie auf Smartphones, die auf Symbian OS oder Windows Mobile basieren. Damit Zfone funktioniert, muss es von beiden Gesprächspartnern eingesetzt werden. Das schränkt die Wahl des Endgeräts momentan noch stark ein, da nur eine Hand voller Softphones mit Zfone klar. (Uli Ries/mja)
Sie interessieren sich für IT-Sicherheit? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von tecCHANNEL in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.
Links zum Thema IT-Sicherheit |
Angebot |
---|---|
Bookshop |
|
eBooks (50 % Preisvorteil) |
|
Software-Shop |