Um zu zeigen, wie einfach Kriminelle auf VoIP (Voice over IP)- basierende Firmengespräche zugreifen können, hat Peter Cox, Mitbegründer und früherer CTO des Firewall-Anbieters Borderware, als Proof of Concept die Software "SIPtap" entwickelt. Das Programm ist in der Lage, mehrere VoIP-Telefonate parallel zu überwachen, abzuhören und die Daten als WAV-Dateien abzuspeichern. Dazu genügt es, wenn ein PC im Firmennetz mit einem Trojaner infiziert wird. Der Hack soll aber auch auf ISP-Ebene (ISP = Internet-Service-Provider) funktionieren.
Mit Hilfe der über das Session Initiation Protocol (SIP) übertragenen Informationen kann das Programm die mitgeschnittenen Gespräche speziellen Anrufern und Empfängern zuordnen und sogar nach Datum sortieren. Während eines Anfang August gestarteten Testlaufs extrahierte die Software in einem Testnetz genügend Informationen, um zu beweisen, dass das Aufzeichnen von VoIP-Telefonaten zum Kinderspiel geworden ist.
Vermeintliche Sicherheit
Das Programm zeigt auf, dass Kriminelle Mittel und Wege finden können, um vertrauliche Daten von Unternehmen, Behörden und sogar Regierungen zu stehlen. "Wir befinden uns in den Anfangstagen von VoIP, aber es gibt eine Wissenslücke", erklärt Cox: "Firmen, die VoIP für interne Telefonate nutzen, wiegen sich in dem Vertrauen, sie seien sicher."
"Die Bedrohung besteht tatsächlich darin, dass ein Angreifer einen Trojaner erstellt und ihn passiv in einem Netz platziert, um so Anrufe von irgendwo aus dem Internet aufzuzeichnen", sagt Cox.
Das Abhören ist allerdings nur eine von vielen Gefahren, die die VoIP-Nutzung mit sich bringt. In einem Youtube-Video demonstriert der Security-Experte außerdem, wie VoIP-Spam funktioniert. Zusätzlich führt er vor, wie ein einfaches Script dazu genutzt werden kann, dass die IP-Telefonanlage (IP-PBX) eine Nebenstelle nicht mehr erkennt.
Sein grundsätzlicher Rat: "Firmen sollten beim Aufbau eines VoIP-Netzes die gleiche Sorgfalt walten lassen wie beim Programmieren einer Website."
Security-Experten wissen schon lange, dass sich VoIP-Telefonate ähnlich leicht abhören lassen wie herkömmliche Festnetzgespräche. Hinzu kommt das Problem, dass bei VoIP Sprache und Daten parallel in einem Netz transportiert werden. Um sich vor Abhörern zu schützen, empfiehlt es sich, auch intern VoIP-Gespräche zu verschlüsseln und Sprache und Daten im Netz logisch voneinander zu trennen. Eine mögliche Alternative ist der Einsatz des Internet-Telefoniedienstes Skype: So bekannte Jörg Ziercke, Präsident des Bundeskriminalamts (BKA), erst kürzlich anlässlich einer Tagung zum Thema Internet-Kriminalität, dass BKA-Experten Telefongespräche, die über den beliebten VoIP-Dienst getätigt werden, nicht entschlüsseln könnten. Grund dafür ist laut Security-Spezialisten, dass Skype dazu einen streng geheimen Algorithmus einsetzt und die Datenpakete zudem über ein verschlüsseltes P-to-P-Netz sendet. (mb)