SIPtap macht VoIP-Abhören zum Kinderspiel

23.11.2007
Demonstration beweist: Selbst firmeninterne VoIP-Telefonate sind vor Hackern nicht geschützt.

Um zu zeigen, wie einfach Kriminelle auf VoIP (Voice over IP) basierende Firmengespräche zugreifen können, hat der britische Security-Experte Peter Cox, Mitbegründer und früherer CTO des Firewall-Anbieters Borderware, als Proof of concept die Software "SIPtap" entwickelt. Das Programm ist in der Lage, mehrere VoIP-Telefonate parallel zu überwachen, abzuhören und sie als Wav-Dateien abzuspeichern. Dazu genügt es, wenn ein PC im Firmennetz mit einem Trojaner infiziert wird, wenngleich der Hack auch auf ISP-Ebene (ISP = Internet Service Provider) funktionieren soll.

Mit Hilfe der über das Session Initiation Protocol (SIP) übertragenen Informationen kann das Programm die mitgeschnittenen Gespräche speziellen Anrufern und Empfängern zuordnen und sogar nach Datum ordnen. Während eines Anfang August gestarteten Testlaufs extrahierte die Software in einem Testnetz genügend Informationen, um zu beweisen, dass das Aufzeichnen von VoIP-Telefonaten zum Kinderspiel geworden ist.

Das Programm zeigt auf, dass sich die schlimmsten Albträume hinsichtlich der VoIP-Unsicherheit längst bewahrheitet haben und Kriminelle Mittel und Wege finden können, um vertrauliche Daten von Unternehmen, Behörden und sogar Regierungen zu stehlen. "Wir befinden uns in den Anfangstagen von VoIP, aber es gibt eine Wissenslücke", erklärt Cox: "Firmen, die VoIP für interne Telefonate nutzen, wiegen sich in dem Vertrauen, sie seien sicher."

"Die Bedrohung besteht tatsächlich darin, dass ein Angreifer einen Trojaner erstellt und ihn passiv in einem Netz platziert, um so Anrufe von irgendwo aus dem Internet aufzuzeichnen" sagt Cox.

Das Abhören ist allerdings nur eine von vielen Gefahren, die die VoIP-Nutzung mit sich bringt. In einem Youtube-Video demonstriert der Security-Experte außerdem, wie VoIP-Spam funktioniert. Zusätzlich führt er vor, wie ein einfaches Script die IP-Telefonanlage (IP-PBX) glauben lässt, dass eine Nebenstelle nicht mehr besteht.

Um Anwender über die mit der VoIP-Nutzung potenziell verbundenen Gefahren aufzuklären, will der Brite im Frühjahr 2008 die auf VoIP spezialisierte Beratungsfirma VoIPcode.org starten. Sein grundsätzlicher Rat: "Firmen sollten beim Aufbau eines VoIP-Netzes die gleiche Sorgfalt walten lassen, wie beim Programmieren einer Website." (mb)