Sprachstörungen
Beschäftigen wir uns heute einmal mit Sprachstörungen: „Die Störung der gedanklichen Erzeugung von Sprache“ sagt Wikipedia. Stammeln, Stottern, Lallen … sind eher hinderlich für einen flüssigen Artikel. Daher fokussieren wir uns auf einen ganz speziellen und gefährlichen Ableger aus der Welt der Sprachstörungen: „Angriffe auf Sprachnetze“.
Oftmals nicht auf den ersten Blick erkennbar, leiden viele Netze heutzutage unter akuten Sprachstörungen. Die Krankheit beginnt meist schleichend und die Symptome sind alarmierend und tückisch. Immer wieder tauchen neue Krankheitsbilder auf, deren Verlauf nicht vorhersehbar ist. Fakt ist jedoch, dass die Erkrankung enorme Langzeitschäden anrichten kann. Die Betroffenen klagen über erhebliche Störungen und Beeinträchtigungen ihrer IT-Infrastruktur. Die Symptome hängen davon ab, wo sich der akute Entzündungsherd befindet. Die Parasiten nisten sich an den unterschiedlichsten Stellen ein und stürzen sich mit Begeisterung vorwiegend auf Opfer, bei denen die Sicherheitslücken am größten sind. Dabei stellen neuen Technologien immer wieder eine beliebte Angriffsfläche dar.
Am gefährdetsten sind hierbei u.a. VoIP-Architekturen. Da sie im Gegensatz zum so genannten Public Switched Telephone Network (PSTN) Medien nutzen, auf die viele Anwender Zugriff haben, erben sie all die Unzulänglichkeiten und Sicherheitsprobleme öffentlicher TCP/IP-basierter und lokaler Netzwerke. So heißt ihr Feind „Sniffer“, der auf Grund fehlender Abwehrkräfte seines Opfers Gespräche leicht mitlauschen kann. Mit einem Sniffer lässt sich der gesamte Verkehr innerhalb eines lokalen Netzwerks mitprotokollieren. Da die meisten Informationen unverschlüsselt über das Netzwerk gesendet werden, lassen sich diese ohne Probleme lesen. Alle Daten, die man darüber verschickt, werden zerstückelt und in handliche Datenpakete verpackt, die später beim Empfänger wieder zusammengesetzt werden. Als Gegenmaßnahmen empfehlen Experten zum Aufbau eines sicheren Immunsystems den Einsatz des Standards SRTP (Secure Realtime Transport Protocol), das sowohl die Manipulation als auch das Mitlesen von VoIP-Gesprächen erschwert. Allerdings ist der Schutz nur dann wirksam, wenn auch die Ausstattung des Gesprächspartners SRTP unterstützt.
VoIP wird darüber hinaus mit Vorliebe von modernen Phreakern befallen. Diese haben das kostenlose Telefonieren über Voice over IP zum Ziel. Um das Netz zu infizieren, benötigen sie lediglich ein paar Zugangsdaten eines VoIP-Teilnehmers. Da noch keine ausreichende und einheitliche Verschlüsselung für diese Technik angewandt wird, lassen sich diese Zugangsdaten leicht über das Netzwerk mitsniffen und decodieren. Diese gewonnen Informationen können so z.B. in „Hardware unabhängigen“ Dailern eingesetzt werden. Davor schützen lässt sich mit dem Standard Standard SIP over SSL (SIPS), der das Mitlesen von VoIP-Zugangsdaten erschwert. Allerdings wird dieser bislang von kaum einem Anbieter eingesetzt.
Aber auch für Phisher und Spammer ist VoIP eine optimale Plattform zur Ausbreitung. Denn nichts ist leichter als die Absenderkennung zu verändern oder das Messaging-System für SpIT (Spamming over Internet-Telefonie) und Phishing zu missbrauchen. Zum Schutz sollte das Opfer keine Zugangsdaten, Pin-Nummern oder Ähnliches per Telefon preisgeben.Aber Parasiten wie Sniffer haben es nicht nur auf VoIP-Architekturen, sondern auch auf ISDN abgesehen. Die ISDN-BusTopologie ist eine passive Topologie, das heißt, die angeschlossenen Endgeräte führen keine Wiederaufbereitung des Signals durch. Sie greifen Signale vom Bus ab oder senden auf dem Bus, wo sich das Signal dann in alle Richtungen ausbreitet (Diffusionsnetz). Dieses Verfahren ermöglicht es einem Angreifer, die Daten (Sprache, Fax, DFÜ-, RAS etc.) mitzulauschen und gegebenenfalls zu dechiffrieren. Das PSTN bietet nur bedingt eine Point-to-Point Verbindung, jedoch auf keinen Fall eine verschlüsselte Verbindung. Um sich zu schützen, empfehlen Experten: Niemals vertrauliche Informationen per Telefon, Fax oder sonstigen Datendiensten (z.B. DFÜ etc.) austauschen.
Eine weitere Ansteckungsgefahr bildet die Möglichkeit, von der TK-Anlage in die Datennetze vorzudringen. In diesem Fall sind alle Schutzvorkehrungen (Firewalls, IDS usw.) an den äußeren Schnittstellen wirkungslos, da der Angreifer an diesen vorbeigeht. Wer denkt, dass man hier physikalischen Zugang zu TK-Anlage oder Verteilerkasten haben muss, der irrt. Über die sog. Fernwartungszugänge, die jede TK-Anlage besitzt, ist es möglich, Gespräche zu belauschen, umzuleiten und selbst kostenlos zu führen. Da eine Großzahl der Hersteller „Masterpasswörter“ in den TK-Systemen hinterlegen bzw. benutzen, ist hier ein Zugriff sehr leicht möglich.
Ein gefährlicher Erreger in diesem Zusammenhang ist die Methode des Wardialing oder ISDN-Scanning. Dieses dient zur Identifikation des Typs des an der Nebenstelle betriebenen Dienstes (Sprache, Modem, Fax, ISDN-Daten). Der Schwerpunkt dieser Untersuchung wird bei den erkannten Modems, den Fernwartungszugängen von TK-Systemen, Einwahlsystemen und Faxservern liegen. Letztendlich werden die so identifizierten Ziele penetriert, die bei der Analyse als kompromittierbar eingestuft wurden. Als Gegenmaßnahmen sollten nicht benötigte Leistungsmerkmale und Fernwartungszugänge abgeschaltet und nur bei Bedarf aktiviert werden.
Während Wardialer bereits seit Jahren ihr Unwesen treiben, ist aktuell ein Keim aufgetaucht, der unter dem Namen „Call-ID-Spoofing“ bekannt ist und bei Missbrauch enorme Schäden anrichten kann. Oft dient die Rufnummer (CLIP) als Identifikationsmerkmal des Anrufers (z.B. bei Telefongesprächen, Fernzugängen, Anwendungen etc.). Das ISDN-Protokoll bietet jedoch technisch versierten Angreifern die Möglichkeit, die CLIP-ID mittels des Leistungs¬merkmals „CLIP – NoScreening“ zu manipulieren. So ist es möglich, jede beliebige Rufnummer dem Gesprächspartner bzw. dem TK-System an der Gegenstelle vorzutäuschen. Letztendlich können so Zugriffsbeschränkungen mittels Rufnummernidentifizierung umgangen werden, bzw. beim Social-Engineering unterstützend eingesetzt werden. Wenn die CLIP-ID als Identifikationsmerkmal dienen soll, sollte immer auf die network-provided anstatt auf die user-provided CLIP-ID zurückgegriffen werden.
Als eine der größten Gefahren im Internet sind so genannte „Denial of Service-Attacks“ zu nennen: Bei diesen Attacken werden Rechner im Internet zum Absturz gebracht, die dann vorübergehend anderen Nutzern nicht zur Verfügung stehen (deshalb auch »Denial of Service«, zu Deutsch: Verweigerung des Dienstes). Eines haben fast alle Attacken gemein: Sie nutzen die Unzulänglichkeiten des SIP (Session Initiations Protocol) aus. Mit dem einfachen Programm RingAll ist es möglich, jeden ungeschützten SIP-Client (Software- Client oder Hardware-Client) „abzuschießen“ und das Netz sprachlos zu machen.
Fakt ist, dass immer neue Gefahren in Sprachnetzen auftauchen, die sich parasitär ausbreiten und einnisten. Um Immunität gegen sie aufzubauen oder sie bei Befall wieder loszuwerden, empfiehlt sich die Entwicklung und Umsetzung eines wirksamen Schutzkonzeptes. Bei Risiken und Nebenwirkungen fragen Sie Ihren geschulten Administrator oder ICT-Sicherheitsexperten!
© 2012 FEiG & PARTNER