VoiP-Telefongespräche: Abhören leicht gemacht

Mit der Einführung von VoIP hätte die Chance bestanden, das Abhören von Telefonaten zu erschweren. Doch das Gegenteil ist passiert.

» Von Markus Schalch*, 29.05.2017 14:30.

weitere Artikel

Bildergalerie

Bildergalerie

Akustische Überwachung ist nichts Neues. So soll der Legende nach bereits Dionysios von Syrakus im 4. Jahrhundert vor Christus seine Gefangenen abgehört haben. Dazu verwendete er eine Grotte («Ohr des Dionysios») mit ausgezeichneter Akustik. Mehr als 2000 Jahre später ist das Abhören von Gesprächen noch immer allgegenwärtig. Der benötigte Aufwand ist extrem gesunken. Keine Grotte, sondern ein wenig Fachwissen reicht aus, um klassische Telefongespräche mitzuhören. Mit dem Vormarsch von VoIP und der damit verbundenen Einführung von neuen Standards hätte die Chance bestanden, zumindest das Abhören der Telefongespräche wieder zu erschweren.

In den durch die Schweizer Penetrationtesting-Spezialistin Oneconsult durchgeführten Audits, erleben die Experten immer wieder, dass genau das Gegenteil geschehen ist. Durch die Konsolidierung auf Standardprotokolle (IP, RTP, SIP) werden auch die Sicherheitsprobleme der betroffenen Protokolle geerbt und der Einsatz von lang erprobten Tools zur Analyse wird möglich. Auch wenn Anläufe zur Verschlüsselung der Gesprächsdaten vorhanden sind (z.B. SRTP), wird dies in der Praxis meist nicht eingesetzt. In den Standardeinstellungen grosser Hersteller werden oft sichere Protokolle deaktiviert. Ein aktives Handeln des Administrators, verbunden mit verschiedensten Kompatibilitätsproblemen ist erforderlich.

An folgendem praktischen Beispiel soll gezeigt werden, wie klein der Aufwand zum Abhören von Telefongesprächen innerhalb einer ungesicherten VoIP-Umgebung ist. Wir gehen nachfolgend von einem Angreifer aus, der die Möglichkeit hat, Pakete innerhalb des Netzwerks aufzuzeichnen. Dazu reicht es ei-nem Angreifer in der Regel, einen Netzwerkanschluss zu haben. Beispielsweise mittels ARP-Spoofing ist es auch in geswitchten Netzwerken kein Problem, die gewünschten Pakete aufzuzeichnen.

Nächste Seite: So einfach kann abgehört werden

Werbung

KOMMENTARE

UC Pro: 01-06-17 08:41

Zum Artikel: Jein, stimmt so irgendwie nicht ganz. Anständige VOIP Lösungen nutzen MTLS, TLS, SRTP und HTTPS... hat seinen Preis. Aber wir sehen ja wohin das führt wenn man auf Produkte setzt, die zu wenig auf Sicherheit setzen.
Und wer sich seine Anlage nicht vom Profi installieren lässt, dem ist nicht mehr zu helfen.

Thomas Moser: 29-05-17 15:58

Mann seid ihr Spezialisten. Panikmache, aber keine praktikablen Lösungen. Wie schalte ich denn nun SRTP bei IRGENDEINEM Telefonanbieter in der Schweiz ein? Na, merkt ihr was...? Keiner in der Schweiz bietet SRTP an (warscheinlich hat's die StaSi Idee Suisse verboten). Und war es notwendig, auch dem letzten Idioten noch aufzuzeigen, wie er Schnüffeln kann?!?!

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.