Penetrationstests von VoIP und UCC: Das neue SySS-Tool "WireBug"

Internettelefonie setzt sich immer weiter durch: Sowohl Privat- als auch Unternehmensanschlüsse basieren heutzutage auf Voice over IP, kurz VoIP. Mit der Verbreitung der Technologie wächst auch die Angriffsfläche für böswillige Attacken. Insbesondere das Session Initiation Protocol (SIP), eines der Signalisierungsprotokolle für VoIP, ist ein beliebter Angriffsvektor: 51 % aller VoIP-Angriffe erfolgten 2016 über SIP. 2016 war eine Verdreifachung der Angriffe auf SIP zu verzeichnen – Tendenz bis heute steigend. Die Bedrohungen, die von solchen Angriffen/von Angriffen auf VoIP ausgehen, lassen sich unterteilen in die Kategorien „Stören“, „Abhören“ und „Betrug“. Gestört wird eine Verbindung, wenn über VoIP eingebrochen wird oder Dienste überlastet werden. Das Abhören beginnt damit, dass die Registrierung umgeleitet wird, um schließlich Datenpakete mitzuhören. Typische Formen des Betrugs sind: Mitarbeiter nachahmen oder teuer telefonieren.

Auf diese Entwicklung reagiert die SySS GmbH, indem Penetrationstests von VoIP-Infrastrukturen, -Systemen und -Technologien stetig optimiert werden. Zur diesem Zweck hat IT Security Consultant Moritz Abrell im Rahmen eines Forschungsprojekts ein Tool entwickelt: WireBug.

Voice over IP: So funktioniert internetbasierte Telefonie

Physisch unterscheidet sich VoIP nicht von der herkömmlichen Telefonie: Weiterhin besteht die Möglichkeit, ein physisches Telefon auf den (Schreib)Tisch zu stellen. Außerdem ist die Sprachqualität mittlerweile so gut, dass der neue Übertragungsweg nicht als solcher auffällt. Auch die Hardware an sich ähnelt der herkömmlichen Technik sehr. Und vor allem: Teilweise herrscht ein sog. Mischbetrieb, um auch alte Geräte – wie z. B. Faxgeräte oder analoge Modems – weiterhin betreiben zu können. Am PC (Softphone) fußt VoIP auf derselben Technik wie am festen Telefon: Es gibt stets ein Signalisierungsprotokoll und ein Medienprotokoll. Das bedeutet: Beteiligt sind zum einen Metadaten, die in erster Linie dem Gesprächsaufbau und dem Gesprächskontrollfluss dienen (Signalisierungsprotokoll), und zum anderen die eigentlichen Sprachdaten, die über die Medien übertragen werden (Medienprotokoll). Die Übertragungsarten sind im Prinzip ähnlich: Sie enthalten immer Informationen wie IP-Adresse, Endpunkte, Nummer, Identität etc. Die Unterschiede zwischen Softphone und festem Telefon sind geringfügig. Teilweise unterscheiden sich beide Varianten überhaupt nicht, weil die Implementation die gleiche ist.

Auf Basis des Internets zu telefonieren, bedeutet: Das Gespräch wird über das Internet Protocol (IP) übertragen. Dieser Übertragungsweg wird immer weiter ausgebaut. Die Deutsche Telekom arbeitet an einer vollständigen, flächendeckenden Umstellung auf VoIP. Eine komplette Abdeckung ist aufgrund der unzureichend ausgebauten Infrastruktur sowie Problemen bei Umschaltungen noch nicht erreicht, dennoch überwiegt VoIP bereits gegenüber älteren Übertragungsmöglichkeiten. In Bezug auf Infrastruktur und Verbreitung in Deutschland sieht der Standard aktuell so aus: Firmen und/oder Privatpersonen wenden sich an einen SIP-Provider und erwerben eine IP-Telefonanlage mit IP-Telefonen und IP-Clients. In diesem Zuge erhalten sie eine sog. SIP-Identität, die eigentliche Rufnummer. Ein Session Boarder Controller, die Sprachfirewall, registriert sich beim Provider. Wählt man eine Nummer, wird der Provider über VoIP angesprochen. Der Provider routet dann das entsprechende Ziel über verschiedene Server. Wie bei der herkömmlichen Telefonie hat man bei VoIP also trotz wechselnder IP-Adressen eine feste Telefonnummer. (Ursprünglich gedacht war das Session Initiation Protocol (SIP) so, dass es ähnlich wie E-Mail funktioniert, nämlich als Kontaktaufnahme zu einer Identität, die dann über IP-Adressen aufgelöst wird. Diese Funktionsweise hat sich u. a. aus Gründen der Gewohnheit und des Komforts der Nutzer nicht durchgesetzt: Die Eingabe einer kompletten SIP-Identität mit Sonderzeichen etc. konnte das etablierte Wählen einer Nummer nicht verdrängen.)

Insbesondere Unternehmen profitieren aufgrund des Kostenfaktors von VoIP: Standortübergreifende interne Kommunikation sowie jegliche externe Kommunikation, auch ins Ausland, sind mittlerweile via IP möglich. Der Nutzen beginnt bei der Infrastruktur, an der die Unternehmen sparen können: Echte Kupferleitungen sind unnötig, wenn einfach die bereits vorhandene IP-Infrastruktur verwendet wird. Auch dass bei Internettelefonie keine teuren Amtsgespräche mehr anfallen, ist aus finanzieller Sicht durchaus relevant. VoIP hat aber auch Schattenseiten: Mit dem Internet als Basis der Kommunikation bietet VoIP eine sehr große und breit gefächerte Angriffsfläche.

Voice over IP: Das sind die gängigsten Angriffswege

VoIP ist so angriffsgefährdet, weil die Geräte und die SIP-Endpunkte jeweils eine Verbindung nach extern ins Internet besitzen. Dadurch sind sie potenziell angreifbar und dies nutzen Angreifer auch vermehrt aus. Die Zahl der Angriffe auf VoIP-Endgeräte und -Server hat in den letzten Jahren deutlich zugenommen. Ein Penetrationstester kann solche Zahlen praktisch erhärten: Wer einen VoIP-Dienst als sog. Honey Pot anbietet, kann schon nach wenigen Minuten die ersten Angriffsversuche verzeichnen. Die Angreifer verfolgen meist die folgenden Absichten:

• Gespräche ins Ausland führen, um Kosten zu verursachen
• einen Denial-of-Service-Angriff durchführen, um die Verfügbarkeit der Systeme zu stören
• ein System übernehmen, um sich dann im internen Netzwerk weiter auszubreiten

Kosten verursachen fällt in die Bedrohungskategorie „Betrug“ und ist leicht erklärt: Durch den Anruf bei einer kostenpflichtigen Hotline, noch dazu im Ausland, können über ein Wochenende Kosten in Höhe von mehreren zehntausend Euro entstehen; an diesen bereichert sich dann der Angreifer.

Die Verfügbarkeit von Systemen durch einen Denial-of-Service zu stören, ist – keine Überraschung – eine Bedrohung der Kategorie „Störung“. DoS-Attacken haben häufig das Ziel, Unternehmen und ihre Abläufe lahmzulegen, dadurch Umsätze zu gefährden – und nicht selten, hohe Beträge für die Wiederverfügbarkeit der Systeme zu erpressen. DoS-Angriffe auf VoIP-Infrastrukturen und -Systeme ‚lohnen‘ sich insbesondere bei Callcentern.

Eine Verbindung zu kapern, um von dort aus in ein anderes Netzwerk oder in andere Bereiche eines Netzwerks zu gelangen, ist ein häufig anzutreffendes Angriffsszenario (sog. Pivoting). VoIP-Systeme sind selbst Computer, die ins interne Netzwerk kommunizieren. Gelingt es einem Angreifer, ein VoIP-System zu übernehmen, kann er sich weiter im Unternehmen ausbreiten, um Daten wie Passwörter, Dokumente, E-Mails etc. zu extrahieren oder zu manipulieren, und ggf. seine Rechte maximal eskalieren.

Die Angriffsfläche bei internetbasierter Telefonie ist besonders groß, weil mit dem Signalisierungsprotokoll und dem Medienprotokoll ZWEI Protokolle verwendet werden: eines für die Metadaten und eines für die Sprachdaten. Aus diesen zwei Protokollen ergeben sich unterschiedliche Angriffsmöglichkeiten: Die Signalisierung bzw. die Metadaten sind für Angreifer interessant, um bspw. Softwarestände von Geräten zu ermitteln, Identitäten zu fälschen, Rufe umzuleiten oder den Kontrollfluss des Gesprächs zu stören bzw. zu übernehmen. Auch das Extrahieren von Passwörtern liegt hier im besonderen Interesse der Angreifer, weil über dieses Protokoll die Registrierung und der Login erfolgen. Das Übertragungsprotokoll für die Sprachdaten, das User Datagram Protocol (UDP), wiederum bietet aufgrund der beschränkten Möglichkeit zur Verschlüsselung eine besondere Angriffsfläche. Die Sprachdatenpakete werden über UDP vom Client verschickt; ob sie beim Empfänger ankommen, wird allerdings nicht überprüft. Daraus ergibt sich ein erhebliches Problem: Die Kommunikation kann nicht mit dem üblichen Verschlüsselungsprotokoll Transport Layer Security (TLS) verschlüsselt werden.

Sind Sprachdaten nicht verschlüsselt, besteht Abhörgefahr. Ein Angreifer muss lediglich eine passende Position im Netzwerk, eine sog. Man-in-the-Middle-Position, einnehmen, um dann mit spezieller Software die Gespräche abhören zu können. Die Gesprächspartner bekommen davon nichts mit, der Angreifer kann unbemerkt ihr Gespräch belauschen.

Für VoIP existieren verschiedene Verschlüsselungsmethoden, die jedoch häufig Schwachstellen aufweisen, v. a. bei der Implementation durch die Hersteller. Teilweise findet überhaupt keine Zertifikatprüfung statt. Oder das eigentliche Secret, mit dem verschlüsselt wird, wird über die Signalisierung übertragen. Diese wiederum ist im Klartext oder sieht keine passende Identitätsprüfung der Gegenstelle vor. Zuweilen werden die Secrets auch in Logs für Debugging-Zwecke mitgeschrieben. Ein Angreifer kommt so leicht in ihren Besitz und kann im Nachhinein das verschlüsselte Gespräch wieder entschlüsseln.

In manchen Fällen nehmen die Hersteller die Implementierung aber auch so vor, dass ein Initialisierungspaket geschickt wird, um die Verschlüsselung mit dem Gegenüber zu initialisieren. Geht dieses Paket auf der Übertragungsstrecke verloren, findet ein Fallback statt: Damit das Gespräch geführt werden kann und die Verbindung nicht abgebrochen werden muss, wird das Gespräch dann unverschlüsselt übertragen.

VoIP bietet also viele Angriffsmöglichkeiten – entsprechend wichtig ist es, die Schwachstellen zu analysieren und Schutzmaßnahmen zu ergreifen.

Penetrationstests von Voice over IP-Infrastrukturen, -Systemen und -Technologien: So funktioniert Wirebug

Für eine fundierte Schwachstellenanalyse von VoIP-Anlagen existieren kaum Tools. Auf dem Markt verfügbar sind lediglich veraltete oder nicht funktionsfähige Testwerkzeuge. Vor diesem Hintergrund hat SySS IT Security Consultant Moritz Abrell im Rahmen eines Forschungsprojekts ein Softwaretool für Penetrationstests von VoIP-Systemen und UCC (Unified Communication and Collaboration)-Software und -Systemen entwickelt: WireBug. WireBug ist ein herstellerunabhängiges Toolset, das zahlreiche Subtools beinhaltet. So können alle wesentlichen Szenarien, die ein Penetrationstester berücksichtigen muss, abgedeckt werden. WireBug unterstützt den Testprozess von Beginn an, also bereits in der Discovery-Phase. WireBug beantwortet die Fragen: Welche Geräte gibt es? Welche Softwarestände haben die Geräte? Sind erste Hinweise auf Passwörter oder Identitäten zu finden? Das Toolset bietet viele netzwerkspezifische Angriffe. Beispielsweise enthält es Hilfsmethoden, um als Angreifer in eine passende Man-in-the-Middle-Position zu kommen, von der aus dann VoIP-spezifische und Layer 2-basierte Protokolle umgangen werden können. Des Weiteren ist WireBug in der Lage, den aktuellen Verschlüsselungs-Key zu extrahieren und damit verschlüsselte Gespräche zu entschlüsseln.

WireBug ist schon bei zahlreichen VoIP-Penetrationstests erfolgreich eingesetzt worden. Jedes Mal, wenn Moritz Abrell einem Kunden zuerst die verschlüsselte Version eines Gesprächs vorspielt und anschließend die entschlüsselte, sind Staunen und Schrecken groß. Teilweise verschafft WireBug dem Consultant Zugang zum Netzwerk und ermöglicht dadurch, Gespräche abzuhören oder Denial-of-Service-Zustände auszulösen. Herstellerspezifische Schwachstellen, die meist direkten, hochprivilegierten Zugang zum Gerät oder zum Server verschaffen, werden in den VoIP-Penetrationstests der SySS beispielsweise mit Netzwerkanalysetools wie Wireshark entdeckt.

Insbesondere in Unternehmen geht internetbasierte Telefonie mit Gefahren einher, da die VoIP-Geräte – ähnlich wie PC – automatisch ausgerollt und über einen Deployment Service mit Konfigurationen befüllt werden. In dieser Netzwerkkommunikation findet meistens eine Übertragung von Schlüsselmaterial, Zertifikaten oder anderen schutzwürdigen Werten statt. Problematisch dabei ist, dass ein frisch ausgepackter Apparat mit Werkseinstellungen die Identität des Servers des Unternehmens nicht kennt und sich ohne Identitätsprüfung zum Server verbindet. Dabei werden sensible Daten wie Passwörter, Konfigurationen und Zertifikate übertragen, was es einem Angreifer ermöglicht, sich als Server auszugeben, um so schützenswerte Daten zu extrahieren oder zu manipulieren. Um dies zu verhindern, empfiehlt die SySS GmbH: Nehmen Sie die Geräte initial in einem abgeschotteten Deployment-Netzwerk in Betrieb! Nur so können Sie im späteren Produktivbetrieb eine sichere Kommunikation gewährleisten. Achten Sie außerdem darauf, Einfallstore zu minimieren und die Geräte und Systeme so weit abzuschotten, dass keine unnötige Angriffsfläche besteht. Eine komplette Abschottung ohne Einschränkung der Funktionalität ist freilich nicht möglich, weil die Geräte eine Verbindung zu anderen VoIP-Endpunkten im Unternehmen sowie bei Cloud-Telefonie eine Anbindung ans Internet benötigen, um sich zum Provider verbinden und bei anderen Netzwerken registrieren zu können. Mit einem Session Border Controller, d. h. der Sprachfirewall, können diese Verbindungen jedoch sicher konfiguriert werden. Eine herkömmliche Firewall bietet hier keinen ausreichenden Schutz, weil sie nur auf unteren Schichten, sprich: bis zur eigentlichen Übertragung kontrolliert. Was in der Übertragung selbst stattfindet, entzieht sich ihrer Kontrolle. Dies kann ein Session Border Controller übernehmen und dadurch Angriffe verhindern. Setzen Sie also bei unternehmensübergreifender Kommunikation oder Kommunikation zum Provider einen geeigneten Session Border Controller mit passender Konfiguration ein!

Doch nicht nur die Anwender sind in der Pflicht: Die Hersteller von Voice over IP-Produkten und UCC-Software sind dringend aufgerufen, neben der Funktionalität auch die Sicherheit im Fokus zu haben. Freilich wollen und sollen Nutzer nicht durch Verbindungs- bzw. Gesprächsabbrüche verärgert werden. Trotzdem sollten Entwickler die passenden Implementationen der definierten Standards übernehmen und nicht eigene Verschlüsselungsmethoden oder Konfigurationen und Fallback-Methoden implementieren. Vernachlässigen Hersteller die Sicherheit zugunsten der Funktionalität, erleichtern sie Angreifern die Arbeit immens!