PCWelt: Telefon-Lauscher: Internet-Telefonie abhörbar

[wichard]

Nicht zu leugnen ist nunmal, daß das Abhören und Sniffen für jederman mit VoIP wesentlich einfacher, als bei ISDN ist.

Das lege mir mal dar - wie gesagt, ich möchte den Fall des Abhörens am eigenen Switch, also innerhalb der eigenen vier Wände, ausnehmen. Ebenso außenvor möchte ich die Behörden lassen, welchen VoIP IMHO zur Zeit eher Probleme bereitet als die Arbeit vereinfacht.

Soll ich Dir per PN mal meine IP geben und Du hörst mich ab? Als Test, ob es wirklich für jederman so trivial ist?

VPN ist nur für bekannte feste Punkt-zu-Punkt-Verbindungen praktikabel, deswegen ist das für normale Telefonie ungeeignet.

Der Vorschlag des eigenen Root-Servers als VPN-Endpunkt wurde vorhin ja schon gebracht; dieser sichert zumindest "die erste Meile" ab.

Allerdings: Trotz bekannter Risiken sind mir Vorteile und Komfort von VoIP wichtiger...

Das ist dann wohl der selbe Grund, warum vermutlich 9x% aller Emails (Spam nicht eingerechnet) unverschlüsselt verschickt werden. Dabei wäre es bei fast allen Programmen durch einfache Plugins noch nicht mal ein Problem, PGP sauber und transparent nachzurüsten. Doch wer die VoIP-Kommunikation abhören kann, der kann auch Deine Mails lesen (und auch die Briefe? Dazu müsste er doch nur in das Verteilzentrum einbrechen oder einen Postboten bestechen! - PANIK!).

 

[susanne]

Die Gefahr für Angriffe in diesen Szenarien kommt daher IMHO nur von innerhalb der eigenen 4 Wände. Vertraut man seinen WG-Partnern nicht, muß das erwähnte VPN mit Gegenstelle außerhalb des Hauses (in vertrauenswürdigem Umfeld - wie auch immer man das erreichen will...) her.

Nein, es ging um Artikel in der PC-Welt, ja dieser hatte sein Hauptaugenmerk
auf das mithören von VoIP Telefonaten, und dies wurde mittels Vorstellung & Beschreibung eines Programmes bildlich "untermalt". Und darum geht es, dass mithören von Gesprächen sehen ich da gelassen, aber wenn mit wenigen Klicks jedermann (im WG/ Haus Netz) an alle Passwörter kommen kann, ist das schon sehr bedenklich! Und da kann man nicht genug Panik machen, dass z.B. VoIP - Email- Foren und sonstige Provider & Betreiber, endlich auf SSL, komplett & auschliesslich umsteigen!

 

[wichard]

aber wenn mit wenigen Klicks jedermann (im WG/ Haus Netz) an alle Passwörter kommen kann, ist das schon sehr bedenklich!

Ich hoffe doch, daß diese Erkenntnis nicht wirklich neu für Dich ist? Tatsache ist, daß die Abhörbarkeit durch Paketcaptures im Grunde vom Beginn des Internets an gegeben ist. Durch den Einsatz von Switches wurde die Lage immerhin etwas besser. Aber diese Tatsache ist definitiv nicht neu...

Nein, es ging um Artikel in der PC-Welt,

...welcher - in der Form, wie er geschrieben ist - wirklich Panikmache ist. Ich habe letztens einen Artikel in der Zeitschrift gelesen darüber, wie leicht ec-Karten zu fälschen sind. Total einfach!, hieß es da. OK, man braucht halt ein gewisses Equipement (welches auch nur ein paar kEUR kostet) sowie das Wissen über den geheimen Key der Bank. Wenn man den hat, ist es absolut einfach. Leider war dieser Key der Redaktion auch nicht bekannt - ist ja schließlich der geheime Schlüssel, aber wenn man mal in die Zentralrechner der Bank einbrechen würde und dort den (höchstwahrscheinlich ungesichert abgelegten) Secret Key klauen würde, dann wäre das absolut trivial, eine ec-Karte zu fälschen. Kann jedermann!
Soviel zum Schreibstil der PCWelt...

 

[susanne]

aber wenn mit wenigen Klicks jedermann (im WG/ Haus Netz) an alle Passwörter kommen kann, ist das schon sehr bedenklich!

Ich hoffe doch, daß diese Erkenntnis nicht wirklich neu für Dich ist?

Mir persönlich ist es sniffen ansich nicht neu/ unbekannt. Allerding war mir nicht bewusst, dass es mittlerweile Programme gibt, die es jedermann so einfach machen mit 2-3 Klicks Passwörter in Klarschrift zu ersniffen und anzuzeigen!


Selbst wenn ich von sniffing noch nie was gehört hätte, wäre ich dann unter 99% aller Internetnutzer, denn die wollen nur eins - einigermassen PRIVAT surfen und sich nicht mit sowas auseinandersetzen, wo es noch nicht mal Lösungsmöglichkeiten gibt. Oder hast du eine für mich?

 

[wichard]

Selbst wenn ich von sniffing noch nie was gehört hätte, wäre ich dann unter 99% aller Internetnutzer, denn die wollen nur eins - einigermassen PRIVAT surfen und sich nicht mit sowas auseinandersetzen, wo es noch nicht mal Lösungsmöglichkeiten gibt. Oder hast du eine für mich?

1. Möglichkeit: Suche Dir die Mitbewohner besser aus!
2. Möglichkeit: Lass Dir den DSL-Anschluß in Dein Zimmer legen; behalte Modem und Switch ebenfalls unter Deiner Kontrolle. An den anderen LAN-Ports des Switches liegt Dein Traffic nicht an und ist dort somit nicht abhörbar.
3. Möglichkeit: Diese wurde im Grunde schon genannt - zum Surfen nutze man https-Proxies. Die Frage ist: Kann man diesen (bzw. den Firmen auf der Gegenseite) vertrauen?
4. Möglichkeit: (Für Emails) Nutze Webmail. Hier ist zumindest die Login-Seite idR per HTTPS (SSL) gesichert, das Passwort also verschlüsselt. Wie sicher diese Verschlüsselung nun wieder ist, steht auf einem anderen Blatt.
5. Möglichkeit: Tunnele die Möglichkeiten 3 und 4 zusätzlich durch einen SSH-Tunnel zu einer vertrauenwürdigen Gegenstelle, welche die Pakete entschlüsselt und im Klartext weiterschickt. Dies verlagert die Abhörbarkeit ins Rechenzentrum und von Dir zu Hause weg.
6. Möglichkeit: Hör auf zu surfen (aber auch zu telefonieren, Auto zu fahren, die Payback-/ec-/Kredit-Karte einzusetzen, zu verrreisen, ein Hady zu benutzen, ...) Denn bei all diese Dingen bist Du mit hoher Wahrscheinlichkeit besser überwacht als zu Hause beim surfen.

Aber jetzt begebe ich mich dorthin, wo ich mir noch am unbeobachtesten vorkomme, wenn ich mal von den drei Häusern absehe, von wo aus man mittels Fernglas schon ins Zimmer gucken könnte: :grab:

 

[andreas]

.... ich möchte den Fall des Abhörens am eigenen Switch, also innerhalb der eigenen vier Wände, ausnehmen....

Ja, aber das ist doch genau das Abhörszenario, dass einfacher geworden ist. Ich betone einfacher! -natürlich konnte man es schon immer-

Nehmen wir mal einen Mittelständler, 50 Arbeitsplätze, Mitarbeiter Meier ist so einer von den Computerfreaks mit dem gefährlichen Halbwissen, PC-Welt und Computerbild-Leser und stinksauer auf den Chef.

Variante 1: Hicom Nebenstellenanlage mit Systemtelefonen und einem Primärmultiplex-Anschluß

Variante 2: VoIP-Anlage mit internen VoIP-Telefonen, konvergentes Netz (das ist ja eines der schlagenden Argumente)

imho dürfte es bei Variante 2 um etliches einfacher sein telefonie abzuhören und es ist nunmal bekannt, dass die meißten Angriffe auf IT-Infrastrukturen von innen statt finden.

Und selbstverständlich ist das nichts neues.....

 

[wichard]

Mitarbeiter Meier ist so einer von den Computerfreaks mit dem gefährlichen Halbwissen, PC-Welt und Computerbild-Leser und stinksauer auf den Chef.

...und übermorgen gefeuert.

imho dürfte es bei Variante 2 um etliches einfacher sein telefonie abzuhören

Meier muß an den Uplink des Switches kommen und sich dort dazwischenklemmen. Der einmalige Ausfall der ganzen Anlage wegen des gezogenen Steckers wird sicher noch keine großen Wellen aufwirbeln, aber dennoch wird sich ein ITler (welcher hoffentlich nicht der Herr Meier ist...) die Geschichte mal angucken. Dabei sollte ein zusätzlicher Hub sowie ein Rechner, welcher daran angeschlossen ist, eigentlich auffallen.

und es ist nunmal bekannt, dass die meißten Angriffe auf IT-Infrastrukturen von innen statt finden.

Das ist sicher richtig. Ich habe keine Zahlen, aber ich frage mich: Wieviele davon sind per "Rausschmuggeln" von Daten, wieviele durch Vireneinschleppungen etc, wieviele durch Hardwaresabotage? Da heutzutage eigentlich alle Netze geswitched sind, mußt Du nun einmal an den Uplink-Port des Switches, das Kabel ausstöpseln, damit in einen Hub, von da weiter zum nächsten Switch/Router. Vom Hub müssen die Daten noch auf einen Rechner, welcher wohl nicht der Arbeitsplatzrechner sein wird (der hat nur eine NIC), also muss noch ein weiterer Rechner her - welcher in der Nähe zu besagtem Hub steht, damit nicht 100m Kabel quer über den Flur liegen.

Ist da nicht die gute, alte Wanze einfacher und unauffälliger?

 

[andreas]

Meier muß an den Uplink des Switches kommen und sich dort dazwischenklemmen.

Nein, muß er nicht. Er macht das ganz geschickt per ARP-Attacke und leitet die Anfragen auf seinen Rechner um (Man in the Middle Attacke)

..dennoch wird sich ein ITler (welcher hoffentlich nicht der Herr Meier ist...) die Geschichte mal angucken. Dabei sollte ein zusätzlicher Hub sowie ein Rechner, welcher daran angeschlossen ist, eigentlich auffallen.

Dazu benutzt Meier seinen eigenen Rechner und lässt das Programm im Hintergrund laufen und bestimmt hat ihn irgendwann ein genervter Admin mindestens zum Hauptbenutzer auf seinem Rechner gemacht, damit er sich zum installieren des Programms nicht wirklich Mühe geben muß.

Da heutzutage eigentlich alle Netze geswitched sind, mußt Du nun einmal an den Uplink-Port des Switches

Nicht unbedingt siehe oben.

Ist da nicht die gute, alte Wanze einfacher und unauffälliger?

Tja... ich denke da eben auch ein bisschen an die psychologische Seite. Ich kenne jetzt den Herrn Meier nicht so persönlich ;-) aber vermutlich hat er einfach keine Lust für einen ISDN-Tester oder für eine Wanze Geld auszugeben und nimmt deshalb das kostenlose C&A Tool.

Ich gebe ja gerne zu, das für o.g. Attacken ein gewisses Know How vorhanden sein muß, aber ich bleibe dabei, dass es derzeit einfacher ist VoIP abzuhören als POTS. Wenn dann hoffentlich die Hersteller -von verunsicherten Kunden dazu gedrängt- anfangen eine serienmäßige Ende zu Ende Verschlüsselung ihrer Telefone zu implementieren, ist es dann wirklich einfacher die gute alte Wanze zu nutzen. Und bis das soweit ist, kann ich auch vermeintlich reisserischen Artikeln etwas abgewinnen und hoffe, dass das Sicherheitsbewußtsein dadurch zunimmt.

 

[wichard]

Da heutzutage eigentlich alle Netze geswitched sind, mußt Du nun einmal an den Uplink-Port des Switches

Nicht unbedingt siehe oben.

Ich ziehe (fast) alle Behauptungen zurück - ich hatte den verlinkten Artikel nicht bis zum bitteren Ende durchgelesen.

Ich kenne jetzt den Herrn Meier nicht so persönlich ;-)

Ach schade, hörte sich irgendwie danach an...

 

[andreas]

Ich hab den Artikel auch noch nicht gelesen, aber ich hab vor ein paar Wochen mal mit C&A "gespielt" und war doch erschreckt, _wie_ einfach das jetzt geworden ist. Die einzelnen Atacken sind ja nicht neu, wenn Du Zeit hast installier es dir mal. Es ist schon etwas erschreckend....

 

[sascha]

Zum Thema Switch habe ich im Wikipedia noch folgendes gefunden:

Es gibt jedoch auch Methoden, um den Datenverkehr anderer Leute mitzuschneiden, ohne dass der Switch kooperiert

• MAC-Flooding – der Speicherplatz, in dem sich der Switch die am jeweiligen Port hängenden MAC-Adressen merkt, ist begrenzt. Dies macht man sich beim MAC-Flooding zu Nutze, indem man den Switch mit gefälschten MAC-Adressen überlädt, bis dessen Speicher voll ist. In diesem Fall schaltet der Switch in einen Failopen-Modus, wobei er sich wieder wie ein Hub verhält und alle Pakete an alle Ports weiterleitet. Verschiedene Hersteller haben – wieder fast ausschließlich bei Switches der mittleren bis hohen Preisklasse – Schutzmaßnahmen gegen MAC-Flooding implementiert. Als weitere Sicherheitsmaßnahme kann für einen Port eine Liste mit zugelassenen Absender-MAC-Adressen angelegt werden. Datenpakete mit nicht zugelassener Absender-MAC-Adresse werden nicht weitergeleitet und können das Abschalten des betreffenden Ports bewirken.
• ARP-Spoofing – hierbei macht sich der Angreifer eine Schwäche im Design des ARP-Protokolles zu Nutze, welches häufig zur Auflösung von IP-Adressen zu Ethernet-Adressen verwendet wird. Ein Rechner, der ein Paket via Ethernet versenden möchte, muss die Ziel MAC-Adresse kennen. Diese wird mittels ARP erfragt (ARP-Request Broadcast). Antwortet der Angreifer nun fälschlicherweise mit einer gefälschten MAC-Adresse (seiner eigenen, daher die Bezeichnung Spoofing) zur erfragten IP, so wird das Opfer seine Netzwerkpakete an den Angreifer senden, welcher sie nun lesen und gegebenenfalls an die ursprüngliche Zielstation weiterleiten kann. Hierbei handelt es sich zwar nicht um einen Fehler des Switches, doch die Methode setzt die Sicherheitseigenschaft des Switches, nur eigene Pakete zu sehen, außer Kraft.

Der (billige) Switch ist also auch keine Zauberwaffe beim Thema Sicherheit. (ARP-Spoofing wurde ja bereits erwähnt.)

Gruß Sascha

 

[rajo]

und da gibt es noch viele andere Sachen, siehe
http://www.bsi.bund.de/literat/studien/VoIP/index.htm

 

[andreas]

Na, wo Du doch nun schon daran mitgearbeitet hast, kannst Du uns doch auch das wesentlichste sagen, oder

 

[The_Duke]

Da heutzutage eigentlich alle Netze geswitched sind, mußt Du nun einmal an den Uplink-Port des Switches, das Kabel ausstöpseln, damit in einen Hub, von da weiter zum nächsten Switch/Router. Vom Hub müssen die Daten noch auf einen Rechner, welcher wohl nicht der Arbeitsplatzrechner sein wird (der hat nur eine NIC), also muss noch ein weiterer Rechner her - welcher in der Nähe zu besagtem Hub steht, damit nicht 100m Kabel quer über den Flur liegen.

Habt ihr eigentlich alle noch nie von dem netten kleinen Programm ettercap gehört? Zumindest mit den alten 0.6er Versionen (die neue hab ich noch net zum laufen bekommen) ist es ohne Aufwand problemlos möglich auch in einem switched Netzwerk alles mitzulesen was über die Leitung huscht. Dazu tut ettercap einfach so als wäre der Computer selber ein Switch und empfängt daher den kompletten Datendurchsatz....

Gruß
René

 

[wichard]

ist es ohne Aufwand problemlos möglich auch in einem switched Netzwerk alles mitzulesen was über die Leitung huscht.

Ist ja nicht so, daß der Thread schon drei Monate alt ist und ARP Spoofing schon erwähnt wurde (nichts anderes macht das Programm ja...)


Gruß,
Wichard

 

[The_Duke]

Hmm, auf das Datum hatte ich gar nicht mehr geachtet^^Naja, AFAIK kann sich ettercap aber auch als Switch an dem richtigen Switch anmelden und bekommt daher jeden Datenstrom übermittelt... ARP Spoofing ist dort nur eine weitere Möglichkeit...Cain & Abel plus Etherreal tun aber auch guten Dienst