Hacking Voice-over-IP for Fun and Profit Marc Ruef | 09.07.2007 Es ist Dienstag und ich sitze gerade bei einem Telekommunikationsunternehmen im hauseigenen Labor. Neben mir sitzt Stefan (http://www.fadetoblack.ch/), dessen gegenwärtige Aufgabe darin besteht, die bestehende Voice over IP-Konfiguration der angedachten Lösung auf ihre Sicherheit hin zu untersuchen. Mit hping bewaffnet versucht er die von den jeweiligen Cisco-Geräten und der eingesetzten Firewall durchgesetzten Filter-Funktionen zu umgehen. Aufgrund der Mehrstufigkeit, das Ganze ist ein Gebastel ungeahnten Ausmasses, ist der Erfolg leider eher Bescheiden. Doch das wussten wir schon, als wir eine formale Analyse der Access Control Lists und des Firewall-Regelwerks vorgenommen haben. Obschon die einzelnen Regelsätze kleinere Mängel haben, wird über den ganzen Kommunikationskanal halt doch nur das zugelassen, was für den Betrieb wirklich erforderlich ist. Doch um was geht es hier eigentlich? Unsere Aufgabe besteht darin, die Gesamtsicherheit der neuen Voice-over-IP zu überprüfen. Es ist angedacht, dass Business-Kunden ihre eigenen Telefonanlagen (PBX) anbinden und damit den neuen Dienst nutzen können. Das Risiko besteht nun darin, dass der Endkunde Manipulationen auf seinen eigenen Geräten vornehmen kann, um so irgendwie das Routing- und Billing-Verhalten manipulieren zu können. Meine Aufgabe besteht in der Mutation der Konfiguration der jeweiligen Telefonanlagen. Mir stehen verschiedene Modelle zur Verfügung, wobei ich mich vorerst auf den Cisco CallManager (CCM) (http://www.cisco.com/en/US/products/sw/voicesw/ps556/index.html) stürtze. Dieses kommerzielle Produkt, es wird über ein eher ungeschickt strukturiertes Webfrontend verwaltet, lässt erweiterte Einstellungen der Telefonanlage zu. Sodann können neue Benutzer aufgeschaltet, Routing-Einträge modifiziert und das Antwortverhalten für bestimmte Leitungen festgelegt werden. Als erstes musste ich mich darüber ärgern, dass die Webschnittstelle ausschliesslich über den Microsoft Internet Explorer angesteuert werden kann. Eine kurze Durchsicht des HTML-Quelltexts hat gezeigt, dass da halt einmal mehr auch von einem grossen Hersteller unsinnige, veraltete und proprietäre Tags eingesetzt werden. Firefox tut sich zwar nur bei einigen wenigen Seiten und Elementen schwer, dennoch setze ich auf das verhasste Microsoft-Produkt. Schliesslich geht es hier nicht um einen Applikationstest im eigentlichen Sinn - der CCM befindet sich im besagten Szenario unter der Herrschaft des Kunden -, sondern um eine Kommunikationsanalyse. Erste Manipulationen an den zugewiesenen Nummernbereichen haben gezeigt, dass ich ohne weiteres Veränderungen vornehmen und Shared Lines (zwei Geräte mit der gleichen Nummer ansprechbar) kreieren kann. Soweit nichts besonders bzw. alles noch im Rahmen des vorgesehenen und erlaubten. Erweiterte Einstellungen liessen es jedoch zu, dass ich ebenfalls Nummern aus anderen Nummernbereichen einsetzen konnte. Sodann wies ich spasseshalber einem Gerät die Telefonnummer 31337 zu. Als ich den Testanruf auf mein Mobiltelefon tätigte, wurde auf diesem dann auch die besagte Nummer angezeigt. Irgendwie wäre es halt doch cool gewesen, könnte ich mir von nun an für sämtliche abgehenden Anrufe eine eigene Nummer zurechtlegen. Mit diesem Vorgehen wurde eigentlich schon bewiesen, dass die gegenwärtige Konfiguration den Sicherheitsanforderungen des Unternehmens sowie des Bakom nicht genügen könne. Schliesslich könnte nun jeder Kunde seine eigenen Nummern bestimmten. Diese Möglichkeiten für mich entdeckt wollte ich unbedingt einen kleinen Spassanruf tätigen. Sodann konfigurierte ich ein Gerät so um, dass dessen Nummer genau gleich lautete, wie die Privatnummer meines Chefs. Seine Frau war voraussichtlich zu Hause und damit konnte ich einen Anruf von ihr vortäuschen. Ich klingelte also auf seinem Mobiltelefon durch, da auf diesem der Heimnummer ein spezieller Klingelton zugewiesen ist. Ich wusste, dass er sofort annehmen würde, dass seine bessere Hälfte anrufen würde. So nahm er dann auch den Hörer mit einer lieblich süssen Stimme ab. Leider konnte ich mich nicht so sehr konzentrieren, alsdass ich wenigstens noch den Versuch unternehmen konnte, die Stimme seiner Frau zu imitieren. Deshalb hörte er wohl die nächsten 30 Sekunden nur ein Gelächter. Auch er musste ob dieser lustigen Situation lachen. Als ich mich wieder erholt hatte, habe ich ihm den Sachverhalt erklärt und aufgezeigt, dass damit das bestehende Problem zweifelsfrei identifiziert werden konnte. Jetzt geht es nur noch darum, die ausgemachten Schwachstellen für den Kunden zu dokumentieren. Ich nahm jedenfalls nicht an, dass er grosse Freude an diesem Fund haben wird. Einsteigern ohne weitreichendes Wissen bezüglich Netzwerksicherheit und Voice-over-IP kann ich das Buch Hacking Exposed VoiP: Voice Over IP Security Secrets and Solutions (http://www.amazon.de/dp/0072263644) ans Herz legen. Die technischen Grundlagen zum Thema - nämlich, dass es sich hierbei lediglich um spezielle Kleinstcomputer handelt - werden darin tangiert. Mapping, Ports, SIP und Denial of Service sind die typischen Themen dessen. Für professionelle Überprüfungen ist das Buch jedoch nicht geeignet.