Experts waarschuwen voor veiligheidsprobleem VoIP

Samenwerkende onderzoekers van het Communications Research Network (CRN) hebben een statement gepubliceerd waarmee zij een veiligheidsprobleem van VoIP onder de aandacht willen brengen. Het gaat om een eigenschap van het huidige VoIP-netwerk waarmee criminelen die online actief zijn hun sporen kunnen maskeren. Hierdoor zouden VoIP-programma’s gebruikt kunnen worden om bijvoorbeeld de opdrachtgever van DDoS-aanvallen verborgen te houden. Normaal worden botnets gebruikt om een DDoS-aanval uit te voeren, waarbij het commando hiervoor via een IM-netwerk gegeven wordt. Deze netwerken zijn voor internetproviders te monitoren, zodat zij kunnen nagaan waar de opdracht vandaan kwam en waar de opdracht naartoe gaat. In sommige gevallen kan op die manier een DDoS-aanval voorkomen worden door vroegtijdig in te grijpen.

Cybercriminaliteit / laptop Het probleem met VoIP-netwerken is volgens het CRN het slecht monitorbare karakter van de data die over dit netwerk wordt verstuurd. De data over een VoIP-netwerk wordt bijvoorbeeld versleuteld om eventuele gevoelige informatie niet voor derden toegankelijk te maken. Mede hierdoor is VoIP-activiteit slecht bij te houden door internetproviders en zijn geïnfecteerde computers van een botnet slecht te traceren. Al helemaal moeilijk wordt het om de verantwoordelijken voor een DDoS-aanval terug te vinden. Tot nu toe zijn er nog geen gevallen bekend van georganiseerde aanvallen die via VoIP geïnitieerd zijn. Niettemin gelooft het CRN dat het slechts een kwestie van tijd is voordat dit gebeurt. Daarnaast zou dit type misbruik van internettelefonie het vertrouwen van gebruikers in deze service kunnen schaden.

De oplossing is volgens de onderzoekers dat VoIP-providers hun netwerkspecificaties openbaar maken of overstappen op open standaarden. Naast verbeterde monitorbaarheid van de infomatie die over het netwerk verstuurd wordt, noemt het CRN nog twee voordelen. Ten eerste kan VoIP eenvoudiger geïntegreerd worden met IM-software die gebruikmaakt van gesproken communicatie en ten tweede kunnen providers het VoIP-verkeer beter beheersen, zodat er betere kwaliteit telefonie geleverd kan worden.

IT-banen

Reacties (37)

smokalot 28 januari 2006 20:36

mmm, zo expert zullen die mensen ook wel niet zijn dan. Het is nu eenmaal mogelijk om encrypted te communiceren over het internet, en aangezien het in het belang is van een cracker om encrypted te communiceren met zijn botnet zal ie dat ook wel doen. VoIP heeft er niet zoveel mee te maken, behalve dat het een standaard medium is wat vaak encrypted wordt.

Ik zou eerder de botnets zelf een veiligheidsrisico noemen. Ik zou graag ISPs meer initiatief zien nemen om geinfecteerde PCs (of zelfs mensen met ongepatchte, vulnerable, windows installaties) in quarantaine te plaatsen. Moet allemaal automatisch kunnen.

reactie op FReNsJ:
bijvoorbeeld alle poorten dichtgooien, behalve poort 80 en 21. Of idd alleen microsoft.com. Of alleen nog maar $ISP.nl, waar alle patches staan.

FReNsJ @smokalot • 28 januari 2006 20:59

Maar hoe zouden die ongepatchte windows pc's dan gepatcht kunnen worden? PC in quarantaine (ik neem aan dat je bedoel; van het netwerk af) omdat hij niet up-to-date is, na x dagen/weken doen ze dit. En dan hebben ze een werknemer die iedere dag met een cd'tje met de laatste nieuwe windows-updates rondrijdt naar in quarantaine geplaatste pc's?

edit:
reactie op de edit hierboven

dan zullen er toch wel weer virussen of wormen of whtvr komen die ook speciaal die poorten gebruiken ofzo, niet?

Dat je enkel nog tot aan je eigen isp geraakt is idd misschien een oplossing, en die heeft dan een mirror van de windowsupdate.

Verwijderd @FReNsJ • 29 januari 2006 09:33

Xs4all heeft dit al een poosje,
als je pc besmet is en die spuugt het Iinternet vol
dan word je ip gebanned en krijg een "vang pagina"
daar in staat waarom je geen verbindig meer hebt etc.
om je antivirus enzo te kunnen updaten moet je verbinding maken via een speciale proxy server die al het verkeer filtert.
op het moment dat je je pc vrij hebt van de "vervuiling" bel je ze op, vertel je wat het was en hoe je het hebt verwijderd.
vervolgens wordt de ban teniet gedaan en kan je weer gewoon aan de slag.

ATS @FReNsJ • 28 januari 2006 21:02

Je zou de toegang kunnen beperken tot bepaalde domeinen. microsoft.com bijvoorbeeld.

Yen @smokalot • 28 januari 2006 21:23

En hoe kunnen de mensen in quarantaine dan updaten?

Dit is dus geen goede oplossing in mijn ogen.
Ik heb geen zin om als ik heel snel iets moet opzoeken, even windows te gaan updaten, te rebooten, ...
Trouwens, elk degelijk OS heeft een ingebouwde firewall.
Als dit niet he geval zou zijn zou je dit moeten installeren.

Ook zou het beter zijn mensen beter in te lichting over computers en veiligheid.
Aangezien Windows XP SP2 toch al aandringt om Windows Update aan te zetten zou dit toch al een hoop problemen oplossen.

On topic:
En met het hele veiligheids gevaar van VoIP overdrijven ze ook serieus...
Alle argumenten die CRN gebruikt zouden zonder probleem ook mogelijk zijn bij andere protocollen.

dr snuggles 28 januari 2006 20:11

Met andere woorden: Encrypted voip kan gebruikt worden voor ddos aanvallen. Dus vooral niet encrypten hoor!

Volgens mij is er iemand bang dat de telefoonlijnen binnenkort niet meer afgeluisterd kunnen worden. Stel je toch eens voor dat iemand zo maar onder volledige privacy kan zeggen wat hij wil! Het valt mij nog mee dat ze het modewoord van 2001~2005 niet gebruiken: Terrorrisme-"bestrijding".

boiert 28 januari 2006 20:02

Ik begrijp niet wat dit speciaal met Voice over IP te maken heeft, elk netwerk wat encryptie kan gebruiken is toch een mogenlijk "gevaar".
Ik vraag me af hoe ze dit bedoelen trouwens, meestal is een VoIP gesprek met 2 mensen en dus geen broadcast naar alle bots in je net,
en dan nog, hoe wil je data versturen, de meeste bots begrijpen nog geen gesproken tekst, moet je dan een analoog modem op Skype gaan aansluiten?

Freakertje @boiert • 28 januari 2006 21:15

IM's zijn meestal ook slechts 1 op 1, maar je kent vast wel die progjes die, als je ze activeert, naar al je contacten die online zijn een berichtje sturen en je dan afsluiten. Ik gok dat dit ook wel voor VoIP mogelijk zal zijn, denk aan Skype, daar heb je ook een online buddies list in zitten.
(Voobeeldje dat ik zelf heb meegemaakt: een .exe die iedereen het zinnetje "Wil je neuken" stuurde en toen mijn messenger afsloot.... Vroegah... toen ik nog onwetend was....

)
En Skype ondersteund ook al conference calls, dus VoIP is zeker niet meer alleen 1 op 1.

Dat ze geen gesproken tekst verstaan: Basaal gezien wordt uiteindelijk alles dat per kabel wordt verstuurd herleid tot nullen en éénen. Als de bot dat begrijpt dan kan zelfs in spraak een code verborgen worden.
Ik heb me verder niet in VoIP datatransmissie verdiept, maar ik vermoed dat er altijd wel wat overhead mee verstuurd wordt. Als die overhead de juiste code bevat om de bot te activeren dan ben je er al.
Fictie: Stel dat ik al mijn vrienden besmet en de activatiecode een belletje van mij laat zijn. Dan is het bellen naar al mijn vrienden al voldoende om de DDoS in gang te zetten. Slechts bedoeld om je een idee te geven, in praktijk zal het wel niet zo makkelijk zijn, maar der is maar één idioot met vodoende talent voor nodig om zoiets te maken....

Verwijderd @Freakertje • 29 januari 2006 11:11

bedankt voor alle tips

(grapje)

LauPro @Freakertje • 29 januari 2006 13:13

Het lijkt me stug dat men in een VoIP-protocol 'overhead' gaat stoppen waar je executable code in kwijt kan. Met name omdat dataverkeer relatief duur is en zo'n VoIP-protocol dus zo efficiënt mogelijk daarmee om moet gaat.

ATS 28 januari 2006 20:22

Botnetwerken kunnen op zoveel manieren aangestuurd worden. Bijna elke internettechnologie zou je zo kunnen gebruiken, inclusief postings op usenet of op webpagina's. Ik zie niet waarom VoIP nu ineens een groot en gevaarlijk probleem is eigenlijk. De versleuteling die gebruikt kan worden voor VoIP is voor veel meer netwerken mogelijk (Jabber anyone?) Zijn die nu dan ook ineens "gevaarlijk"?

Yucko 28 januari 2006 19:50

Blijkbaar is het zo dat een DDoS aanval veelal in werking gesteld wordt via het Instant-Messenger gebeuren, maar dat dit wellicht in de toekomst gaat gebeuren door via VoIP een commando te geven daar de encryptie die gebruikt wordt in VoIP het moeilijk maakt om dit soort dingen te onderscheppen en tracen.

Correct me if I'm wrong

bartvb

@Yucko • 28 januari 2006 21:30

Het lijkt vooral om Skype te gaan, Skype is een van de weinige VoIP oplossingen die versleuteld en gesloten is. Verder heb je in hoofdlijnen nog SIP ((brakke) open standaard), AIX (open, protocol van Asterisk) en Jingle (open, Jabber/XMPP/GoogleTalk).

Probleem van skype is idd dat officieel alleen de makers van Skype weten hoe je een Skype verbinding opzet. Bij de alternatieve protocollen is gewoon bekend hoe deze werken en is het dus makkelijker om verbindingen na te trekken. Een andere, in dit opzicht vervelende, eigenschap van Skype is dat een verbinding tussen A en B via C kan lopen waarbij C een willekeurige Skype gebruiker is. De andere protocollen zetten een directe verbinding op via de endpoints en/of via de VoIP server.

Maar eeh, botnets via IM? Je ziet wel regelmatig dat de zombie PCs contact maken met een IRC server waar ze opdrachten ontvangen, maar via de normale instant messenging programma's heb ik nog niets gezien? Zou ook nogal dom zijn aangezien al die berichten via de servers van Microsoft/AOL/Yahoo gaan. Behalve bij Jabber/GoogleTalk dan maar dat is nogal lastig te gebruiken voor een botnet aangezien er tig clients zijn voor Jabber ipv 1 officiele client zoals bij de commerciele netwerken.

Verwijderd @bartvb • 29 januari 2006 01:01

Verder heb je in hoofdlijnen nog SIP ((brakke) open standaard),

Heerlijk die "kenners". SIP is botweg de enige van de hier genoemde VOIP engines die voor professioneel gebruik geschikt is. Vandaar dat de bedrijven als 3com, cisco en ayaya dat protocol gebruiken.

Maar SIP is enkel het Session Initiation Protocol en wordt ook gebruikt in toepassingen die niets met VOIP te maken hebben.

Verwijderd @bartvb • 28 januari 2006 21:50

gebruikt googletalk niet SIP? Volgens mij wel namelijk, jingle was dan ook een library die dit o.a. ging implementeren

DeadMetal @Verwijderd • 28 januari 2006 22:54

Nee, nog geen SIP. Zie mijn bericht van vandaag in de meuktracker:
http://tweakers.net/react...=Posting&ParentID=1528106

parcol @bartvb • 28 januari 2006 22:37

<conspiracy mode>En ik vond het toen al zo verdacht toen ik Skype voor de eerste keer downloadde en installeerde. "No Spyware" werd wel heel erg benadrukt op de site terwijl Kazaa van deze broeders er vol mee zat.
Maybe stupid but als Skype berichten niet te onderscheppen vallen, wie kan dan bewijzen dat er al geen DDoS-aanvallen mee gepleegd of opgestart zijn?</conspiracy mode>

Ik vraag me trouwens af hoeveel mensen er door dit soort berichten op het idee worden gebracht om hier iets mee te doen. Net als dat bericht over dat de rootkit een mogelijke overstap naar BIOS maakt. Wie heeft er nu dan belang bij om dit soort berichten de wereld in te helpen?

scsirob @parcol • 28 januari 2006 23:27

Er is wel eens iemand geweest die geconstateerd heeft dat bij het opzetten van een Skype call er wel heeel veel verbindingen opgezet werden, onder andere naar Israelische IP ranges.. Over conspiracy mode gesproken...

Chatslet @parcol • 29 januari 2006 00:23

Ja zoiets noem je peer 2 peer. Skype is een peer 2 peer voip client want inhoud dat het op een gedecentraliseerd netwerk werkt. Een bijkomstigheid hier van is dus dat jouw versie van skype verbindingen maakt met die van andere skype clients. Vaak komt dit omdat 1 of bijde partijen die elkaar bellen gefirewalled zijn en zelf geen directe verbinding kunnen maken en dit dus via anderen doen.

L0g0ff

@bartvb • 29 januari 2006 01:22

bartvb @ Verder heb je in hoofdlijnen nog SIP ((brakke) open standaard)

Zou je mij eens uit kunnen leggen waarom je SIP brak vindt? Ik vind dit namelijk een meesterlijk protocol. Het werkt snel, het is goed te monitoren en het is een wat je zegt een standaard. Laten we dat vooral 1 standaard houden voordat alle IP gebasseerde PBX'en straks onderling niet meer met elkaar kunnen communiceren.

Het enige nadeel is dat brakke NAT routers wel eens problemen geven maar volgens mij heeft IAX daar ook gewoon last van.

Verder heeft het met spraak (waar dit artikel over gaat) helemaal niets te maken. Het enige wat SIP doet in het VoIP traject is een call verzoek/managent/verbreken. Je kunt dit vergelijken met het D kanaal van ISDN telefonie. Zodra je de hoorn aan beide kanten van de haak is zal er een 1 op 1 tcp/udp verbinding tot stand gebracht worden.

De DDoS verzoeken lijken mij dan ook niet te gaan over de open (SIP gebasseerde) VoIP netwerken maar van die Voice over DSL programma's als skype.

Verwijderd 28 januari 2006 19:48

Ik denk eerder een DDOS aanval via het VIOP netwerk. Waardoor de datastroom / opdracht automatisch versleuteld wordt e.d.

Verwijderd 28 januari 2006 23:55

Leuke ideeen om het grote boze internet veiliger te maken, het blokkeren wegens abuse gebeurt al bij ISP's maar naar mijn weten mogen ze niet zien wat er op mijn computer staat aan informatie... Hoe kunnen ze dan zien of ik wel alle patches heb?

_JGC_ @Verwijderd • 29 januari 2006 00:55

Als jouw PC het internet staat te vervuilen met veel spam of DoS aanvallen, sluiten ze je gewoon af, ervanuitgaande dat je een trojan hebt.
Overigens doet niet elke ISP dit. HetNet doet bijvoorbeeld helemaal niets: als je daar de abusedesk mailt, staat er na een week nog steeds dezelfde machine je mailserver te bestoken met virussen

* 786562 Jan

Verwijderd 29 januari 2006 03:24

wat een zever,

er zijn zoveel andere en veel simpelere manieren om zo een botnetwerk te activeren dan via Voip, mensen die een botnetwerk opzetten hebben echt wel een betere manier om met hun botnet te communiceren dan Voip, als zij een of andere obscure poort gebruiken valt dit veel moeilijker te achterhalen.
Het moeten al script kiddies zijn die zo'n praktijken toepassen zonder te beseffen wat ze doen, ik kan met moeite geloven dat iemand met kennis van zaken zichzelf zo zou blootstellen

feca 29 januari 2006 12:33

Waarom moeilijk doen met VoIP en encryptie als je ook gewoon een van de vele duizenden onbeveiligde wireless accesspoints kunt gebruiken?

Echnon 29 januari 2006 13:10

*zet de conspiracy modus nog maar even weer aan*

<conspiracymode>
Nou las ik laatst een bericht dat Skype een van de weinige programma's is die default, out-of-the-box, het bijhouden van dataverkeer omzeilt. Ik kan me dus heel goed voorstellen dat heel veel machtige mensen Skype harstikke dood willen hebben. Hoe dit beter voor elkaar te krijgen dan een gerenommeerd instituut een publicatie te laten doen dat Skype onveilig is?

Ik bedoel er zijn zoveel programma's onveilig (outlook bv...) Waarom deze poeha over Skype, op dit moment? </conspiracymode>

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (37)

Sorteer op:

Weergave: