Onderzoekers verstoppen berichten in voip-gesprekken

Poolse wetenschappers zijn erin geslaagd om een steganografisch systeem voor voip te maken, waardoor het mogelijk is om een 'gewone' boodschap stiekem van extra, geheime informatie te voorzien.

Onderzoeker Wojciech Mazurczyk legt uit dat er bij het bij voip gebruikte user datagram protocol niet vanuit kan worden gegaan dat de verzonden datapakketjes allemaal aankomen: ze kunnen in een andere volgorde arriveren, gedupliceerd worden of verloren gaan, aldus de wetenschapper. Het feit dat er gecommuniceerd kan worden zonder dat alle verzonden pakketjes worden benut, betekent dat sommige hiervan voor een additionele, verborgen boodschap ingezet kunnen worden.

classified / geheim Door de extra pakketjes enige tijd vast te houden lijkt het er bij een eventuele onderschepping op dat er sprake is van te laat gearriveerde data. Mazurczyk en zijn team noemen de gebruikte methode, die het hoogst beschikbare aantal bits voor het verborgen kanaal op bleek te leveren, intentionally delayed audio packet steganography. Het onderzoek spitst zich er onder meer op toe om voor het verborgen kanaal zo weinig mogelijk pakketjes te gebruiken, om de kans op detectie te minimaliseren.

IT-banen

Reacties (27)

Verwijderd 2 juni 2008 17:52

Op de link FreeMove Quantum Exchange is de beschrijving van een research systeem te vinden dat ook steganografie ondersteund. Dit wordt meestal gebruikt voor Identificatie, Authenticatie of DRM. Maar er zijn ook andere mogelijkheden bijvoorbeeld onzichtbare redundante informatie gebruiken voor error correctie of voor privacy doordat je de host data gebruikt als medium. Op de bovengenoemde link is een Informatie-Theoretische analyse van deze steganografie functionaliteit te vinden.

Verwijderd 2 juni 2008 16:40

Het feit dat de contrent van VoIP berichten niet gechecked of gefilterd worden zorgt wel degelijk voor een leuk aanvals-scenario. En afhankelijk van de omgeving kan dit tot een wezelijk beveiligings risico leiden.

Vaak zijn bedrijven met VoIP systemen geen MKB'ers. Stel je voor dat de computer van een high security target te infecteren is met malware. Je volgende probleem is: hoe krijgt je malware de informatie dat ie verzamelt weer uit de streng beveilgde omgeving. Vaak is er in zulke omgevingen geen internet toegang is of deze erg streng gecontroleerd. Dan kan dit een oplossing zijn.

De rest laat ik aan je verbeelding over.... Wat het extra leuk maakt is dat de computer vaak 'in serie' staat met de VoIP phone. (en een VLAN is geen security maatregel)

Groet,
Tom

DeTeraarist @Verwijderd • 2 juni 2008 16:53

Hoe stel je je dat nu voor, een "leuk aanvals-scenario". Wordt de code die verzonden wordt uitgevoerd? De huidige VoIP applicaties weten niet eens wat ze moeten met de ontvangen bitjes. En als ze dat wel kunnen, dan is die er speciaal voor geschreven en is het gewoon een feature.

Ik lees meer reacties over security issues en dingen. Enkel omdat er iets verborgen is, hoeft het nog geen security issue op te leveren.

Soldaatje @Verwijderd • 2 juni 2008 16:49

VOIP zonder internet-toegang...

leg uit...

Teun_2 2 juni 2008 16:22

Wat maakt het uit? De boodschap wordt toch ook alleen maar naar de ontvanger gestuurd. En waarom enkel VOIP? er zijn zat protocollen die gebruik maken van UDP. En wat met slimme routers die achtergestelde pakketten gewoon wegsmijten ofzo?

.oisyn Moderator Devschuur®

Wetenschap
Beveiliging

@Teun_2 • 2 juni 2008 16:34

En wat met slimme routers die achtergestelde pakketten gewoon wegsmijten ofzo?

Er is geen vaste volgorde van UDP pakketten, dat is juist wat UDP UDP maakt (je gebruikt dat protocol dan ook als het niet uitmaakt dat er packets verdwijnen of omgekeerd aankopen). Een slimme router kan dus niet bepalen of ze te laat zijn tenzij hij weet hoe het specifieke protocol zoals VOIP werkt. Maar als ik een nieuw protocol bedenk dat over UDP gaat, dan kan de router niet bepalen welk pakketje te laat is. Een sequence number oid staat namelijk niet in de UDP header zelf, dus die moet je zelf in je data zetten als je dat nodig hebt. En de router weet derhalve niet hoe dat in jouw data is geencodeerd.

[Reactie gewijzigd door .oisyn op 22 juli 2024 17:25]

siepeltjuh 2 juni 2008 16:22

Uiteindelijk geeft het wel veel meer inzicht in security issue`s voor bedrijven.

Soms kan een lek in de beveiliging zo simpel zijn, terwijl er bij het bedrijf enorm complexe security maatregelen zijn genomen.

Niet dat bovenstaand verhaal een groot beveiligingsrisico kan opleveren, maar het geeft wel aan hoe simpel het soms eigenlijk is. Domweg het vertragen van een VOIP pakketje...

DeTeraarist @siepeltjuh • 2 juni 2008 16:50

Wat voor inzicht in security issue's hebben we hierdoor gekregen? Ik lees alleen dat er bitjes zijn die voor andere doeleinden gebruikt kunnen worden dan origineel bedoeld is, van een security issue is hier helemaal geen sprake.

Zyppora 2 juni 2008 16:20

Ik snap niet waarom dit een 'verborgen boodschap' is? Het komt m.i. gewoon neer op een tweede boodschap die door de eerste heen gemixed is. Niets bijzonders aan dus. Het enige wat ik me kan voorstellen dat ze gedaan hebben is de headers van de UDP pakketjes aanpassen zodat ze op een grote boodschap lijken, maar de ontvanger zal dan wel op de hoogte zijn van de 'encryption method' om de individuele boodschappen te reconstrueren.

the_stickie @Zyppora • 2 juni 2008 16:46

"verborgen" omdat ze normaliter niet opgemerkt wordt. Alleen als je met speciefiek software "luistert" kan je de boodschap ontrafelen. De bedoeling van steganografie is namelijk wel het verstoppen.

Rob Coops

Beveiliging

2 juni 2008 16:31

Dat betekend dus als ik het goed lees dat ze niets meer doen dan junk packets versturen die lijken op delayed arival packets maar die stiekem zolang de ontvanger er weet van heeft een geheime boodschap met zich mee dragen.

Niet echt spannend voor zo ver ik weet is het al veel langer bekend dat men in schijnbare junk packets bruikbare informatie kan verstopen. En persoonlijk denk ik toch dat als je als gewone huis tuin en keuken tweakert graag geheime boodschapjes wil versturen via voip je net zo goed Skype kunt gebruiken (das nog steeds niet gekraakt)

Verwijderd 2 juni 2008 16:14

Ook weer slim om het meteen van de daken te roepen... Dan mist het toch een groot stuk van zijn sterkte? Ik snap dat niet, 's net zoals wanneer ze een nieuw ongedicht kritiek lek met hand en tand uitleggen en hoe je het kan exploiten op een populaire site.

Verwijderd @Verwijderd • 2 juni 2008 16:19

Het zijn onderzoekers, mogelijk hebben ze dit mogeliojk gemaakt om counter meassures in te bouwen. tevens geeft het aan dat data gebruik altijd makkelijk blijft te manipuleren, dus al die anti terror wetten worden hiermee in 1 keer de vuilnisbak ingejaagd, omdat ze altijd achter de feiten aanlopen, daar waar wetten worden gemaakt die klauwen vol met geld kosten, zoals het loggen voor ISP's waarmee wederom word aangegeven dat het zinloos is.

Checkt de BVD nog wel de normale post ?

Verwijderd @Verwijderd • 2 juni 2008 16:27

Volgens mij niet, al mijn enveloppes waren nog netjes dicht zonder braak sporen

woekele @Verwijderd • 2 juni 2008 16:18

Dat publiek maken van die exploits is waarschijnlijk om druk te zetten op de developers het te fixen. In veel gevallen hebben ze vaak al lang privé gewaarschuwd, maar worden ze genegeerd. Dan maar publiek maken...

[Reactie gewijzigd door woekele op 22 juli 2024 17:25]

jorkro @woekele • 2 juni 2008 17:57

Dit is niet door een ontwikkelaar op te lossen. Het werkt met de huidige specificaties van VoIP.

Mijns inziens is het een hoop bombarie om niets. Je zou ook de audio iets anders kunnen verpakken (denk aan het verhullen van berichten in JPEG-bestanden), waardoor je een geheim kanaal kan opzetten.

brompot758 @woekele • 2 juni 2008 19:42

Het is geen exploit. Bij een exploit zou het mogelijk zijn om van buitenaf iemand zijn voip verbinding te verpesten, of via voip zijn computer te kraken.

Wat hier gebeurt is dat de beide partijen die een voip gesprek voeren daarnaast ook nog geheime informatie uitwisselen. Ze gebruiken de voip verbindig dus om het eigenlijke bericht te maskeren. Het is een beetje vergelijkbaar met de hidden partitie van truecrypt, plausible deniability. Je moet je geheime boodschap dan natuurlijk wel versleutelen. Als iemand de pakketjes al ziet dan kunnen ze niet bewijzen dat het geen netwerk fouten zijn.

Gezien alle anti privacy wetgeving van de laatste tijd is dit een welkome aanvulling.

OddesE @brompot758 • 2 juni 2008 21:48

Inderdaad. Ik heb al eens een programmaatje gemaakt om data te verstoppen in een grote afbeelding. Dit is net zoiets. Voor mensen die thuis willen experimenteren: Verstop één bit van je bericht in het minst significante bit van elke kleurkanaal van elke pixel in een .bmp. Je kunt in een beetje .bmp al heel wat tekst kwijt :-)

Tjeerd @Verwijderd • 2 juni 2008 16:18

Aan de ene kant is er wat voor te zeggen dat men het openbaar maakt, zodat er wat aan kan worden gedaan. Aan de andere kant is het goed voor je naamsbekendheid en je ego

Fireshade @Tjeerd • 2 juni 2008 16:19

Een echte wetenschapper maakt alles openbaar aan de grote gemeenschap.

Soldaatje @Fireshade • 2 juni 2008 16:45

Tenzij de code van kernraketten gekraakt is.

sniek @Soldaatje • 2 juni 2008 18:30

Dat is geen wetenschap, maar stelen. Zit namelijk geen algoritme of iets anders wiskundigs in. Zijn gewoon door mensen genoteerde getallen!

macnerd @sniek • 2 juni 2008 20:27

Stelen? Die code wordt gewoon gekopieerd... hooguit een gevalletje auteursrechtenschending lijkt mij

m_snel @Tjeerd • 2 juni 2008 16:46

Wat wil je er dan aan doen en waarom?

Ook in je gesprek kan je iets anders bedoelen dat dat je zegt, daar kan je ook niets tegen doen. Als jij niet weet dat er iets anders bedoelt wordt begrijp je ook niets van het gesprek.

Coromoto @Verwijderd • 2 juni 2008 16:19

Het zijn onderzoekers, en die hebben doorgaans meer baat bij de erkenning dat zij het bedacht / ontdekt hebben dan bij een mogelijke exploit van de techniek / kennis zelf.

Verwijderd 2 juni 2008 16:33

Toch weer een leuke vondst., iets wat de Nederlandse tapkamers weer zorgen zal baren

In theorie kun je dus verborgen boodschappen meesturen, echter een tappende overheid weet wel dat je contact heb met iemand. Iets wat sommige lieden liever niet hebben.

Verwijderd 3 juni 2008 09:41

Of je kopieert een UDP pakket volledig en stuurt het later nog een keer, in dat geval kan je dus geen extra info erin stoppen omdat het volledig hetzelfde moet zijn als het legitieme pakket. Of je verandert iets aan het vetraagde pakket waardoor het detecteerbaar is dat eenzelfde sequencenumber (voip) UDP nog een keer langskomt met ANDERE data. Dus dan kan elk voipontvanger dit gaan ontdekken.

Als ze een legitiem UDP pakket gewoon tegenhouden en dan veranderen en alleen maar met eigen codereing later doorsturen, dan kunnen ze het net zo goed METEEN gewoon doorsturen, aangepast en wel. Verder kan de ontvangende "malware" applicatie nooit met 100% weten welk UDP nou een gecodeerd pakketje is en welke een echt vertraagde UDP pakket, dat was dus juist de grap van UDP. En dan heb je nog het probleem dat het stiekem gecodeerde pakkeet OOK niet aan kan komen omdat het UDP is... en gedupliceerd kan worden of ook weer in andere volgorde aan kan komen. Dus daar moet ook weer een foutcorrectie n.

Erg onpraktisch dus.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (27)

Sorteer op:

Weergave: