So erkennen Sie verdächtige VoIP-Signale

Die sogenannte Voice of Internet Protocol oder VoIP macht das Telefonieren billiger und bequemer, öffnet aber auch ein wichtiges Sicherheitsproblem. Verschiedene Leute haben beschrieben, wie es möglich sein könnte, VoIP-Signale zu kapern, um vertrauliche Informationen zu senden.

Diese Dienste zerlegen Sprachsignale in digitale Pakete und senden sie über das Internet, genauso wie E-Mail- oder Webverkehr. Bei einem solchen böswilligen Angriff kann Ihr Computer nach interessanten Leckerbissen durchsucht und jedes Mal, wenn Sie einen VoIP-Anruf tätigen, an einen Dritten gesendet werden, indem diese Pakete in irgendeiner Weise modifiziert werden.

Aber wie einfach ist es, unbemerkt Daten in einen VoIP-Stream einzubetten? Theoretisch sollte das leicht zu beantworten sein. Schließlich sind die Protokolle zum Versenden von Informationen bekannt. Es sollte sicherlich leicht zu erkennen sein, ob zusätzliche Daten hinzugefügt wurden.



Nicht wirklich. Eine Möglichkeit zum Einbetten von Daten besteht darin, die Reihenfolge zu ändern, in der Pakete gemäß einem Code gesendet werden. Ein böswilliger Empfänger kann die eingebetteten Daten abrufen, indem er die Pakete überwacht und neu anordnet, ohne dass der Zuhörer klüger ist. Eine einfache Messung der Datenrate würde ein solches Schema nicht erkennen.

Dann gibt es die Technik, bestimmte mit geheimen Informationen gefüllte Pakete absichtlich zu verzögern, eine Technik namens Lost Audio Packet Steganography oder LACK. Verspätungen sind im Internet üblich und die Empfänger gehen damit um, indem sie Verspätungen einfach ignorieren. Ein geeignet ausgestatteter Empfänger könnte jedoch alle vertraulichen Informationen extrahieren, die in diesen verzögerten Paketen verborgen sind.

Der einzige Weg, solche Angriffe zu erkennen, besteht darin, den Verkehr mit gewöhnlichen Signalen zu vergleichen und zu sehen, wie er sich unterscheidet. Aber wie sieht der normale Verkehr aus?

Heute veröffentlichen Wojciech Mazurczyk und seine Freunde von der Technischen Universität Warschau in Polen ihre Studie über die Eigenschaften von 100 gewöhnlichen VoIP-Gesprächen zwischen Warschau und Cambridge in Großbritannien über eine Entfernung von etwa 1800 km. Ihre Idee ist es, gewöhnliche Anrufdaten so zu charakterisieren, dass steganografische Angriffe leicht erkannt werden können.

Ihre Studie hält einige Überraschungen bereit. Es stellt sich heraus, dass Pakete normalerweise nie so neu geordnet werden, dass Daten versteckt werden könnten. Diese Art von Angriff wäre also leicht zu erkennen.

Da Datenpakete jedoch routinemäßig verloren gehen, ist es schwierig, diese von denen zu unterscheiden, die von einem böswilligen Angreifer absichtlich verzögert werden.

VoIP ist zwar billiger und einfacher als andere Formen von Sprachanrufen, aber auch weniger sicher. Mazurczyk und Co. sagen, dass mehr Daten benötigt werden, um die natürlichen Eigenschaften von VoIP unter einem breiteren Spektrum von Bedingungen zu untersuchen. Aber im Moment sieht es so aus, als wäre LACK eine echte Bedrohung.

Ref: arxiv.org/abs/1002.4303 : Was sind verdächtige VoIP-Verzögerungen?

verbergen