VOIP und DOS / SPIT – Entwicklung und Herausforderungen

  • Fabian Sinner
  • Juni 28, 2022

Inhaltsverzeichnis

    VOIP und DOS / SPIT – Entwicklung und Herausforderungen

    Nach fast 20 Jahren Arbeit im Telekommunikationsbereich habe ich eine Reihe von Entwicklungen und Herausforderungen in der Branche miterlebt. Eine dieser Herausforderungen war das Aufkommen von SPIT (Spam-Over-Internet-Telephony), bei dem es sich um unerwünschte Massennachrichten handelt, die über ein VOIP-System verschickt werden und das VOIP-System „verstopfen“.

    SPIT scheint zwar eher ein Problem von VOIP-Systemen zu sein, aber auch ältere Telefonsysteme standen vor ähnlichen Herausforderungen. Im Falle der klassischen Telefonie (wir sprechen hier von analogen Leitungen und ISDN) wurden einfache Sperrfilter eingerichtet, wenn ein „Spammer“ versuchte, die Telefonleitungen zu verstopfen.

    Die Sperrung konnte bei der lokalen Nebenstellenanlage oder im Falle sehr hartnäckiger Angreifer bei der regionalen staatlichen Post-, Telegrafen- und Telefongesellschaft (in Deutschland wäre die PTT die Deutsche Telekom) erfolgen. Auch lohnte es sich damals für den „Spammer“ nicht, die Amtsleitungen eines Providers ständig „besetzt“ zu halten.

    Ein Blick in die Anrufliste genügte und man konnte den Täter identifizieren.

    Zeiten ändern sich und mit ihnen die (VOIP-)Telefonie

    Was, wenn Sie nie herausfinden, wer der Anrufer ist? Oder ob es überhaupt ein Mensch ist, der immer wieder Ihre Nummer wählt? Was, wenn Sie nicht einfach „auflegen“ können oder sogar „nicht abheben“ keine Option mehr ist? Nun, mit einer SIP-Verbindung ist dies nun der Fall.

    Jetzt werden Sie sagen: „Moment mal, ich habe doch eine ISDN-Anlage!“ Die meisten mittelständischen Unternehmen haben noch eine ISDN-Telefonanlage in Betrieb. Diese basiert lokal auf ISDN und ist der zentrale Dreh- und Angelpunkt der Telefonie innerhalb eines Unternehmens.

    Die TK-Anlage ist jedoch in der Regel mit einem vom Telekommunikationsanbieter bereitgestellten Gerät verbunden, das VoIP in ISDN umwandelt und die Kommunikation zwischen der alten und der neuen Technologie ermöglicht.

    Darüber hinaus kann Ihr Unternehmen von Ihrem Telekommunikationsanbieter eine Cloud-basierte BPX oder eine SIP-Verbindung verlangen, was bedeutet, dass Sie mindestens einen Session Border Controller (SCB) und eine Asterisk-basierte Telefonanlage (einen Server mit der entsprechenden Software) vor Ort benötigen, wodurch Ihr Netzwerk weiteren VoIP-basierten Angriffen ausgesetzt ist.

    Die Entwicklung von SIP

    Ich sollte erwähnen, dass die Entwicklung von SIP von Anfang an als Konkurrenzprodukt zum weltweiten ISDN-Netz gedacht war. Die Entwicklung von SIP führte dazu, dass die Entwickler das Protokoll fast hektisch umgeschrieben haben, um verschiedene ISDN-Dienste abzubilden, was auf Kosten der Sicherheit oder Stabilität ging.

    Ich sehe hier schon die folgenden Probleme, die Sie als Administrator im Auge behalten müssen:

    • Die Audiokonverter haben eine Software, die 2017 für Wanacry und 2021 für Log4J anfällig war.
    • Es ist unmöglich, ein fehlerfreies VoIP-System zu entwerfen. Fehlerquellen lassen sich in der Regel durch eine komplexe intelligente Architektur und den Einsatz mehrerer Software- und Hardware-Redundanzen beheben. (Angriffspunkte)
    • VoIP-Systeme sind von der Verfügbarkeit und Latenz der ISP-Verbindung abhängig.

    Administratoren implementieren oft Firewalls in das VoIP-System, um die Sicherheitslage zu verbessern. Leider prüfen oder blockieren diese Firewalls den SIP- und RTP-Verkehr nicht. Als SIP gekennzeichneter Verkehr wird einfach an die SBCs weitergeleitet, die die Pakete immer ohne Wenn und Aber an den Audiocodec oder Asterisk weiterleiten.

    Angriffe auf Unternehmen

    SPIT-Angriffe der neueren Generation sind noch nicht weit verbreitet. Sie erfreuen sich jedoch zunehmender Beliebtheit und sind seit 2021 zunehmend zu einem Werkzeug von Erpressern geworden. Die meisten Angriffe auf die SIP-Infrastruktur umfassen:

    1. Pufferüberlauf und Bandbreitenüberlastung.
    2. Verstärkungsangriffe nach Spoofing über Verstärker.
    3. Angriff auf den Dienstport (5060 UDP für SIP)
    4. SYN-Flood-Angriffe auf den TCP-Verkehr.
    5. Angriffe auf Layer7, wenn SIP- oder https-Anfragen gesendet werden.

    Die Sicherheit von VoIP-Systemen ist weiter gefährdet, wenn man die oben genannten Schwachstellen und Anfälligkeiten von VoIP mit dem Aufkommen neuer DDoS-Angriffsmethoden auf die Infrastruktur der Telekommunikationsanbieter kombiniert.

    Ein Beispiel für diese Art von Risiko sind die jüngsten Angriffe auf VoIP.ms:

    Einer cyerkriminellen Gruppe namens REvil gelang es, den SIP-Provider VoIP.ms so zu belästigen, dass die Unternehmen, die ihren SIP-Verkehr von VoIP.ms bezogen, VoIP.ms zur Zahlung eines Lösegelds in Höhe von 45.000 US-Dollar aufforderten.

    Dies wurde jedoch verständlicherweise abgelehnt, und die Angriffe hielten tagelang an.

    VoIP.ms versuchte, sich vor DDoS-Angriffen zu schützen, war damit aber nur teilweise erfolgreich. Die Website war von Zeit zu Zeit erreichbar. Aber der VoIP-Dienst litt immer noch. Und nachdem es REvil gelungen war, den VoIP.ms-Dienst drei Tage lang lahmzulegen, stieg das Lösegeld auf 4,3 Millionen Dollar.

    Schließlich wurden die Angriffe am 30. September gestoppt, nachdem die Betreiber von Voip.ms selbst zeitweise Ausfälle erlitten.

    Dieses Ereignis zeigte, dass viele IP-Telefonieanbieter keine effiziente Möglichkeit haben, den VoIP-Verkehr zwischen legitimen und SPIT zu filtern. Die Maßnahmen, die im Falle eines Angriffs ergriffen werden, sind nicht ideal und beinhalten in der Regel eine der folgenden Optionen:

    1. Blackhole-Routing.
    2. An einen anderen SIP-verarbeitenden Anbieter weitergeleitet werden.

    Dieser Mangel an Möglichkeiten ist besorgniserregend, zumal es immer einfacher wird, große Angriffe auf VoIP-Systeme und DDoS-Anbieter durchzuführen

    Vor 2021 gab es keine größeren DDoS-Angriffe auf SIP-Anbieter, und alle Angriffsmethoden waren rein theoretisch. Doch die jüngsten gut vorbereiteten Angriffe auf VoIP-Anbieter und die Tatsache, dass sie zuvor von ihren angeblichen Kunden ausspioniert wurden, zeigen, dass SIP-Anbieter nicht länger den Kopf in den Sand stecken können.

    Fazit VOIP und DOS / SPIT

    Es gab Studien, die solche Szenarien vorhersagten, wie wir sie jetzt erleben. Zum Zeitpunkt dieser Studien waren die ersten Botnets noch nicht so weit verbreitet; wenn man diese Studien mit den heutigen Botnets und den heutigen Layer-7-Angriffen kombiniert, stellt man fest, dass SIP heute, 22 Jahre nach seiner Einführung, eine verwundbare Infrastruktur geworden ist.

    Daher sollten Sie die Sicherheitsfunktionen Ihres VoIP-Netzwerks überprüfen und die Zusammenarbeit mit einem DDoS-Abwehrdienst in Erwägung ziehen, um sicherzustellen, dass Sie die Telefonleitungen offenhalten können.

    Effektiver Schutz als Vorsorge

    Link11 bietet einen bewährten und patentierten DDoS-Schutz an, der Sie vor solchen Gefahren effektiv schützen kann. Die cloud-basierte Technologie arbeitet in Echtzeit und mitigiert Angriffe von bekannten und unbekannten Vektoren innerhalb kürzester Zeit. Schließen Sie jedes Schlupfloch und genießen Sie höchste Sicherheit.

    Link11 DDoS-Schutz

    Link11 bei der Infosecurity 2018 in London: Warum offline keine Option ist
    Wenn Black Hat auf Black Friday trifft
    X