Was VoIP für Hacker interessant macht

Am 26. Juni hat der Schweizer IT-Security-Dienstleister ins Theater Casino Zug geladen. Auf der Bühne stellte der Schweizer IT-Security-Dienstleister unter anderem sein Red-Team, die hauseigenen Pentester, ins Rampenlicht. Ihr Job ist es, Schwachstellen und neue Angriffsmethoden zu finden, bevor Cyberkriminelle auf die Idee kommen.

In Zug zeigte das Team, was es drauf hat. Es hatte sich mit der Frage befasst, wie man heute noch versteckt Daten übermitteln kann aus Unternehmen heraus. Ihre Antwort war VoIP. Genauer gesagt: mittels Skype for Business. Ihre Lösung nannten sie Skynet.

"VoIP bietet für Angreifer einige sehr interessante Features", sagte Luca Cappiello, Head of Penetration Testing & Research bei Infoguard. So geniesse VoIP im Netzwerk etwa eine Priorisierung bei der Bandbreite.

Zudem würden nur wenige Systeme prüfen, was für Daten effektiv über die Verbindung flössen. Derartige Attacken auf der Netzwerkebene zu erkennen sei "zwar nicht unmöglich", sagte der Anführer des Red-Teams, "aber extrem schwierig". Skype for Business bietet auch noch ein paar weitere Vorteile: der Anmeldeprozess ist klar definiert über Windows Credentials und die Lösung ist vorinstalliert.

Der Vortrag von Luca Cappiello fand im Rahmen der Infoguard Security Lounge im Theater Casino Zug statt. (Source: Netzmedien)

Da es zu auffällig wäre, die Client-Schnittstelle zu nutzen und die Server-Schnittstelle zu leicht zu blockieren sei, entschieden Cappiello und sein Team sich für einen anderen Weg: Sie bauten den Sykpe-for-Business-Protocol-Stack selbst nach. Nach eigenen Angaben eine enorm aufwändige Arbeit, die einige Nachtschichten erforderte.

Auf der Zielgeraden kam es dann doch noch zu einer leichten Verzögerung, wie Cappiello sagte. Skynet, "obwohl es keine nennenswerten Abweichungen zum regulären Datenverkehr gab", funktionierte nicht. Es folgten drei Wochen Debugging und die Realisation, dass der Code korrekt war. Es hatte sich lediglich ein Tippfehler eingeschlichen, den das Team schnell wieder behoben hatte: Canditate statt Candidate.

So konnte das Red-Team in Zug ein funktionsfähiges Skynet demonstrieren. Da die Lösung auf Skype basiert, konnte Cappiello telefonisch ein Update erhalten, wie viele Opfer Skynet infiziert hat und welche Payload auf den betroffen Maschinen geladen werden soll.

In der Live-Demo beschränkte sich Skynet darauf, auf dem infizierten Rechner die Nachricht "You have been pwned, miner is running. Best regards from the IG Red-Team" anzuzeigen. Die Möglichkeiten seien jedoch fast unbegrenzt, sagte Cappiello. So könnten Angreifer über VoIP etwa auch grosse Mengen an Daten abziehen.

Den vollständigen Eventbericht zur Infoguard Security Lounge können Sie an dieser Stelle lesen.

Datenklau bei Adidas und Ticketmaster

Diese Woche haben gleich zwei globale Firmen über einen potenziellen Verlust von Kundendaten informiert: Adidas und Ticketmaster.

Unbekannte sollen gemäss dem Schuhhersteller Adidas Kontaktdaten, Benutzernamen und verschlüsselte Passwörter der Kunden erbeutet haben, wie Bloomberg berichtet. Adidas habe aber keinen Grund anzunehmen, dass auch Kreditkartendaten entwendet wurden.

Betroffen war angeblich nur die Benutzer der US-amerikanischen Website des Schuhherstellers. Insgesamt soll sich die Anzahl Opfer auf rund «einige wenige Millionen» belaufen. Der Vorfall werde noch untersucht.

Der Ticketmaster-Zwischenfall liegt ein paar Tage mehr zurück. Vergangenen Samstag will das Unternehmen Malware in ihrer Kundensupport-Chat-Applikation entdeckt haben – ein Produkt von Inbenta Technologies.

Der Ticketdienst kappte anschliessend nach eigenen Angaben sofort die Verbindung zu dem Drittanbieter. Dennoch seien rund 5 Prozent der weltweiten Kunden betroffen von diesem Zwischenfall – und auch ihre Zahlungsinformationen.

Das Unternehmen hat die betroffenen Kunden bereits informiert, wie es mitteilt. Ticketmaster bietet den Opfern einen kostenlosen Identity-Monitoring-Service an. Wer diesen in Anspruch nehmen will, erfährt hier mehr.

5G wird noch vor dem Start zum Sicherheitsrisiko

Die Sicherheitsexperten Horst-Görtz-Institut der Ruhr Universität Bochum haben eine Schwachstelle im Mobilfunkstandard LTE entdeckt. Davon seien alle Geräte betroffen, die den Mobilfunkstandard 4G nutzen, wie die Uni in einem Blogeintrag schreibt.

Die Daten werden zwar verschlüsselt übertragen. Sie werden aber nicht auf ihre Integrität geprüft. „Ein Angreifer kann den verschlüsselten Datenstrom verändern und dafür sorgen, dass die Nachrichten an einen eigenen Server umgeleitet werden, ohne dass das dem Nutzer auffällt“, zitiert der Eintrag David Rupprecht, einer der Sicherheitsexperten.

Was die Lücke besonders problematisch macht: Sie lässt sich gemäss der Mitteilung nicht schliessen. Ausserdem soll sie auch im noch bevorstehenden Mobilfunkstandard 5G enthalten sein. Die 5G-Frequenzen müssen noch versteigert werden.

Mehr zur Sicherheitslücke im Blogeintrag der Universität.

Und das Security-Wort der Woche: Creepware

Als Creepware bezeichnet man Softwaretools, die genutzt werden, um nichtsahnende Nutzer zu bespitzeln. Sie greifen dabei auf Kamera und Mikrophon zu. Viele Programme – insbesondere mobile Creepware – bleiben unentdeckt.

Mehr Begriffe wie dieser sind unter www.it-markt.ch/SecurityABC zu finden. Das kleine IT-Security-ABC der Redaktion soll einen schnellen Überblick ohne Anspruch auf Vollständigkeit verschaffen über die gängigsten Begriffe in den Bereichen Cybercrime und IT-Security.

Wer mehr zum Thema Cybercrime und IT-Sicherheit lesen will, kann dies im IT-Security-Blog von IT-Markt auf www.it-markt.ch/security tun. Der Blog wird laufend aktualisiert.