211service.com
Verdachte VoIP-signalen herkennen
Het zogenaamde Voice of Internet Protocol of VoIP zorgt voor goedkoper en handiger bellen, maar opent ook een belangrijk veiligheidsprobleem. Verschillende mensen hebben beschreven hoe het mogelijk zou kunnen zijn om VoIP-signalen te kapen om vertrouwelijke informatie te verzenden.
Deze diensten splitsen spraaksignalen op in digitale pakketten en verzenden deze via internet, op precies dezelfde manier als e-mail- of webverkeer. Een dergelijke kwaadaardige aanval kan inhouden dat uw computer wordt gescand op interessante weetjes en deze elke keer dat u een VoIP-oproep plaatst naar een derde partij wordt gestuurd door deze pakketten op de een of andere manier aan te passen.
Maar hoe makkelijk is het om onopgemerkt data in een VoIP-stream in te bedden? In theorie zou dat eenvoudig te beantwoorden moeten zijn. De protocollen die worden gebruikt om informatie te verzenden, zijn immers bekend. Het moet toch gemakkelijk te zien zijn of er extra gegevens zijn toegevoegd.
Eigenlijk niet. Een manier om gegevens in te sluiten, is door de volgorde te wijzigen waarin pakketten worden verzonden volgens een code. Een kwaadwillende ontvanger kan de ingebedde gegevens ophalen door de pakketten te controleren en opnieuw te ordenen zonder dat de luisteraar er wijzer van wordt. Een eenvoudige meting van de gegevenssnelheid zou zo'n schema niet herkennen.
Dan is er de techniek van het opzettelijk vertragen van bepaalde pakketten gevuld met geheime informatie, een techniek die Lost Audio Packet Steganography of LACK wordt genoemd. Vertragingen komen vaak voor op internet en ontvangers lossen ze op door laatkomers simpelweg te negeren. Een goed uitgeruste ontvanger zou echter alle vertrouwelijke informatie kunnen extraheren die in deze vertraagde pakketten verborgen zit.
De enige manier om dergelijke aanvallen te herkennen, is door het verkeer te vergelijken met gewone signalen en te zien hoe het verschilt. Maar hoe ziet het gewone verkeer eruit?
Vandaag publiceren Wojciech Mazurczyk en vrienden van de Technische Universiteit van Warschau in Polen hun onderzoek naar de kenmerken van 100 gewone VoIP-gesprekken tussen Warschau en Cambridge in het VK, een afstand van ongeveer 1800 km. Hun idee is om gewone oproepgegevens te karakteriseren, zodat steganografische aanvallen gemakkelijk kunnen worden opgemerkt.
Hun studie levert enkele verrassingen op. Het blijkt dat pakketten normaal gesproken nooit opnieuw worden geordend op een manier die zou kunnen worden gebruikt om gegevens te verbergen. Dus dit soort aanval zou gemakkelijk te herkennen zijn.
Gegevenspakketten gaan echter routinematig verloren, dus het is moeilijk om deze te onderscheiden van pakketjes die opzettelijk worden vertraagd door een kwaadwillende aanvaller.
Dus hoewel VoIP misschien goedkoper en gemakkelijker is dan andere vormen van spraakoproepen, kan het ook minder veilig zijn. Mazurczyk en co zeggen dat er meer gegevens nodig zijn om de natuurlijke kenmerken van VoIP onder een breder scala van omstandigheden te bestuderen. Maar voorlopig ziet het ernaar uit dat LACK een reële bedreiging is.
Referentie: arxiv.org/abs/1002.4303 : Wat zijn verdachte VoIP-vertragingen?