idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Darmstädter Forscher warnen vor automatisierter Telefonwerbung und präsentieren Software für VoIP-Sicherheitstests
4 Uhr nachts, das Telefon klingelt, müde heben Sie den Hörer ab. Am anderen Ende meldet sich aber kein Mensch, sondern eine Computerstimme mit einer Werbebotschaft. Solche Anrufe funktionieren wie Email-Spam und heißen deshalb SPIT (Spam over Internet Telephony). Möglich macht es die neuartige VoIP-Telefonie, bei der Sprachsignale mittels Internettechnologie übertragen werden. "Dadurch sinken die Kosten für einen Anrufer enorm, und das können auch unseriöse Geschäftemacher oder Saboteure nutzen, um mit Hilfe von Computern massenhaft automatisierte Anrufe zu tätigen", sagt Nicolai Kuntze vom Fraunhofer-Institut für Sichere Informationstechnologie. Er und seine Kollegen haben eine Simulationssoftware entwickelt, mit der sich die Verwundbarkeit von VoIP-Anlagen testen lässt. Erste Versuche zeigen: Alle Typen von VoIP-Anlagen sind betroffen, und es gibt noch keinen wirksamen Schutz. Weitere Details enthält die Studie "SPAM over Internet Telephony and how to deal with it" von Dr. Andreas U. Schmidt, Nicolai Kuntze (beide Fraunhofer SIT) und Rachid El Khayari von der Technischen Universität Darmstadt, die über die Homepage des Fraunhofer-Instituts SIT unter www.sit.fraunhofer.de zugänglich ist.
Die Bekämpfung von SPIT ist viel schwieriger als die von E-Mail-SPAM, weil Inhalte erst während des Gesprächs überprüft werden können. SPAM-E-Mails hingegen können Anti-Spam-Programme schon unterwegs auf einem Server erkennen und abfangen. Dass die SPIT-Versender (SPITTER) die Details der VoIP-Accounts - sprich die Telefonnummern - in den seltensten Fällen kennen, ist kein Hinderungsgrund. Die Darmstädter Wissenschaftler zeigen, dass es mit relativ einfachen Mitteln machbar ist, Adressräume von VoIP-Anbietern zu ermitteln und dann einfach alle möglichen Zahlenkombinationen in diesem Bereich ausprobieren. Da das auch parallel oder minimal zeitversetzt geschehen kann, können die SPITTER problemlos tausende von Anrufen in kürzester Zeit tätigen.
Gegenmaßnahmen aus der Spam-Bekämpfung (Geräte-Fingerabdruck, Blacklisting, Turing-Tests, Honigtöpfe, etc.) bieten bislang keine wirkliche Abhilfe, weil sie für die Anwendung im Telefonbereich technisch nicht geeignet sind. Um passende Kombinationen von Abwehrmaßnahmen testen zu können, haben die Fraunhofer-Forscher auf Basis des frei verfügbaren Testtools SIPp den SIP XML Scenario Maker (SXSM) entwickelt. SXSM simuliert einen SPIT-Anrufer und produziert SPIT-Testanrufe nach definierbaren Kriterien, versendet sie und speichert die ent-stehenden Rückmeldungen auf Empfängerseite in Tabellen, die dann ausgewertet werden können. Das Werkzeug arbeitet also wie ein Angreifer und zeigt dem Ver-teidiger hinterher seine Erfolgsbilanz. Die Software ist für Interessenten aus dem Provider-Bereich auf Anfrage beim Co-Autor der Studie, Nicolai Kuntze, erhältlich (nicolai.kuntze@sit.fraunhofer.de). Den Quellcode des SXSM-Werkzeugs kann man bei Google unter http://code.google.com/p/sxsm herunterladen.
http://www.sit.fraunhofer.de/projekteundthemen/SPIT.jsp
SPIT-Entwicklerteam v.l.n.r Nicolai Kuntze, Rachid El Khayari, Dr. Andreas U. Schmidt
Fraunhofer-Institut SIT
None
Angriffsschema von SPIT-Versendern
Fraunhofer-Institut SIT
None
Merkmale dieser Pressemitteilung:
Gesellschaft, Informationstechnik, Wirtschaft
überregional
Forschungsergebnisse, Forschungsprojekte
Deutsch
SPIT-Entwicklerteam v.l.n.r Nicolai Kuntze, Rachid El Khayari, Dr. Andreas U. Schmidt
Fraunhofer-Institut SIT
None
Angriffsschema von SPIT-Versendern
Fraunhofer-Institut SIT
None
Sie können Suchbegriffe mit und, oder und / oder nicht verknüpfen, z. B. Philo nicht logie.
Verknüpfungen können Sie mit Klammern voneinander trennen, z. B. (Philo nicht logie) oder (Psycho und logie).
Zusammenhängende Worte werden als Wortgruppe gesucht, wenn Sie sie in Anführungsstriche setzen, z. B. „Bundesrepublik Deutschland“.
Die Erweiterte Suche können Sie auch nutzen, ohne Suchbegriffe einzugeben. Sie orientiert sich dann an den Kriterien, die Sie ausgewählt haben (z. B. nach dem Land oder dem Sachgebiet).
Haben Sie in einer Kategorie kein Kriterium ausgewählt, wird die gesamte Kategorie durchsucht (z.B. alle Sachgebiete oder alle Länder).
