Reducal schrieb:
http://www.heise.de/security/artikel/59954/2
Dialer ohne Modem
Auch die Dialer-Problematik könnte zu einem neuen Problem werden. Glaubten sich DSL-Anwender bislang vor solchen Schadprogrammen sicher, da diese auf Modems und ISDN-Karten angewiesen sind, so gibt es bereits erste Proof-of-Concept-Dialer für Softphones. Derlei Skripte wählen dann teure 0190- oder 0900-Rufnummern per VoIP an, sobald der Anwender eine bestimmte URL anklickt.
Wie geht das? Können die eingerichteten 0190/0900er Sperren damit umgangen werden? Ist das nur ein journalistischer Denkansatz oder sind jemandem schon konkrete Projekte bekannt?
@Reducal,
das (und der gesamte Artikel) ist reichlich vage gehaltener Unfug, bzw. IMHO auf der Denke derjenigen gewachsen, die Angst vor VoIP haben müssen und in deren Interesse es liegt, dass diese Technik von der Öffentlichkeit für unsicher erachtet wird.
1. wenn ich ein Softphone (oder auch Hardware VoIP Phone) verwende und dort Accountdaten hinterlege, kann ein Trojaner diese im Zweifel ausspionieren, wenn das Programm/Telefon diese nicht hinreichend sicher verwahrt. Dann kann natürlich jeder mit diesen Daten über meinen VoIP Account telefonieren, bis mein Guthaben leer ist. Im Prinzip analog zum Phishing beim Internet-Banking. Hat aber fundamentell nichts mit VoIP zutun, ebenso sollten z.B. nicht meine Ebay Accountdaten bzw Kreditkartendaten in falsche Hände geraten, und durch das Pre-Paid Prinzip ist man bei den meisten VoIP Anbietern derzeit de facto relativ gut geschützt.
2. Prinzip Fernsteuerung eines Softphones ala Teleflate Dialer ist sicherlich möglich. Aber: durch die vielen unterschiedlichen Softphones dürfte dies nicht allzu leicht sein, und einen erheblichen Aufwand machen. Ausserdem gibts da ein paar andere Programme, die ich ebenso nicht ferngesteuert sehen möchte und vielversprechndere Ziele wären (Home-Banking Software zum Bleistift, warten bis die TAN eingegeben worden ist, und dann schnell die Daten umlenken,)
3. Rufnummernsperren gibt es bei VoIP Anbietern bisher nicht, aber ebensowenig sind bisher die 0190/0900 Blöcke erreichbar. Eine konfigurierbare Rufnummernsperre ist aber trivial zu implementieren, wenn da was passiert, bin ich ziemlich sicher, dass die VoIP Anbieter da ziemlich schnell handeln würden.
BTW, Asterisk, die VoIP Software vieler VoIP Provider, bietet eine nette Möglichkeit zur Missbrauchsverhinderung, nämlich Eingabe von PINs zur Freischaltung von Diensten via Telefontastatur. Damit kann man ggfs den Zugriff für teuere Nummern authorisieren, was auch IMHO die effektivste Lösung gegen Missbrauch herkömmlicher Mehrwertnummern im traditionellen Telefonnetz wäre.
Ansonsten gibt sicherlich noch ein paar fundamentelle Probleme, die bei VoIP angegangen werden müssten: Verschlüsselung, genauer genommen eine breite Unterstützung von SRTP gegenüber RTP (allerdings kann man dann Telefonberwachung vergessen, auch der Staat steht dann draussen). Und SIP/RTP Proxies in den gängige SOHO Routern, damit die im Artikel genannnten Probleme mit den Löchern in der Firewall nicht auftreten.
Ach ja, zum Thema Internet Telefonie und Mehrwertdienste, spannend könnte das hier werden, IBM und das hier heiss diskutierte IP Billing, wenn ich richtig vermute...
http://www.zdnet.de/news/messen/cebit2005/tkomm/0,39029192,39131182,00.htm
