Thema: Videokonferenzsysteme als Spionagewerkzeug

[ritschibie]

Etliche Videokonferenzsysteme sind ungeschützt über das Internet erreichbar, wie der Sicherheitsexperte HD Moore im Laufe einer dreimonatigen Untersuchung festgestellt hat. Moore hat rund drei Prozent aller IP-Adressen abgescannt und dabei 250.000 Systeme entdeckt, die das von Videokonferenzsystemen eingesetzte H.323-Protokoll nutzten. Davon waren fast 5000 so konfiguriert, dass sie eingehende Anrufe automatisch annehmen – vor allem Geräte des Herstellers Polycom, der die meisten Modelle laut dem Bericht nach wie vor mit aktivierter Auto-Annahme ausliefert.

In den Web-Oberflächen fand HD Moore
Adressbücher mit weiteren Unternehmen,
die er ebenfalls ungefragt anzapfen konnte
Bild: Rapid7

Der Sicherheitsexperte bekam so Einblick in zahlreiche Vorstandsetagen, Anwaltskanzleien sowie Räumlichkeiten von Risikokapitalgebern und Forschungseinrichtungen. Ein gefundenes Fressen für Industriespione. Dabei bekam er eine beachtliche Ton- und Bildqualität geboten. In vielen Fällen konnte er die Kameras fern steuern, um etwa ein Passwort auf einem sechs Meter entfernten Zettel nah genug heranzuzoomen, um es lesen zu können. Es gelang dem Experten zudem, eingegebene Passwörter durch das Filmen der Tastatur zu rekonstruieren (Shoulder Surfing).

Nach Angaben des Experten haben viele Firewalls Probleme mit dem H.323-Protokoll, weshalb Admins den Videokonferenzsystemen schlicht eine von außen erreichbare IP zuweisen. Viele der Systeme seien nur unzureichend auf diese Situation vorbereitet; Web-Oberflächen, Telnet-Zugänge und weitere Dienst schlecht gesichert.

Durch die Web-Oberflächen schlecht gesicherter Konferenzsysteme ist Moore nach eigenen Angaben sogar gelungen, sich auf die eigentlich ausreichend geschützten Systeme anderer Unternehmen weiter zu hangeln: Laut dem Bericht konfigurieren Unternehmen ihre Konferenzssysteme oft so, dass sie Anrufe von bestimmten Gegenstellen automatisch annehmen. Moore hat von einem schlecht gesicherten System aus weitere Gegenstellen angerufen, die dem vom ihm genutzten System vertrauten. Die IPs der Gegenstellen fand er im Adressbuch, das Teil der Web-Oberfläche ist.

In den Web-Oberflächen fand HD Moore
Adressbücher mit weiteren Unternehmen,
die er ebenfalls ungefragt anzapfen konnte.
Bild: Rapid7

Moore rechnet damit, dass die Situation bei den über ISDN erreichbaren Systemen noch dramatischer ist: "Mein Bauchgefühl sagt mir, dass es für jedes System, das ungeschützt über das Internet erreichbar ist, zwanzig weitere gibt, die unter einer obskuren ISDN-Nummer erreichbar sind, die die IT-Abteilung längst vergessen hat", meint der Experte. Admins können H.323-Systeme in ihren Netzen etwa mit dem Metasploit-Modul h323_version aufspüren.

Quelle: www.heise.de

[Jürgen]

Vielleicht sollten sich Admins und ihre Brötchengeber mal Gedanken machen, ob viele Videokonferenzen nicht in Wirklichkeit nur eitle Wichtigtuerei von Schlipsträgern sind.

Erstens kostet das viel mehr Geld als eine Telefonkonferenz, einerseits durch die Technik und u.U. die Datenmenge, andererseits auch durch verlorene Arbeitszeit z.B. zum vorherigen Aufhübschen und meist die Versammlung an einem zentralen Ort.
Zweitens kann man grafische Darstellungen auch in besserer Qualität und mindestens ebenso schnell mailen (oder faxen), Texte sowieso.
Drittens beinhaltet auch eine gewollte Videoverbindung gewisse kaufmännische Gefahren, z.B. durch ein unpassendes Versagen des Pokerface auch nur eines der Anwesenden...

Auch sollte darüber nachgedacht werden, ob es nicht sinnvoller wäre, wieder mehr Dinge offline zu erledigen, ohne Echtzeit-Druck.
Das reduziert erfahrungsgemäß dramatisch die Fehlerquoten, unter anderem weil nur so bei Bedarf hilfreiche Recherchen, Rückfragen bei Dritten und jedenfalls bedachtes Entscheiden möglich sind.

Ganz zu schweigen davon, dass eine automatische Annahme einer bidirektionalen Video-Verbindung durchaus zur Unzeit passieren kann, was sogar sittlich gefährdend zu werden vermag.
Man stelle sich einfach vor, das wäre Bill Clinton passiert, während einer gewissen Übung mit seiner Praktikantin...

Jürgen