Durch ungesicherte Videokonferenz-Systeme können Hacker sensible Konferenzen ausspionieren
Viele Konferenzräume sind mittlerweile mit Videoequipment ausgestattet, um Videokonferenzen zu ermöglichen. Damit gibt man aber auch Hackern die Möglichkeit, Betriebsgeheimnisse auszuspionieren. Das bewies der Hacker HD Moore diesen Monat, als er in verschiedene Systeme eindrang.
HD Moore ist Chef-Sicherheitsberater der Internet-Securtiy Firma Rapid7 in Boston. Die Firma hat sich auf Sicherheitslücken in Computersystem spezialisiert, die in Toastern oder im Equipment von Mars-Missionen verwendet werden.
Kamera bedient
Die New York Times berichtet, dass Moore mit der Kamera so nahe an Tische zoomen konnte, dass man die Maserung genau erkennen konnte. Das Equipment ist so stark, dass sogar ein Tier, das sich über 45 Meter außerhalb des Gebäudes unter einem Busch versteckt hat, erkannt wurde.
Absicherung wichtig
Damit wollte die Rapid7 darauf hinweisen, dass es für die Sicherheit einer Firma wichtig ist, nicht nur das Computersystem und die Laptops der Angestellten abzusichern. Dafür werden Milliarden Dollar investiert. Für die Sicherheit des Raumes in dem Videokonferenzen stattfinden, wird hingegen kaum Geld ausgegeben.
Zugang zu sensiblen Informationen
HD Moore konnte sich Zugang in die Konferenzräume von den wichtigsten Risikokapitalfirmen und Anwaltskanzleien, Pharmazie- und Ölfirmen und sogar Gerichtssälen verschaffen. Sogar in einen Goldman Sachs Sitzungssaal konnte der Hacker eindringen. Mike Tuchen, Chef von Rapid7, warnt: "Das sind die wichtigsten Sitzungssäle der Welt - wo die kritischsten Meetings stattfinden - und es könnten stille Zuhörer in jedem davon sein."
Internet statt sicherer Telefonleitung
Vor zehn Jahren fanden Videokonferenzen über teure sichere Highspeed-Telefonleitungen statt. In den letzten Jahren stiegen die Firmen aber aufs Internet um. Heutzutage verwenden die meisten Firmen Internet Protokoll Videokonferenz-Tools, also ein auffrisiertes Skype, um sich mit Kollegen und Kunden in Verbindung zu setzen. Die meisten Tools wurden in Hinsicht auf gute Ton- und Videoqualität entwickelt, Sicherheit war nebensächlich.
25.000 Dollar
Die populärsten Lösungen, von Polycom und Cisco, kosten um die 25.000 US-Dollar. Dafür enthält man HD-Video und Audio-Software, die Daten verschlüsselt überträgt. Aber laut Rapid7 installieren die System-Administratoren diese häufig außerhalb der Firewall und konfigurieren diese dazu falsch. Dadurch öffnen sie Hackern Tür und Tor.
Verletzlich
Durch Videokonferenz-Systeme haben sich Firmen verletzlich gemacht. Zum Einen wickeln sie die Konferenzen über das Internet ab, zum Anderen richten sie das System oft so ein, dass jeder mitsehen und mithören kann. Bisher gab aber keine Firma bekannt, dass sie über das Videokonferenz-System gehackt wurden.
Automatische Anruf-Annahme
Neuere Systeme sind noch dazu mit einer automatischen Annahme von Anrufen ausgestattet. D. h. man muss nicht mehr auf "akzeptieren" klicken, um einen Anruf anzunehmen. Damit kann jeder in einen Konferenzraum anrufen und sich umsehen.
5.000 ungesicherte Konferenzzimmer in zwei Stunden
Vor zwei Monaten schrieb HD Moore ein Programm, das das Internet nach Videokonferenz-Systemen durchsucht, die außerhalb einer Firewall liegen und auf automatischen Anruf-Annahme eingestellt waren. Innerhalb von zwei Stunden hat er 5.000 ungesicherte Konferenzzimmer gefunden. Darunter ein Raum in dem sich Anwälte und Gefängnis-Insassen treffen, ein OP-Saal an einer medizinischen Universität und der Meeting-Raum einer Risikokapital-Firma, indem die Finanzen der Firma auf einem Bildschirm zu sehen waren.
Systeme ohne Sicherung ausgeliefert
Der führende Anbieter für Videokonferenz-Tools, Polycom, ist die einzige Firma, die alle ihre Produkte mit einer voreingestellten automatische Anruf-Annahme ausliefert. Gegenüber der New York Times sagte eine Sprecher, dass mehrere Sicherheitselemente bei der automatischen Anruf-Annahme eingebaut sind. Allerdings müssen die vom Kunden erst aktiviert werden.
"Gatekeeper"
HD Moore sagt: "Viele Polycom-Systeme werden verkauft, installiert und ohne jede Art von Zugangssicherung betrieben." Viele Firmen wüssten nicht einmal von dem Risiko, meinte er weiter. Tuchen meint, Firmen sollten einen "Gatekeeper" installieren, wenn sie die Software vor der Firewall betreiben. Damit können Anrufe sicher verbunden werden. Allerdings ist die Konfiguration schwierig und wird oft übersprungen, sagt Tuchen weiter.
Gefährdung anderer Firmen
Firmen die ihre Systeme nicht sichern, gefährden auch Unternehmen, die ein gesichertes System verwenden. So konnte HD Moore den Goldman Sachs Sitzungssaal bei seinem Scan nicht finden. Allerdings tauchte der Raum im Adressbuch einer Anwaltskanzlei auf, die mit Goldman Sachs eine Videokonferenz abgehalten hat.
Tuchen ist überzeugt, dass jedes sechsjährige Kind, das sich halbwegs mit Computern auskennt, in die Systeme hinein kommt. (soc)
