TC Blog

Die dunkle Macht der Wolke – VoIP-Angriffe über Cloud-Services

In der an sich recht ruhigen VoIPsec-Mailingliste wurde soeben ein interessanter Link gepostet. Darin beschreibt Fred Posner, dass er verstärkt Angriffe auf seine VoIP-Infrastruktur mit den Quell-IP-Adressen des Amazon Cloud-Services EC2 feststellen musste.
In einem Fall wurden innerhalb von weniger als 60 Sekunden mehr als 11.500 Registrierungen versucht, in einem anderen Fall innerhalb von weniger als 90 Sekunden mehr als 21.000 Registrierungen. Also ein durchaus als massiv zu bezeichnender Brute-Force-Angriff mit rund 240 Versuchen pro Sekunde.
Amazons Stellungnahme – die im Gegensatz zu einem bereits länger zurückliegenden Angriff beantwortet wurde – enthält neben Marketing-Sprüchen nur die Information, dass der Kunde angeschrieben wurde und der Zugang ggf. gesperrt wird. Man möge aber vorsichtig mit dem Blockieren der Adressen sein, denn diese könnten künftig auch von anderen Kunden genutzt werden.

Interessanter Sachverhalt, der ganz subjektiv zu folgenden Schlüssen führt:

• So ein Cloud-Service ist schon ganz schön fix.
• Die Anbieter von Cloud-Diensten (oder zumindest Amazon) sehen sich nicht in der Lage, klare Angriffe, die durch IDS/IDPS-Systeme leicht zu verhindern wären, zu erkennen und den Kunden entsprechend zu domestizieren.
• Stellt man Angriffe fest, muss man sich selbst darum kümmern festzustellen, ob der Angreifer noch aktiv ist oder nicht, vom Anbieter darf man sich nichts erhoffen.
• Für Angreifer ist so ein Cloud-Dienst daher total gut. Günstig, sehr schnell und man braucht keine Angst haben, dass der Anbieter einem auf die Finger patscht, wenn nicht gerade ein Angegriffener sich beim Anbieter meldet. Die Höchststraße besteht wohl dann im Abschalten des Dienstes.
• Für alle, die öffentliche VoIP-Dienste anbieten wird also wohl ein Session-Border-Controller mit entsprechender Angriffserkennung unausweichlich sein.

/gt