Next Hope New York 2010: Bakeca.it DDoS case history
Smau 2010 Milano: Seminario AIPSI Sicurezza del VoIP
1. Alessio L.R. Pennasilico
mayhem@aipsi.org
twitter: mayhemspp
FaceBook: alessio.pennasilico
Antonio Dr. Ing. Mauro,
a.mauro@aipsi.org
Comitato Tenico Scientifico
GCIH, CCSP, Network+, LoCSI
VoIP: è davvero sicuro?
Friday, 22 October, 2010
2. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Antonio Mauro
• Antonio Mauro è un Ingegnere Informatico - Doctor of Science in Computer Engineering
• Ph. D. Information Technology – Electronic Communications and Cybercrime Security Governance - Particular
case: Military Defense and Public Safety and Security
• Docente al Master in Computer Forensics ed Investigazioni Digitali – Univeristà degli Studi di Milano
• Consulente Tecnico Ufficio pesso il Tribunale di Roma e Perito di Parte
• GCIH, CCSP, INFOSEC Professional certificate (NSA), Network+, CCVP, LoCSI
• ANC - Associazione Nazionale Carabinieri
• AFCEA - Associazione delle Comunicazioni e dell'Elettronica per le Forze Armate
• IACP – International Association of Chief of Police
• ICAA – International Crime Analysis Association - Ricercatore e Docente
• CLUSIT - Associazione Italiana per la Sicurezza Informatica
• AIPSI – Associazione Italiana Professionisti Sicurezza Informatica – Comitato Tecnico Scientifico
• AISF – Accademia Internazionale Scienze Forensi - Ricercatore in ambito Digital Forensics e docente
• AICA – Associazione Italiana per l’Informatica ed il Calcolo Automatico
• MANUALE DI INVESTIGAZIONE CRIMINALE - Nuovo Studio Tecna edizioni, Roma, 2008
• CIBERSPAZIO E DIRITTO – Mucchi editore – 2010 – Capitolo sul VoIP Security
• Docente di informatica presso l’Istituto per Sovrintendenti e di Perfezionamento per Ispettori
• Docente in Digital e Network Forensics / Investigation
2
Friday, 22 October, 2010
3. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
$ whois mayhem
Board of Directors:
CLUSIT, Associazione Informatici Professionisti,
Associazione Italiana Professionisti Sicurezza Informatica,
Italian Linux Society, OpenBSD Italian User Group,
Hacker’s Profiling Project
3
Security Evangelist @
Friday, 22 October, 2010
6. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Accendo il telefono
I telefoni IP, per funzionare, possono eseguire diverse azioni
preliminari, vulnerabili a diversi attacchi:
✓ottengono l'indirizzo IP da un server DHCP
✓ottengono dal DHCP l'indirizzo di un TFTP server
➡ io sono il server DHCP, ti indirizzo al mio TFTP
✓scaricano il firmware dal TFTP server
➡ io sono il TFTP e ti do il mio firmware/configurazione
✓scaricano la configurazione dal TFTP server
➡ io leggo la configurazione dal server TFTP
✓si autenticano sul server VoIP
➡ sniffo, o mi fingo il PBX e forzo auth plain text
6
Friday, 22 October, 2010
7. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Man in the middle
Tutti i protocolli/servizi utilizzati sono
particolarmente vulnerabili ad una serie di
attacchi MITM, essendo tutti protocolli che
si basano su broadcast e su UDP non
autenticato.
7
Friday, 22 October, 2010
8. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Attacco al DHCP
Posso impersonare il server DHCP, ma devo
fornire parametri di rete compatibili con la
topologia per poter interagire con il device.
Tra i parametri che invio vi è l’option 150,
che specifica l’IP del server TFTP dal
quale scaricare firmware e configurazione.
8
Friday, 22 October, 2010
9. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Il server TFTP
Poter reindirizzare i telefoni su un server
TFTP gestito dall’attaccante permette di
danneggiare irreparabilmente il telefono,
installare una backdoor o configurarlo a
suo piacimento.
9
Friday, 22 October, 2010
10. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
TFTP spoofing
Nel caso non si riesca ad impersonare il
server DHCP è sempre possibile tentare di
impersonare il server TFTP, con tutte le
conseguenze elencate precedentemente.
10
Friday, 22 October, 2010
11. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Attacco al server TFTP
La configurazione dei telefoni viene spesso
conservata sul server in formato XML.
Conoscendo i nomi dei file è possibile, in
alcuni casi, spacciarsi per il telefono e
richiedere la propria configurazione, che
comprende username e password.
11
Friday, 22 October, 2010
12. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Autenticazione del telefono
Molto spesso l’autenticazione verso il server
VoIP avviene in chiaro.
Basterà quindi utilizzare uno dei diversi
strumenti in grado di identificare le
credenziali all’interno di un flusso di
traffico, dopo esserci messi in grado di
“sniffare” le connessioni.
12
Friday, 22 October, 2010
13. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Impersonare il VoIP PBX
E’ possibile tentare di impersonare il server
VoIP, per ricevere eventuali tentativi di
autenticazione dei telefoni, forzando
l’autenticazione in chiaro, al fine di avere le
credenziali di accesso di tutti i telefoni
dell’infrastruttura.
13
Friday, 22 October, 2010
14. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Il telefono in funzione
Nel caso in cui nessuno degli attacchi sopra
citati possa essere portato a termine, è
sempre possibile lavorare sulle operazioni
di gestione delle chiamate.
14
Friday, 22 October, 2010
15. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Chiamiamoci!
Completato lo startup il telefono conversa
con il server in merito al proprio stato ed
allo stato delle chiamate (signaling).
Quando si effettua una chiamata tra due
telefoni, conclusa la fase iniziale di
signaling, si instaura un flusso RTP tra gli
end-point o tra ogni SIP-UA ed il proprio
server VoIP.
15
Friday, 22 October, 2010
16. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Traffico in chiaro
Il traffico di signaling e di RTP è spesso in
chiaro. Questo consente di catturare ed
analizzare tutti i dati che transitano
all’interno di quei flussi dati.
16
Friday, 22 October, 2010
17. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
RTP
Il flusso RTP può essere tra ogni telefono ed
il proprio server VoIP o direttamente tra i
due telefoni una volta che il call-setup è
stato completato.
Questo è da tenere presente quando si
disegna la rete, per garantire performance
adeguate.
17
Friday, 22 October, 2010
19. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Ettercap #1
http://ettercap.sourceforge.net/
La suite per gli attacchi Man in the Middle. Multipiattaforma,
da usare in console o in un windows manager, Ettercap
permette di lanciare tutti quegli attacchi a Layer 2 che
permettono di capire quanto la nostra rete switchata sia
vulnerabile se non adeguatamente protetta.
Keywords: arp spoofing, arp poisoning, hijacking, sniffing,
decoding, dns spoofing, dos, flood.
19
Friday, 22 October, 2010
21. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Wireshark #1
http://www.wireshark.org/
Sniffer multipiattaforma, corredato di molti decoder,
che lo mettono in grado di interpretare il traffico
intercettato.
Wireshark può interpretare tanto i flussi di signaling,
quanto quelli RTP, ed estrarne tutte le informazioni
necessarie per una successiva analisi.
21
Friday, 22 October, 2010
23. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Vomit
http://vomit.xtdnet.nl/
Voice Over Misconfigured Internet Telephones, a partire dal
file di dump creato da uno sniffer, in formato tcpdump,
vomit crea un file audio contenente la conversazioneVoIP
transitata sulla rete monitorata. Supporta il protocollo
MGCP con codec G.711 e funziona solo con Linux.
./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1
23
Friday, 22 October, 2010
24. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Oreka
http://oreka.sourceforge.net/
Distribuito per Windows e Linux, supporta i protocolli
di Cisco CallMananager, Lucent APX8000, Avaya,
S8500, Siemens HiPath, VocalData, Sylantro, Asterisk
SIP channel.
Intercetta e registra le conversazioni basate su flussi
RTP. Semplice, intuitivo, via web e con supporto per
MySQL.
24
Friday, 22 October, 2010
25. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
SipSak #1
http://sipsak.org/
Si tratta del coltellino svizzero del
VoIPAdmin. Permette di interagire con
qualsiasi device SIP inviando traffico
creato ad hoc per interagire con il server e
verificare il suo comportamento in
situazioni create da noi.
25
Friday, 22 October, 2010
27. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Ohrwurm
http://mazzoo.de/blog/2006/08/25#ohrwurm
Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è
testare l'implementazione del protocollo SIP del device
verificato, inviando una enorme quantità di richieste con
diverse combinazioni di parametri, più o meno sensati,
allo scopo di individuare eventuali comportamenti
anomali.
Le anomalie riscontrate spesso si rivelano essere bug di
implementazione.
27
Friday, 22 October, 2010
28. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Smap
http://www.wormulon.net/index.php?/archives/1125-smap-released.html
Unendo nmap e SipSak otteniamo uno strumento in
grado di rilevare i device SIP, dedurre di che marca e
modello di device si tratta dal fingerprint e creare una
mappa della rete analizzata. E' inoltre possibile interagire
direttamente con il device, fingendosi un apparato SIP,
per ottenere maggiori informazioni.
28
Friday, 22 October, 2010
29. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
SiVus
http://www.vopsecurity.org/html/tools.html
Si tratta di un SIP security scanner: verifica le
caratteristiche del target dello scan rispetto ad
un database di vulnerabilità conosciute.
29
Friday, 22 October, 2010
30. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
SIPVicious
http://sipvicious.org/blog/
Suite che comprende uno scanner, un
enumeratore ed un password cracker.
Multipiattaforma, anche per MacOSX.
30
Friday, 22 October, 2010
31. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Cain & Abel
http://www.oxid.it/
31
Friday, 22 October, 2010
35. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Posso dormire tranquillo?
35
Hey, non distrarti!
Friday, 22 October, 2010
36. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
Conclusioni
Il VoIP può essere più sicuro della telefonia
tradizionale. Questo tuttavia si ottiene
attraverso una corretta progettazione,
implementazione e verifica, seguendo
alcune best practice, sia dal punto di vista
tecnico che dal punto di vista della
formazione.
36
Friday, 22 October, 2010
37. VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org
INFRASTRUTTURA
VLAN segmentation
Layer 2 protection
Firewall
Intrusion detection
QoS and thresholds
Secure VPN
Wireless security
END POINT
Digital certificates
Authenticated phones
GARP protection
TLS protected signaling
SRTP media encryption
Centralized management
CALL MANAGEMENT
Hardened Windows OS
Digital certificates
Signed software images
TLS signaling
APPLICAZIONI ED
INTEGRAZIONI
Multi-level administration
Toll fraud protection
Secure management
Hardened platforms
h.323 and SIP signaling
Consigli pratici?
37
ALCUNI TIPI DI ATTACCO
➡ MAC Address spoofing
➡ DHCP Starvation
➡ Denial of service
➡ Autenticazione
➡ Privacy
➡ Impersonation
➡ Chiamate fraudolente
Friday, 22 October, 2010
38. Alessio L.R. Pennasilico
mayhem@aipsi.org
twitter: mayhemspp
FaceBook: alessio.pennasilico
Antonio Dr. Ing. Mauro,
a.mauro@aipsi.org
Comitato Tenico Scientifico
GCIH, CCSP, Network+, LoCSI
Domande?
These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-
ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Grazie per l’attenzione!
Friday, 22 October, 2010