O documento discute os conceitos e fundamentos da segurança em VoIP. Apresenta os objetivos de discutir as questões fundamentais para a segurança de soluções VoIP e entender os principais riscos envolvidos. Também explica as razões para preocupação com segurança em VoIP, comparando PSTN, VoIP e redes, e descreve vulnerabilidades, ameaças e tipos de ataques comuns.

1. Segurança em Voz sobre IP Conceitos e Fundamentos CBC-1 São Paulo, 29 e 30 de Outubro de 2007 21/05/2007 Ruy Flávio de Oliveira Gerente de Produtos – Segurança da Informação

2. Objetivos Discutir as questões fundamentais para a segurança das soluções de VoIP Entender quais são os motivadores envolvidos na segurança de VoIP Entender os principais riscos envolvidos no uso da tecnologia VoIP Qualidade Segurança Serviço de Voz

3. Roteiro Razões da preocupação com segurança em VoIP Breve histórico da fraude telefônica Comparação da segurança em PSTN, VoIP e Redes Vulnerabilidades e ameaças Tipos de ataques e ameaças mais comuns Vulnerabilidades em protocolos e em implementações

4. Roteiro Razões da preocupação com segurança em VoIP Breve histórico da fraude telefônica Comparação da segurança em PSTN, VoIP e Redes Vulnerabilidades e ameaças Tipos de ataques e ameaças mais comuns Vulnerabilidades em protocolos e em implementações

5. Razões da preocupação com VoIP FUNCIONALIDADE SEGURANÇA QUALIDADE X X Redução de custos Integração Novos serviços Novas oportunidades Qualidade de voz deve ser pelo menos similar à comunicação PSTN Mas … e a segurança? Segurança para quê?

6. Notícias sobre Incidentes e Ameaças

7. Razões da preocupação com VoIP Diversidade dos ataques aumenta a cada ano.

8. Vulnerabilidades Fonte: CERT.org

9. Incidentes de Segurança Fonte: CERT.br

10. Exemplos de ataques e Vulnerabilidades

11. Razões da preocupação com VoIP Segurança em VoIP – o que é isto? Segurança em VoIP – por que isto é necessário? Segurança em VoIP – devo mesmo me preocupar com isto? Depende !!! Quais os requisitos de negócios para o uso de VoIP? Quais os requisitos de segurança para o uso de VoIP? Qual o impacto da indisponibilidade da solução VoIP? Qual o impacto da perda de sigilo das comunicações em VoIP? Qual o impacto da perda de integridade das comunicações em VoIP? Qual o impacto das fraudes no uso de VoIP?

12. Requisitos de Segurança Disponibilidade Integridade Confidencialidade O que é mais seguro? Um telefone convencional ou um telefone VoIP? Os cuidados com segurança em VoIP devem ser os mesmos que os com telefones convencionais?

13. Fraude Telefônica Não é Assunto Novo Já havia fraude telefônica na década de 50 nos Estados Unidos John T. Draper descobriu que um apito de brinquedo podia emitir tom de 2600 hz O tom indicava que o tronco de longa distância estava disponível para rotear uma chamada O apito era um brinde na caixa do cereal Cap'n Crunch Fonte: capncrunch.com

14. Segurança comparada: PSTN vs. VoIP Possibilidades de ataques em PSTN: Escuta telefônica clandestina Wiretapping Exige acesso físico Escutas diretamente em companhias telefônicas Agências do governo, de acordo com lei e com cooperação das companhias Linhas de longa distância internacionais podem ser interceptadas por agências de inteligência

15. Segurança comparada: PSTN vs. VoIP Possibilidades de ataques em VoIP: Escutas telefônicas clandestina Não exige acesso físico Ferramentas simples de usar Conversas podem ser gravadas (MP3) e enviadas ao atacante Fraudes de tarifação Fraude de privilégio Comprometimento da Integridade da chamada SPIT

16. Segurança comparada: PSTN vs. VoIP Viabilidade de ataques em VoIP é maior do que em PSTN Custo de ataques em PSTN é maior do que em VoIP Tendência de proliferação de ataques em VoIP Crime organizado AINDA não vê VoIP como alvo, pois AINDA é pouco usado

17. Segurança comparada: PSTN vs. VoIP As necessidades de segurança e as características da infra-estrutura que as atendem. Fonte: ACM Queue, Set. 2004

18. Possíveis Cenários de Ataque em VoIP Cenário 1 Crime organizado atacando sistemas VoIP Cenário 2 Multinacionais ou negócios globalizados com novas ameaças Competição HP (2005): proibiu funcionários de discutir negócios via VoIP Cenário 3 Usuários comuns vítima de chantagem devido ao VoIP Interceptação de ligações pessoais Gravações em mp3 Ameaças de divulgação pública Qualquer um pode ser vítima de ataques via VoIP, seja pessoa física ou jurídica. Lavagem de dinheiro Botnets P2P Worms “ Worm Storm”

19. Segurança comparada : VoIP vs. Redes Segurança em VoIP é mais complexa que segurança de redes. Segurança de redes IP faz parte; Complexidade do ambiente aumenta com a integração; Protocolos de transporte de mídia; Protocolos de sinalização e sua arquitetura; Componentes de uma arquitetura VoIP; Além de tudo isto . . . Protocolos de suporte, como QoS, também possuem seus aspectos de segurança; Segurança física; Alimentação elétrica Interação dos usuários com a rede (inteligência nos aparelhos); Requisitos de desempenho e de disponibilidade

20. Segurança comparada : VoIP vs. Redes Telefonia (VoIP) é mais importante que outras aplicações? Requisitos de tempo real em VoIP fazem com que controles de segurança tradicionais em redes de dados não possam ser utilizados diretamente na rede VoIP Controles devem ser especializados O uso de controles de segurança deve ser bem avaliado Firewall que suporta alocação dinâmica de portas das chamadas, NAT, IPSec, …

21. Segurança comparada : VoIP vs. Redes Mecanismos de segurança possuem efeitos colaterais Delay; Latência; Jitter. Implementação de segurança pode causar a perda de qualidade de serviço. Por isto, implementação da segurança depende da análise de risco. Deixar de considerar a segurança pode ser pior, caso existam os requisitos de segurança rigorosos. Qualidade Segurança

22. Razões da preocupação com VoIP Para o SANS Institute a insegurança em redes VoIP é grave e alarmante VoIP está na lista dos 20 principais alvos de ataque da Internet em 2006 [3] Os ataques a redes VoIP estão entre as 10 tendências em segurança de informações para o ano de 2007 [4] .

23. Roteiro Razões da preocupação com segurança em VoIP Breve histórico da fraude telefônica Comparação da segurança em PSTN, VoIP e Redes Vulnerabilidades e ameaças Tipos de ataques e ameaças mais comuns Vulnerabilidades em protocolos e em implementações

24. O que é segurança? Ausência de Riscos Inaceitáveis

25. Requisitos de Segurança Integridade Garantir a salvaguarda, precisão das informações contra corrupção e falsificação. Disponibilidade Garantir que as informações estejam disponíveis para quem possui autorização para acessá-las. Confidencialidade (Sigilo) Garantir que apenas as pessoas autorizadas tenham acesso as informações privilegiadas

26. Ameaças a segurança das redes VoIP Ameaças à Integridade Falsificação do identificador de chamada Seqüestro de inscrição Redirecionamento de Chamada Personificação de proxy Ameaças à Disponibilidade DoS sobre protocolos de sinalização DoS sobre protocolos de fluxo de mídia DoS sobre infra-estrutura física Ameaças ao Sigilo Escuta clandestina de conversas Acesso (físico) desautorizado

27. Ameaças à Confidencialidade Escuta clandestina de conversas telefônicas A escuta clandestina na telefonia tradicional exige acesso físico a linha telefônica ou a uma central telefônica. Em VoIP, as oportunidades de escuta clandestina estão em todos os equipamentos intermediários localizados no caminho entre as entidades em diálogo. Há analisadores de rede e ferramentas de captura de pacotes capazes de converter tráfego VoIP em arquivos de áudio. Ethereal [9] e VoMIT [8] são exemplos de tais ferramentas.

28. Cenário 1 – Escuta Telefônica Funcionário escuta a ligação do diretor executivo feita pela rede VoIP; Acesso a dados pessoais; Envio de informações sobre negócios para o concorrente; Difícil de acontecer?

29. Cenário 1 – Escuta Telefônica Como a escuta telefônica acontece em VoIP? Uso de técnicas comuns do mundo IP: Sniffing. Gateway Atacante Sinalização Servidor de Sinalização (SIP Proxy, H.323 Gatekeeper) Gateway Telefone IP Servidor de Sinalização (SIP Proxy, H.323 Gatekeeper) Telefone IP Media Media Sinalização Site A Site B Rede IP Telefone comum

30. Ameaças à Confidencialidade Acesso desautorizado Acesso desautorizado do atacante a rede VoIP pode ser obtido através de portas e serviços não documentados a telefones VoIP. Também há falhas de implementação em vários elementos da infra-estrutura VoIP Controle de chamada, administração, contabilização e tarifação. Armazenamentos nestes sistemas podem conter senhas, identificadores de usuários, números de telefone , além de outra informação pessoal privada. Gateways e switches usam senhas defaults amplamente conhecidas. Switches podem usar Telnet para acesso remoto . Gateways podem oferecer interface HTTP para acesso remoto . O ataque de ARP poisoning pode ser usado para redirecionamento e interceptação de tráfego VoIP.

31. Cenário 2 – Acesso não-autorizado Atacante usa técnica ( ARP redirection ) em uma grande empresa para gravação de todas as conversações; Deixa gravando tudo durante uma semana; Utiliza um decodificador para acessar detalhes como acesso a bancos, acessar caixas postais, etc. Phone banking Voice Mail

32. Cenário 3 – Espionagem Industrial Exploração de vulnerabilidades de redes IP Uso (contratação) de Crackers; Controle de componentes da rede VoIP Escuta de reuniões por equipamentos de conferência baseados em VoIP Controle de microfones e ligações automáticas Uso de equipamentos da rede VoIP como ponte para outras informações da empresa Financeiras; RH; SAP; Clientes; …

33. Ameaças à Confidencialidade Contramedidas Tradicionalmente, a única tecnologia capaz de oferecer alguma proteção contra a escuta clandestina da conversa telefônica é a criptografia [5] . Os protocolos IPSec e TLS pode ser usados para cifrar conversas. Para a proteção dos fluxos de áudio e vídeo, o SRTP pode ser usado para garantir confidencialidade, autenticação de mensagem e proteção contra ataques de replay. A proteção dos gateways e switches pode ser melhorada com o uso do SSH em vez do TELNET e HTTPS em vez do HTTP. Senhas default dos equipamentos devem ser substituídas por senhas consideradas fortes e sistemas de detecção de intrusão devem ser usados para detectar ARP poisoning.

34. Ameaças à Integridade Falsificação do identificador de chamada CallerID Spoofing Identificação de chamada é um serviço disponível tanto na rede de telefonia tradicional quanto em telefonia IP. A falsificação da identificação de chamada é a modificação do código de identificação do chamador, de acordo com a vontade do próprio chamador. Em VoIP, esta falsificação é mais fácil que na telefonia tradicional. Por exemplo, em SIP, a falsificação se baseia na mera modificação do campo FROM (com o ID do chamador) de uma mensagem INVITE.

35. CallerID Spoofing Há relatos de que esta vulnerabilidade pode ser explorada por fraudadores de cartão de crédito para personificar a identidade do proprietário legítimo do cartão, ao autorizar transações financeiras [6] . Spammers também podem se aproveitar desta vulnerabilidade [6] INVITE sip:bob@biloxi.com SIP/2.0 Via: SIP/2.0/UDP pc33.atlanta.com;branch=z9hG4bK776asdhds Max-Forwards: 70 To: Bob <sip:bob@biloxi.com> From: Alice <sip:alice@atlanta.com>;tag=1928301774 Call-ID: a84b4c76e66710@pc33.atlanta.com CSeq: 314159 INVITE Contact: <sip:alice@pc33.atlanta.com> Content-Type: application/sdp Content-Length: 142

36. Ameaças à Integridade Seqüestro de inscrição A inscrição ou registro do usuário é o ato de informar ao servidor qual IP está associado a um callerID. O seqüestro de inscrição ocorre quanto o atacante substitui o IP da vítima (o usuário legítimo) pelo seu próprio. Por exemplo, em SIP, em uma mensagem REGISTER, enviado via UDP, o campo CONTACT contém o IP e a porta na qual o usuário legítimo responderá. O atacante, após a interceptação da mensagem REGISTER, poderia substituir o valor do campo CONTACT pelo seu IP/porta. Um ataque de DoS pode ser aplicado sobre vítima a fim de desabilitá-la e impedí-la de registar-se novamente. Outra estratégia usada pelo atacante é enviar requisições de registro falsas a uma freqüência maior que a do usuário legítimo.

37. Ameaças à Integridade Personificação de proxy Este ataque é caracterizado pelo estabelecimento de um proxy falso, configurado pelo atacante, no qual o usuário VoIP se conectará erroneamente, pensando estar se comunicando com o proxy verdadeiro. Este ataque é facilitado pelas seguintes vulnerabilidades e ataques comunicação UDP em claro entre proxies, falta de autenticação forte entre elementos da rede, DNS spoofing, ARP cache spoofing, DHCP spoofing, ou ainda pela mudança do endereço do proxy em um telefone SIP.

38. Personificação de Proxy Fonte: [SANS_VoIP]

39. Ameaças à Integridade Redirecionamento de Chamada O redirecionamento de chamada é caracterizado pela interceptação e reroteamento da conversa telefônica (a chamada) por um caminho diferente do original, antes dela alcançar o destino. Os métodos de concretização desta ameaça podem ser a personificação de proxy e a falsificação da inscrição. Se o atacante, redireciona e intercepta não somente a informação da chamada, nas também a informação de retorno, diz-se que o ataque é o homem-do-meio.

40. Redirecionamento de Chamada

41. Cenário 4 – Ligações Gratuitas Fraude financeira pela exploração de várias vulnerabilidades Uso de informações do protocolo de sinalização; Caller ID Spoofing; Call forwarding; Desvio do SIP Proxy; SIP Proxy falso.

42. Cenário 5 – Inserção de Dados Falsificação de conteúdo pela exploração de outras vulnerabilidades Sequestro de ligações; Injeção de tráfego. Edição de áudio e/ou síntese de voz com finalidade maliciosa. INVITE sip: [email_address] SIP/2.0 Via: SIP/2.0/UDP here.com:5060 From : BigGuy < sip:UserA@here.com > To : LittleGuy < sip:UserB@there.com > Call-ID: 12345601@here.com CSeq: 1 INVITE Contact : < sip:UserA@100.101.102.103 > Content-Type: application/sdp Content-Length: 147 v=0 o=UserA 2890844526 2890844526 IN IP4 here.com s=Session SDP c=IN IP4 100.101.102.103 t=0 0 m=audio 49172 RTP/AVP 0 a=rtpmap:0 PCMU/8000

43. Ameaças à Integridade Contramedidas Uma vez que a mensagem REGISTER não possui garantia de autenticidade e nem de integridade, não há meios diretos de prevenção contra a falsificação do ID de chamada. Autenticação forte pode evitar o seqüestro de inscrição, a personificação de proxy e o seqüestro de chamada. Recomenda-se que os sistemas estejam atualizados com correções para as vulnerabilidades conhecidas e que ferramentas de varredura de vulnerabilidades em VoIP sejam usadas regularmente.

44. Ameaças à Disponibilidade DoS sobre Protocolos de sinalização em VoIP Atacantes podem usar os protocolos de sinalização (como SIP ou H.323) na condução de um DoS sobre rede VoIP, ou algum elemento de rede em particular. O atacante envia um número grande de requisições de comunicação que consomem o poder de processamento de um proxy ou de um terminal (VoIP fone ou softfone). O atacante envia sinalização de cancelamento, ou de encerramento ou de porta inatingível para o telefone IP da vítima; o que impossibilita o completamento de chamadas.

45. DoS com Inundação de INVITE O atacante envia várias (uma inundação de) mensagens INVITE para a vítima. O callerID do atacante é falso. Invite Invites Alice Atacante Bob

46. DoS com Cancelamento de Chamada A conexão é descoberta em uma etapa de varredura e coleta de dados. O callerID do atacante é falso. A mensagem de CANCEL pode impedir o estabelecimento da chamada. Atacante Invite Cancel Alice Bob

47. DoS com Encerramento de Chamada A conexão é descoberta em uma etapa de varredura e coleta de dados. O callerID do atacante é falso. A mensagem de GOODBYE interrompe conexões estabelecidas. Atacante Invite Goodbye Alice Bob

48. Ameaças à Disponibilidade DoS sobre protocolos de fluxo de dados em VoIP Atacantes podem inundar gateways, telefones IP e outros equipamentos de processamento de mídia com uma enxurrada de pacotes RTP. Quando o alvo é forçado a descartar pacotes, há degradação da qualidade de voz/vídeo. Além disso, vulnerabilidades comuns no tratamento de datagramas UDP (a base do RTP) podem ser usadas para indisponibilizar os equipamentos que processam mídia.

49. DoS com Inundação de Pacote RTP Alice Atacante Conversa RTP Bob RTP

50. Ameaças à Disponibilidade DoS sobre Infra-estrutura Física de VoIP Estes ataques incluem interrupções no fornecimento de energia e dano físico aos componentes de rede. Geralmente exigem acesso físico às instalações.

51. Segurança em VoIP - Disponibilidade Disponibilidade de PSTN é de 99,999%. O mesmo nível de disponibilidade é exigido da infra-estrutura VoIP? Disponibilidade com qualidade é importante! Ninguém investe em algo pensando em não poder usar o serviço! Qual o nível de disponbilidade requerido pela organização? Qual o nível de qualidade requerido pela organização? Quais os riscos envolvidos ? Os mecanismos de segurança adequados contra os riscos identificados e analisados Sem eletricidade não há serviço de VoIP No-break em cada componente da rede (switch, roteador, gateways, servidores, aparelhos, etc.) Prepare a contingência.

52. Ameaças à Disponibilidade Contramedidas As medidas de proteção contra os ataques de DoS em VoIP são as seguintes: (1) autenticação forte para prevenir a falsificação de mensagens nos protocolos de sinalização (SIP e H.323) e (2) uso de firewalls de aplicação especializados em VoIP para inibir ataques contra os protocolos de mídia (RTP).

53. Vulnerabilidades em Dispositivos VoIP Jan 23, 2007 – Multiple VOIP Phones Aredfox PA168 Chipset Session Hijacking Vulnerability http://www.securityfocus.com/bid/22191 Feb 19, 2007 – Cisco 7940 SIP INVITE remote DOS http://voipsa.org/pipermail/voipsec_voipsa.org/2007-March/002276.html Mar 08, 2007 – Asterisk SIP INVITE remote DOS http://voipsa.org/pipermail/voipsec_voipsa.org/2007-March/002275.html Mar 26, 2007 – Blackberry™ 7270 SIP stack is vulnerable to malformed header value http://www.sipera.com/index.php?action=resources,threat_advisory&tid=211& Mar 26, 2007 – HTC HyTN using Windows Mobile 5 PPC and AGEPhone SIP soft phone are vulnerable to malformed delimiter http://www.sipera.com/index.php?action=resources,threat_advisory&tid=215& Mar 26, 2007 – D-Link DPH-540/DPH-541 Wi-Fi phone may accept SIP messages from a random source IP address http://www.sipera.com/index.php?action=resources,threat_advisory&tid=219&

54. Sumário dos Principais Ataques Grampos RTP Playback Seqüestro ARP Spoofing ENUM hijacking Autenticação Digest replay Caller ID spoofing

55. Sumário dos Principais Ataques Ataques de Mídia RTP Injection Ataques Sociais SPIT Atravessando o Firewall Command shell channeling “ Bombando” o Plano de Assinatura Manipulação CoS/CoR

56. Sumário dos Principais Ataques Invasão de Appliances Appliances inadequadamente gerenciadas Fraude de Tarifas Gateways expostos Apagar registros de bilhetagem Acesso “gratuito” a serviços (tipo correio de voz) DoS Ataques à Infra-estrutura de autenticação

57. A seguir, cenas dos próximos capítulos Mecanismos de Segurança para VoIP Segurança em SIP e H.323 Recomendações gerais de segurança em VoIP Estratégias de segurança na implantação de VoIP Investimentos em segurança Análise de risco

58. Dúvidas? VoIP H.323 Vishing fading IPSec SIP DNS ARP WPA WEP QoS Jitter UDP PSTN SRTP RTP

59. Obrigado! Ruy Flávio de Oliveira [email_address] telefone: (19) 3705-4125

60. Referências [1] Cisco Call Manager Denial of Service Vulnerability. http://www.cisco.com/en/US/products/products_security_advisory09186a00805e8a55.shtml [2] Multiple Vulnerabilities in Asterisk 1.2.10 http://archives.neohapsis.com/archives/bugtraq/2006-10/0311.html [3] SANS Institute. 2006. SANS Top-20 Internet Security Attack Targets 2006. http://www.sans.org/top20 [4] SANS Institute. 2006. The Ten Most Important Security Trends of the Coming Year. http://www.sans.org [5] Bruce Schneier. 2006. Why VOIP Needs Crypto. Wired News. http://www.wired.com/news/columns/1,70591-0.html [6] Jianqiang Xin. Security Issues and Countermeasure for VoIP. GIAC Security Essentials. GIAC Gold Paper for GSEC. As part of the Information Security Reading Room. SANS Institute, 2007. [7] Protos-SIP, Protocol analizer for SIP. http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/index.html

61. Referências [8] vomit - voice over misconfigured internet telephones. http://vomit.xtdnet.nl/ [9] Ethereal - Network protocol analyzer. http://www.ethereal.com/ [10] NIST Security Considerations for Voice Over IP Systems. http://csrc.nist.gov/publications/nistpubs/800-58/SP800-58-final.pdf