Η προσθήκη VoIP συστημάτων στο δίκτυο θέτει νέες προκλήσεις στις επιχειρήσεις και τους διαχειριστές δικτύων, καθώς και νέους πιθανούς κινδύνους στην ασφάλεια. Οι κακόβουλοι χρήστες είναι σε θέση να αποκτούν πρόσβαση στα δίκτυα VoIP και να υποκλέπτουν τις μη κρυπτογραφημένες κλήσεις ή να προκαλούν διακοπή υπηρεσιών με βασικό κίνητρο το βιομηχανικό ανταγωνισμό.
Δεν είναι λίγες οι φορές όπου ανταγωνιστικές εταιρείες προσπαθούν να εισβάλουν στο δίκτυο VoIP εταιρειών, είτε για να υποκλέψουν συνομιλίες είτε για να προκαλέσουν καταστροφές. Μεγάλο ποσοστό των χρηστών αγνοεί τους κινδύνους που ελλοχεύουν στα συστήματα VoIP, ειδικότερα στο σύγχρονο επιχειρηματικό κόσμο. Όσο αυξάνεται η χρήση των τεχνολογιών VoIP, τόσο μεγαλύτερος είναι και ο κίνδυνος σε περίπτωση όπου δεν λαμβάνονται τα απαραίτητα μέτρα.
Η εκμετάλλευση ευπαθειών σε συστήματα VoIP, μέχρι αρκετά πρόσφατα περιελάμβανε κατά κύριο λόγο την κλοπή αριθμών τηλεφώνου και τη χρήση τους από κακόβουλους χρήστες σε βάρος της εταιρείας όπου ανήκαν. Ακόμη παλαιότερα, σε προ VoIP περιόδους που η τηλεφωνία δεν ήταν τόσο φτηνή όσο είναι στις ημέρες μας, το γνωστό ως «phreaking» ανάγκαζε εταιρείες και Οργανισμούς να υπερχρεώνονται με φουσκωμένους τηλεφωνικούς λογαριασμούς. Ο όρος «phreaking» έχει περάσει προ πολλού στην ιστορία. Σήμερα περιγράφει ως επί το πλείστον μια παραλλαγή του γνωστού μας hacking – με μια κλίση όμως προς τα συστήματα VoIP (Voice over Internet Protocol). Η πλειονότητα των δικτύων VoIP βασίζεται στα κλασικά λειτουργικά συστήματα, επομένως και σε αυτά τα περιβάλλοντα θα συναντήσουμε γνωστές τεχνικές hacking, οι οποίες χρησιμοποιούνται για να στοχεύσουν ένα οποιουδήποτε είδους δίκτυο.
Τα δίκτυα VoIP αποτελούν εφαρμογές οι οποίες έχουν ως βάση το διαδίκτυο, ακριβώς όπως και τα e-mails. Η βασική διαφορά είναι ότι τα VoIP συστήματα έχουν να κάνουν με την τηλεφωνία, η οποία ακόμη και σήμερα κοστίζει. Μάλιστα η εκμετάλλευση VoIP συστημάτων μπορεί να αποφέρει μεγάλα χρηματικά ποσά εάν ο χρήστης κατέχει έστω και μερική τεχνική κατάρτιση – γι’ αυτό και είναι αρκετά σημαντικό να προστατεύουμε το εταιρικό μας δίκτυο εκ των προτέρων και να εφαρμόζουμε τακτικούς ελέγχους ασφαλείας.
Τα βασικά βήματα ενός ελέγχου ασφαλείας σε VoIP δίκτυα δεν διαφέρουν επί της ουσίας από εκείνα των υπολοίπων ελέγχων που πραγματοποιούμε σε άλλους τομείς της πληροφοριακής μας υποδομής. Για παράδειγμα, πριν ξεκινήσει το κυρίως στάδιο του ελέγχου, προχωρούμε στην αναζήτηση πληροφοριών από δημόσιες πηγές (information gathering). Με μια αναζήτηση στο Google ίσως να βρούμε κάποιο δημοσιευμένο έγγραφο που να αναφέρει ποιο VoIP server χρησιμοποιεί ο Οργανισμός που μας ενδιαφέρει ή οποιαδήποτε άλλη παρόμοιας φύσης χρήσιμη πληροφορία, κυρίως κατά τη διάρκεια ελέγχων ασφαλείας με προσέγγιση μεθόδων Black Box ή Grey Box.
Αρχικά θα πρέπει να χρησιμοποιήσουμε ορισμένα εργαλεία για να βρούμε τις συσκευές που χρησιμοποιούν πρωτόκολλο SIP, με σκοπό τον καθορισμό των στόχων μας. Δύο αξιοπρεπή εργαλεία για τέτοιου είδους εργασίες αποτελούν το SMAP και το SIP-Scan. Και στα δύο μπορούμε να δηλώσουμε μία IP ή ένα εύρος IP, ώστε να αναζητήσουν συσκευές με ενεργοποιημένο το πρωτόκολλο SIP.
Στη συνέχεια και αφού βρούμε τις συσκευές-στόχους, είναι χρήσιμο να κάνουμε ένα port scan σε αυτές για να συλλέξουμε το μεγαλύτερο δυνατό όγκο χρήσιμων πληροφοριών. Φυσικά, για αυτό το σκοπό το καλύτερο εργαλείο είναι το Nmap. Με χρήση της παραμέτρου «-Ο» οι πληροφορίες που θα πάρουμε από το Nmap είναι ένας μικρός θησαυρός, καθώς υπάρχει η δυνατότητα να μάθουμε ακόμα και τα μοντέλα των τηλεφώνων που χρησιμοποιούνται στην υποδομή. Αφού λοιπόν έχουμε βρει τους στόχους μας και τις IP τους, είμαστε πλέον σε θέση να ξεκινήσουμε το κυρίως στάδιο του ελέγχου. Η λειτουργία αυτή μπορεί να αυτοματοποιηθεί με το εργαλείο SiVus, σε Windows περιβάλλον. Επίσης, με κατάλληλη χρήση της εντολής netcat μπορούμε να ζητήσουμε ένα username, π.χ. “test”. Αν το username υπάρχει, θα πάρουμε απάντηση με κωδικό 200, σε αντίθετη περίπτωση, 404.
Επιπλέον, πολλές συσκευές χρησιμοποιούν το πρωτόκολλο TFTP ώστε να ενημερώνουν τα configuration files και σπάνια ο TFTP server προστατεύεται επαρκώς. Μέσα σε αυτά τα αρχεία μπορούμε να βρούμε ονόματα χρηστών, κωδικούς πρόσβασης, καθώς και υπηρεσίες που χρησιμοποιούνται. Με μια αναζήτηση στις search engines μπορούμε να βρούμε τα πιο συχνά ονόματα που έχουν αυτά τα αρχεία και να τα κατεβάσουμε με το εργαλείο TFTPBrute.
Ένα ακόμη πρωτόκολλο που χρησιμοποιούν οι συσκευές και ο τηλεπικοινωνιακός εξοπλισμός VoIP είναι το SNMP. Συνήθως αποτελεί την κερκόπορτα στην άντληση πληροφοριών και δεν λαμβάνονται μέτρα διασφάλισης χρήσης του συγκεκριμένου πρωτοκόλλου. Εντοπίζεται κυρίως εγκατεστημένο στις τηλεφωνικές συσκευές και μας δίνει τη δυνατότητα να συλλέξουμε αρκετές πληροφορίες μέσω εύχρηστων εργαλείων, όπως snmpwalk. Για να κάνουμε όμως κάτι τέτοιο, θα χρειαστούμε το OID της συσκευής. Αυτό μπορούμε να το βρούμε με το λογισμικό Solarwinds MIB.
Αν καταφέρουμε με κάποιο συνδυασμό από τους προαναφερθέντες τρόπους να αποκτήσουμε πρόσβαση στους servers ή στις VoIP συσκευές, μπορούμε να εκμεταλλευτούμε το δίκτυο με διάφορους τρόπους. Ένας από αυτούς είναι η παρακολούθηση των επικοινωνιών, όπου για να πετύχουμε κάτι τέτοιο μπορούμε να χρησιμοποιήσουμε γνωστά εργαλεία όπως Ettercap, Dsniff και Cain and Abel, με σκοπό να συλλέξουμε αρχικά τα μηνύματα που ανταλλάσσονται. Για να τα αποκωδικοποιήσουμε μπορούμε να χρησιμοποιήσουμε τα Wireshark, Vomit, Etherspeak και Cain and Abel. Βέβαια σε έναν έλεγχο ασφαλείας ενός VoIP δικτύου δεν θα πρέπει να παραλείψουμε να πραγματοποιήσουμε και ελέγχους fuzzing ώστε να βρούμε σφάλματα και ευπάθειες, κάνοντας δοκιμές διακοπής υπηρεσιών και χειρισμού/αλλοίωσης του σήματος (signal manipulation). (εικόνα 2)
Αναλύοντας τις επιθέσεις που ενδεχομένως να επηρεάσουν το εταιρικό VoIP δίκτυο, παρατηρούμε ότι πέρα από ορισμένους εξειδικευμένους τύπους επιθέσεων, σε αρκετά σημεία εμφανίζονται παρόμοιες επιθέσεις με εκείνες που θα επηρέαζαν μια οποιαδήποτε εταιρική δικτυακή εφαρμογή ή μια web εφαρμογή, όπως για παράδειγμα επιθέσεις cross-site scripting ή denial of service.
Σε μια προσπάθεια να εμβαθύνουμε στην ασφάλεια των VoIP δικτύων, αναφέρουμε ορισμένους δημοφιλείς τύπους επιθέσεων:
Επιθέσεις επανάληψης
Οι επιθέσεις επανάληψης (replay) ουσιαστικά επαναλαμβάνουν μια νόμιμη συνεδρία (συνήθως μετά από sniffing του δικτύου) σε βάρος κάποιου νόμιμου χρήστη. Σε ένα δίκτυο VoIP, οι επιθέσεις replay επηρεάζουν το πρωτόκολλο SIP. Για να προστατέψουμε το εταιρικό VoIP δίκτυο, μπορούμε να χρησιμοποιήσουμε το ασφαλές πρωτόκολλο επικοινωνίας SIPS.
Επιθέσεις άρνησης υπηρεσιών
Ακριβώς επειδή τo εταιρικό VoIP βασίζεται στη δικτυακή μας IP, είναι ανοικτό σε παρόμοιου τύπου επιθέσεις που θα μπορούσαν να επηρεάσουν οποιαδήποτε τέτοιου είδους υπηρεσία. Επομένως οι επιθέσεις άρνησης υπηρεσιών (denial of service και distributed denial of service) θα μπορούσαν κάλλιστα να επηρεάσουν το VoIP δίκτυο της εταιρείας μας.
Επιθέσεις παρακολούθησης κλήσεων
Οι επιθέσεις παρακολούθησης κλήσεων (eavesdropping) συμβαίνουν διότι το πρωτόκολλο το οποίο χρησιμοποιείτε κατά τη διεξαγωγή της συνομιλίας, συνήθως δεν είναι κρυπτογραφημένο. Αυτό το συναντάμε αρκετά συχνά σε περιπτώσεις όπου χρησιμοποιούμε το RTP ως μέσο για τη μεταφορά της συνομιλίας. Μια αρκετά καλή λύση είναι να χρησιμοποιούμε ασφαλές RTP (SRTP), το οποίο προσφέρει όχι μόνο κρυπτογράφηση, αλλά και αυθεντικοποίηση κατά την έναρξη της συνεδρίας.
Επιθέσεις σε επίπεδο εφαρμογής
Το service port των συσκευών VoIP επιτρέπει στους διαχειριστές του εταιρικού δικτύου να συλλέξουν πληροφορίες και στατιστικά, καθώς και να διαχειριστούν απομακρυσμένα τις εν λόγω συσκευές. Σε περίπτωση όπου πραγματοποιηθεί επιτυχημένη επίθεση σε επίπεδο εφαρμογής (π.χ. με υποκλοπή κωδικών ή με χρήση κάποιου exploit) τότε οι κακόβουλοι χρήστες θα αποκτήσουν πρόσβαση και εκείνοι στις συγκεκριμένες πληροφορίες.
Επιθέσεις Vishing
Μέσω VoIP, οι κλήσεις μπορεί να έρχονται από οποιοδήποτε σημείο του παγκόσμιου ιστού και η ταυτότητα του χρήστη που πραγματοποιεί την κλήση ενδέχεται να μπορεί να παραμείνει κρυφή με τη χρήση συγκεκριμένων μεθόδων. Με τον ίδιο τρόπο που λειτουργεί και το phishing μέσω e-mail, οι επιθέσεις vishing συνήθως προσομοιώνουν ψευδώς οικονομικούς Οργανισμούς ή χρηματοπιστωτικά ιδρύματα, ζητώντας προσωπικές πληροφορίες από τον εκάστοτε χρήστη, όπως αριθμούς πιστωτικών καρτών και στοιχεία ταυτότητας.
Μη εξουσιοδοτημένες κλήσεις
Ένας από τους πιο διαδεδομένους τύπους επιθέσεων σε συστήματα VoIP είναι η απόκτηση παράνομης πρόσβασης στο εταιρικό δίκτυο VoIP και η πραγματοποίηση μη εξουσιοδοτημένων κλήσεων, για τις οποίες χρεώνεται η εταιρεία με υπέρογκα χρηματικά ποσά.
VoIP spam
Γνωστό και ως SPIT (spam over internet telephony) χρησιμοποιείται πλέον κατά κόρον από διαφημιστές, σε μια προσπάθεια να προσεγγίσουν μεγάλους αριθμούς χρηστών. Τέτοιου είδους κλήσεις ενδέχεται να αποτελέσουν προπύργιο για διαδικτυακές επιθέσεις, όπως denial-of-service.
Με το spam να αγγίζει αρκετά υψηλά ποσοστά, δεν θα μας φανεί καθόλου περίεργο αν η επόμενη ηλεκτρονική μάστιγα για τις επιχειρήσεις ονομάζεται τηλεφωνικό spam. Ενώ τα spam email μπορούν να διαγραφούν σε δευτερόλεπτα, σε περίπτωση όπου το φωνητικό spam χτυπήσει μια τηλεφωνική γραμμή, πρόκειται για κάτι εντελώς διαφορετικό. Κάθε φορά που χτυπάει το τηλέφωνο σε μια εταιρεία, απαντάται και είναι αρκετά δύσκολο να αναγνωριστεί η κανονική κλήση από την κλήση spam, αποφέροντας στους κακόβουλους χρήστες οικονομικά οφέλη – και όχι μόνο.
Με την αυξανόμενη χρήση τεχνολογιών VoIP θα γινόμαστε μάρτυρες ολοένα και περισσότερων περιστατικών phone-hacking. Η ελλιπής λήψη κατάλληλων μέτρων για την προστασία των VoIP δικτύων είναι σχεδόν το ίδιο επικίνδυνη με την πρόσβαση στον παγκόσμιο ιστό χωρίς τη χρήση firewall. Οι επαρκείς λύσεις για την ασφάλεια ενός VoIP δικτύου ποικίλουν. Η αρχή όμως οφείλει να γίνεται από τους διαχειριστές, οι οποίοι θα πρέπει να προχωρούν σε σωστή εγκατάσταση και παραμετροποίηση των συστημάτων τους, αλλά φυσικά και στη διεξαγωγή εκτενών τακτικών ελέγχων ασφάλειας.
Κωνσταντίνος Βαβούσης
Strategic Manager
Trust-IT
kvav@trust-it.gr