A telefonia é alvo de ataques há muitos anos. Já nos anos 70 surge uma classe de hackers chamados Phone Hackers ou Phackers, um pessoal que descobriu um brinquedo distribuído nas caixas de um famoso cereal que emitia um tom na exata frequência do tom que acessava a rede de longa distância da operadora AT&T.
Nos dias atuais a telefonia utiliza-se do Protocolo da Internet (IP), formando o VoIP, sendo uma tecnologia interessante que oferece muitos benefícios e soluções de baixo custo para a comunicação. Mais e mais empresas estão substituindo seus antigos sistemas de telefonia tradicional por um baseado em IP.
No Sistemas de telefonia IP também são suscetíveis a escutas, isso em um ambiente IP é um pouco mais difícil de executar e detectar, ainda exigem mais conhecimento e um conjunto certo de ferramentas. Neste artigo iremos discutir um pouco sobre os modos de ataques mais conhecidos e examinar exemplos do mundo real.
Conhecendo a Topologia da Rede
(Clique nas imagens para ampliar)
Um invasor procura coletar informações da rede, informações como:
-
PBX tipo e versão;
-
Numeração de Extensões;
-
Usernames;
-
Hosts (Softfone ou Telefone IP).
Na figura 1 mostra um simples scanner na rede 8.8.1.0/24, procurando algum Host que tenha habilitado a tecnologia SIP. Foram encontrados três IP’s: 8.8.1.13, 8.8.1.5 e 8.8.1.3.
Figura 1: Descobrindo IP’s
Na Figura 2 mostra um scanner mais elaborado, habilitando o fingerprint, assim tendo um descobrimento da tecnologia utilizada nestes hosts.
Os Hosts 8.8.1.5 e 8.8.1.3 são dois hosts utilizando softfone: Zoiper e Linphone;
Host com IP 8.8.1.13 utiliza o FreePBX 2.8.1, neste momento o invasor obtém o tipo e versão do PBX usado neste rede. Uma busca na internet, pode-se obter informações sobre este PBXIP, se há algum bug ou furo na sua programação que possa ser usada no ataque.
Figura 2: Descobrindo tecnologia
Descobrindo as extensão pode ajudar um invasor encontrar extensões válidas no sistema, que mais tarde pode levar a um ataque de força bruta sobre as contas SIP. O descobrimento de extensões funciona por examinação de retorno dos pedidos SIP como: REGISTER, OPTIONS e INVITE.
Figura 3: Descobrindo extensões
Monitoramento da Rede
Monitoramento de tráfego de VoIP pode permitir que um invasor capturar pedidos SIP, dados RTP, captura de autenticação SIP (que mais tarde irá discutir este tema na seção de ataque de autenticação) e escutas de telefonemas. Para este ataque o invasor utiliza o ataque chamado Man-in-the-middle (homem no meio) que exigem os seguintes passos:
-
Envenenamento ARP / spoofing;
-
sniffing tráfego;
-
Decodificação RTP dados para um arquivo de áudio.
Figura 4: Cenário de ataque Man-in-the-middle
Figura 5: Captura de pedidos e respostas SIP
Figura 6: Captura de pacotes RTP
Nas Figuras 5 e 6 mostra uma captura de pedidos sip e rtp, assim o invasor pode obter toda chamada feita entre os hosts.
Ataque de Autenticação
Vamos entender como funciona autenticação SIP. Quando um cliente SIP (User Agent) quer autenticar com um servidor SIP. O cliente manda um REGISTER, o servidor gera e retorna com um desafio para o cliente.
Figura 7: Desafio de autenticação do servidor para cliente
Figura 8: Desafio de autenticação do cliente para servidor
Realm: Usado para identificar credenciais dentro da mensagem SIP, geralmente é o domínio SIP.
Nonce: MD5 gerado pelo servidor para cada pedido.
Com estes parâmetros o invasor pode criar algorítimos de descoberta de senhas. Como ataque bruto usando John The Ripper, dicionário ataque ou Quebrando a Resposta Digest.
Ataque de Negação de Serviço
Com este ataque o invasor inunda a rede ou servidor com inúmeras requisições e dados. Pode levar ao travamento do PBX e impossibilitando o tráfego na rede.
Figura 9: Flood para um PBX com ip 8.8.30.74
Figura 10: ngrep no PBX, mostrando inúmeras requisições vinda do flood
Proteção
A proteção principal é assegurar o servidor de acesso a internet, para isto um firewall que bloqueia acesso é indispensável. Geralmente a regra principal do firewall é bloquear tudo, e ir liberando o que for necessário. Assim o administrador da rede saberá quais serviços estarão disponíveis para fora.
Geralmente um PBX-IP utiliza da porta 5060 para requisições SIP e portas altas para a mídia em RTP. Muitas configurações como a do Asterisk é possível trocar as portas utilizadas, e colocar faixas específicas de portas, ficando não tão visível ao invasor. Também fazer uma configuração correta, com parâmetros que deixam o sistema seguro, no próprio asterisk há parâmetros que impossibilitam a descoberta dos ramais. Senhas fortes com números e letras também é uma boa prática.
Sempre estar com o sistema atualizado, muitos bugs deixam seu sistema vulnerável a um invasor. Sabe-se que as principais falhas são vindas de erros de programação e todo sistema não é 100% seguro.
Há no mercado equipamentos que auxiliam na detecção de invasão, o IPS e IDS. Como também softwares livre que podem auxiliar no sistema, mas há necessidade de um profissional na área, pois mal configurados podem ocasionar falsos alertas.
O administrador da rede pode fazer uma bateria de testes em seu servidor, chamado pentest, como estes explicados neste post.
Quando o invasor vem de dentro da rede, gera um situção delicada, pois pode ser vinda de um funcionário dentro da empresa. Gerando um desconforto e desconfiança por parte da empresa perante aos funcionários. Para empresa não acusar ninguém erroniamente, deve-se fazer uma minuciosa análise da invasão, coletando todas as possíveis evidências, prática chamada de forense computacional.
Para se proteger, o administrador deve conhecer os principais ataques, e este post vem com o intuito de mostrar quais os principais ataques do mundo VoIP.
Mario Felipe Raulino
Referência: http://www.backtrack-linux.org/