(48) 3332-8540

Principais Ataques do Mundo VoIP

A telefonia é alvo de ataques há muitos anos. Já nos anos 70 surge uma classe de hackers chamados Phone Hackers ou Phackers, um pessoal que descobriu um brinquedo distribuído nas caixas de um famoso cereal que emitia um tom na exata frequência do tom que acessava a rede de longa distância da operadora AT&T.

Nos dias atuais a telefonia utiliza-se do Protocolo da Internet (IP), formando o VoIP, sendo uma tecnologia interessante que oferece muitos benefícios e soluções de baixo custo para a comunicação. Mais e mais empresas estão substituindo seus antigos sistemas de telefonia tradicional por um baseado em IP.

No Sistemas de telefonia IP também são suscetíveis a escutas, isso em um ambiente IP é um pouco mais difícil de executar e detectar, ainda exigem mais conhecimento e um conjunto certo de ferramentas. Neste artigo iremos discutir um pouco sobre os modos de ataques mais conhecidos e examinar exemplos do mundo real.

Conhecendo a Topologia da Rede

(Clique nas imagens para ampliar)

Um invasor procura coletar informações da rede, informações como:

  • PBX tipo e versão;

  • Numeração de Extensões;

  • Usernames;

  • Hosts (Softfone ou Telefone IP).

Na figura 1 mostra um simples scanner na rede 8.8.1.0/24, procurando algum Host que tenha habilitado a tecnologia SIP. Foram encontrados três IP’s: 8.8.1.13, 8.8.1.5 e 8.8.1.3.

figura1pentest

Figura 1: Descobrindo IP’s

Na Figura 2 mostra um scanner mais elaborado, habilitando o fingerprint, assim tendo um descobrimento da tecnologia utilizada nestes hosts.

Os Hosts 8.8.1.5 e 8.8.1.3 são dois hosts utilizando softfone: Zoiper e Linphone;

Host com IP 8.8.1.13 utiliza o FreePBX 2.8.1, neste momento o invasor obtém o tipo e versão do PBX usado neste rede. Uma busca na internet, pode-se obter informações sobre este PBXIP, se há algum bug ou furo na sua programação que possa ser usada no ataque.

 figura3pentest
Figura 2: Descobrindo tecnologia

Descobrindo as extensão pode ajudar um invasor encontrar extensões válidas no sistema, que mais tarde pode levar a um ataque de força bruta sobre as contas SIP. O descobrimento de extensões funciona por examinação de retorno dos pedidos SIP como: REGISTER, OPTIONS e INVITE.

figura2pentest

 Figura 3: Descobrindo extensões

Monitoramento da Rede

Monitoramento de tráfego de VoIP pode permitir que um invasor capturar pedidos SIP, dados RTP, captura de autenticação SIP (que mais tarde irá discutir este tema na seção de ataque de autenticação) e escutas de telefonemas. Para este ataque o invasor utiliza o ataque chamado Man-in-the-middle (homem no meio) que exigem os seguintes passos:

  • Envenenamento ARP / spoofing;

  • sniffing tráfego;

  • Decodificação RTP dados para um arquivo de áudio.

figura4pentest

Figura 4: Cenário de ataque Man-in-the-middle

figura5pentest

Figura 5: Captura de pedidos e respostas SIP

figura6pentest

Figura 6: Captura de pacotes RTP

Nas Figuras 5 e 6 mostra uma captura de pedidos sip e rtp, assim o invasor pode obter toda chamada feita entre os hosts.

Ataque de Autenticação

Vamos entender como funciona autenticação SIP.  Quando um cliente SIP (User Agent) quer autenticar com um servidor SIP. O cliente manda um REGISTER, o servidor gera e retorna com um desafio para o cliente.

figura7pentest

Figura 7: Desafio de autenticação do servidor para cliente

figura8pentest

Figura 8: Desafio de autenticação do cliente para servidor

Realm: Usado para identificar credenciais dentro da mensagem SIP, geralmente é o domínio SIP.

Nonce: MD5 gerado pelo servidor para cada pedido.

Com estes parâmetros o invasor pode criar algorítimos de descoberta de senhas. Como ataque bruto usando John The Ripper, dicionário ataque ou Quebrando a Resposta Digest.

Ataque de Negação de Serviço

Com este ataque o invasor inunda a rede ou servidor com inúmeras requisições e dados. Pode levar ao travamento do PBX e impossibilitando o tráfego na rede.

figura9pentest

Figura 9: Flood para um PBX com ip 8.8.30.74

figura10pentest

Figura 10: ngrep no PBX, mostrando inúmeras requisições vinda do flood

Proteção

A proteção principal é assegurar o servidor de acesso a internet, para isto um firewall que bloqueia acesso é indispensável. Geralmente a regra principal do firewall é bloquear tudo, e ir liberando o que for necessário. Assim o administrador da rede saberá quais serviços estarão disponíveis para fora.

Geralmente um PBX-IP utiliza da porta 5060 para requisições SIP e portas altas para a mídia em RTP. Muitas configurações como a do Asterisk é possível trocar as portas utilizadas, e colocar faixas específicas de portas, ficando não tão visível ao invasor. Também fazer uma configuração correta, com parâmetros que deixam o sistema seguro, no próprio asterisk há parâmetros que impossibilitam a descoberta dos ramais. Senhas fortes com números e letras também é uma boa prática.

Sempre estar com o sistema atualizado, muitos bugs deixam seu sistema vulnerável a um invasor. Sabe-se que as principais falhas são vindas de erros de programação e todo sistema não é 100% seguro.

Há no mercado equipamentos que auxiliam na detecção de invasão, o IPS e IDS. Como também softwares livre que podem auxiliar no sistema, mas há necessidade de um profissional na área, pois mal configurados podem ocasionar falsos alertas.

O administrador da rede pode fazer uma bateria de testes em seu servidor, chamado pentest, como estes explicados neste post.

Quando o invasor vem de dentro da rede, gera um situção delicada, pois pode ser vinda de um funcionário dentro da empresa. Gerando um desconforto e desconfiança por parte da empresa perante aos funcionários. Para empresa não acusar ninguém erroniamente, deve-se fazer uma minuciosa análise da invasão, coletando todas as possíveis evidências, prática chamada de forense computacional.

Para se proteger, o administrador deve conhecer os principais ataques, e este post vem com o intuito de mostrar quais os principais ataques do mundo VoIP.

 Mario Felipe Raulino

Referência: http://www.backtrack-linux.org/

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *