Truslene og hva kan gjøres med det?

Transkript

1 Truslene og hva kan gjøres med det? Sanntid samling 14. mai 2014

2 Misbruk av tjeneste Utnytter en tjeneste for økonomisk gevinst Mulige kilder: 1. Personer med fysisk adgang til apparater og/eller systemer 2. Hackere som har fått administrasjonstilgang til telefonisystemet ved et kritisk ledd 3. Scannere som ved «brute force» finner hull i brannmurer og/eller ringeplanlogikk 15. mai 2014 SLIDE 2

3 Motivasjon Penger! Telefoni kan raskt bli svært dyrt Klasser av misbruk: 1. «Script kiddies» for moro/utfordring eller vil spare litt penger på noen samtaler 2. Enkeltpersoner eller organisasjoner for å ringe dyre «teletorg» nummer i utlandet hvor man selv (event. via stråmenn) får inntekt fra samtalen. 3. Organisasjoner som gjemmer den misbrukte sentralen som en av flere bak en mer eller mindre tilsynelatende legitim fasade med mer eller mindre uvitende kunder (f.eks. via calling card). 15. mai 2014 SLIDE 3

4 Typisk metode 1. Skanner nettet etter enheter som kan snakke SIP (eller H.323). Både IP-scanning og portscanning for hver IP. Bruker oftest SIP metodene «OPTIONS» eller «INVITE» for å provosere et svar fra offeret. Sjeldnere variant: Slår opp SRV for domener og angriper serverne direkte. 2. Oppdagede enheter legges i en liste som gjerne «vaskes» for uinteressante enheter (softphones, hardphones) ved hjelp av rapportert «User-Agent» streng fra offeret. Eksempelvis: User-Agent: Aastra MX-ONE SN/ En tid senere (uker, måneder) blir listen benyttet for målrettede scan/angrep 4. Angrepstypen varierer noe: Type 1: «REGISTER> til mange ulike kontoalternativer i et forsøk på å bli en godkjent klient Type 2: «INVITE» til mange ulike nummer i et forsøk på å finne en svakhet i nummerplanen og få linje til PSTN 15. mai 2014 SLIDE 4

5 Angripere blir gradvis smartere Tidligere så man MANGE forsøk mot samme host på kort tid Nå rolig og forsiktig mens man prober etter svakheter. Prøver å være «under radaren». Når hull har blitt kartlagt kan angrepet eskalere i omfang. Skjuler gjerne verktøy etter at angrep starter for fullt (fra User-Agent «friendly-scanner«, «sipvicious», o.l.) mai 2014 SLIDE 5

6 SIP OPTIONS kilder Andre 12 % UK 4 % Tyskland 46 % USA 38 % Kilde: simwood.com 15. mai 2014 SLIDE 6

7 SIP REGISTER kilder Sør-Korea 1 % Thailand 3 % Anonyme proxy 4 % UK 5 % USA 10 % Tyskland 77 % Kilde: simwood.com 15. mai 2014 SLIDE 7

8 SIP INVITE kilder Tyskland 4 % Nederland 5 % Frankrike 5 % UK 6 % Palestina 51 % Europa 7 % USA 22 % Kilde: simwood.com 15. mai 2014 SLIDE 8

9 Destinasjoner Resten av verden 4 % USA 5 % Palestina 3 % UK 15 % Israel 73 % Kilde: simwood.com 15. mai 2014 SLIDE 9

10 Konsekvenser Økonomisk tap kan raskt bli mange penger Forstyrrelse av teknisk utstyr påfulgt av brukermissnøye Plagsomme, mystiske oppringninger hos klientene i egen organisasjon Plagsomme avbrudd/forstyrrelser i videokonferansesystemer Identitetstyveri (kan utgi seg for ditt nummer) Potensielt DoS av tjenesten Potensielt tap av tjeneste mens det pågår eller man prøver å rydde opp. Kan også få konsekvenser for andre tjenester om man ikke har segmentert nettverkene sine. Litt flaut 15. mai 2014 SLIDE 10

11 Målrettet hacking Motivasjon: Spionasje, hærverk, teknisk utfordring SIP og RTP er også nettverkstrafikk! Tap av personvern /industrispionasje gjennom avlytting av RTP strøm eller apparat som passiv avlyttingsenhet. Kan utnyttes med smart SIP-manipulering og dårlig sikrede enheter til å slå hull i brannmurer, et hull som kan brukes til annen form for trafikk. SIP apparater er ofte små Linux maskiner (embedded). Det har blitt demonstrert at enkelte SIP apparater kan manipuleres til å bli springbrett for annen uønsket aktivitet (les: hacking og avlytting) i eget nettverk. Det er nærmest umulig å helgardere seg, men man bør gjøre så godt en kan! 15. mai 2014 SLIDE 11

12 DDoS Massiv trafikk fra mange kilder som lammer normal trafikk Samtaler kommer ikke igjennom eller blir brutt. Dårlig talekvalitet, drop-outs. Kan også være målrettet trafikk mot en tjeneste for å overbelaste CPU i servere Må stanses i infrastrukturen så nær kilden som mulig. 15. mai 2014 SLIDE 12

13 Hva gjør UNINETT 15. mai 2014 SLIDE 13

14 VoIPADE Adaptiv anomalideteksjon Varsling VoIPADE UDS++ Operatør SBC Institusjon 15. mai 2014 SLIDE 14

15 Automatisk sperre av uønsket adferd Analyse Institusjon A Syslog SBC (Proxy) «institusjon-a.no» Syslog server Institusjon B SBC (MGW) «institusjon-b.no» 15. mai 2014 SLIDE 15

16 Følger med og holder oss oppdatert 15. mai 2014 SLIDE 16

17 Hva kan dere gjøre? 15. mai 2014 SLIDE 17

18 Sikring og mottiltak mot misbruk Det er UNØDVENDIG å bli offer for tilfeldig scan angrep! IKKE sett enheter med SIP (eller H323) tilgjengelig fra nett uten at de er konfigurert for å håndtere det. «Gjem» alt som ikke skal være tilgjengelig bak brannmurer (ACL) og herdede SIP proxy (SBC) også egress filtrering! Sørg for god og fortløpende herding av SBC med aktiv logging og alarmer Begrens klienters (hardphones) tilgang til andre nettverksressurser granuler også adgang mot egne telefoniservere 15. mai 2014 SLIDE 18

19 Dårlig sikring Sentral Proxy 15. mai 2014 SLIDE 19

20 Dårlig sikring 15. mai 2014 SLIDE 20

21 Sikring av interne enheter RTP SIP Sentral SBC Kun RTP inn mot apparater fra omverden SIP inn og ut kun via SBC (Proxy) Filtrer UTGÅENDE SIP der det ikke er ønskelig Definer «embedded» SIP enhet som «usikker» 15. mai 2014 SLIDE 21

22 Vær et vanskelig offer Beskytt deg der du kan og gjem kommunikasjonen mot uønsket innsyn TLS Sikrer mot innsyn i samtalepartnere til neste Proxy/MGW SIP i TLS SIP i klartekst Sentral Proxy Sentral SRTP Sikrer mot avlytting av samtale til neste MGW/B2BUA SRTP RTP ZRTP Sikrer mot avlytting av samtale ende til ende ZRTP ZRTP MGW 15. mai 2014 SLIDE 22

23 Anmeld misbruk! Samarbeid event. med UNINETT Cert om en politianmeldelse selv om et virker unyttig. Politi samarbeider internasjonalt Kanskje er det allerede etterforskning på gang og DITT tilfelle kan være med på å felle lovbryterne eller gi dem strengere straff. 15. mai 2014 SLIDE 23

24 15. mai 2014 SLIDE 24