HERVÉ SCHAUER CONSULTANTS HERVÉ SCHAUER CONSULTANTS
Cabinet de Consultants en Sécurité Informatique depuis 1989 Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet
Spécialisé sur Unix, Windows, TCP/IP et Internet
JTR 2010 JTR 2010
Sécurité de la Voix sur IP Sécurité de la Voix sur IP
Jean-Baptiste Aviat Jean-Baptiste Aviat
<Jean-Baptiste.Aviat@hsc.fr>
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 2/31
Hervé Schauer Consultants
Société indépendante de conseil en sécurité informatique
Depuis 1989
http://www.hsc.fr/
support@hsc.fr
19 ingénieurs/consultants Domaines d'expertise :
Audits de sécurité : système, code, architecture Tests d'intrusion
Sécurité organisationnelle (/ISO-2700[1-5]/) Formations techniques et organisationnelles
Plan
Les risques associés à la téléphonie
Accompagné d'exemples venant du terrain
L'indisponibilité La surfacturation
L'interconnexion au réseau de données La non confidentialité
Quelques solutions de sécurisation
Certains éléments de cette présentation sont
issus de la formation HSC « sécurité de la VoIP »
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 4/31
Les risques associés à la téléphonie
Dépendent bien sur du contexte !
Différents contextes, différents besoins :
Hôpital Banque
Opérateurs téléphoniques PME / PMI
Les risques associés à la téléphonie
Peuvent être répartis en deux types :
→ IP
Interception des communications Dénis de service
→ protocole de téléphonie
Surfacturation
Usurpation d'identité Déni de service
…
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 6/31
Protocoles et concepts de la VoIP
Une multitude de protocoles
H323 SIP
SCCP (Cisco) MGCP
…
Deux flux à distinguer :
Signalisation : la gestion des appels
Initiation ou fin d'appel, authentification...
Données : la voix, la vidéo
Peuvent suivre des chemins distincts
L'indisponibilité
Téléphones IP très peu stables
Implémentent des protocoles réseau « classiques »
IP, UDP, TCP, HTTP
Gourmands en ressources Et sur de l'embarqué...
Un vers...
Vers = Virus par le réseau Balaye le réseau
Perturbation des téléphones
Conséquence
La VoIP est indisponible !
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 8/31
Exemple : l'utilitaire UDPSIC
UDP : protocole extrêmement simple Pourtant...
Peu de téléphones
l'implémentent de façon robuste Quelques milliers de paquets suffisent à :
Geler le téléphone
quelques secondes ou indéfiniment
Le faire redémarrer
Un réseau dont les téléphones redémarrent sans cesse...
est un réseau téléphonique inutilisable.
# ./udpsic -s 10.20.76.44 -d 10.36.3.102,20480 Compiled against Libnet 1.1.2.1
Installing Signal Handlers.
Seeding with 17789
Using random source ports.
No Maximum traffic limiter Bad IP Version = 10%
IP Opts Pcnt Frag'd Pcnt
= 30%
Bad UDP Cksm
= 50%
= 10%
1000 @ 11812.4 pkts/sec and 7975.3 k/s 2000 @ 13208.6 pkts/sec and 8095.3 k/s [...]
# ./udpsic -s 10.20.76.44 -d 10.36.3.102,20480 Compiled against Libnet 1.1.2.1
Installing Signal Handlers.
Seeding with 17789
Using random source ports.
No Maximum traffic limiter Bad IP Version = 10%
IP Opts Pcnt Frag'd Pcnt
= 30%
Bad UDP Cksm
= 50%
= 10%
1000 @ 11812.4 pkts/sec and 7975.3 k/s 2000 @ 13208.6 pkts/sec and 8095.3 k/s [...]
L'indisponibilité
Avec un seul paquet UPD :
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 10/31
L'indisponibilité
Ou bien :
L'indisponibilité : le spam
Coût d'un appel VoIP : 0 €
Coût d'une publicité VoIP... 0 €
La VoIP est une cible idéale pour la publicité
→ Un robot appelle et délivre son message
Méthodes de protection :
CAPTCHA (on s'assure que l'interlocuteur est humain) Tests calculatoires (on rend le coût CPU de l'appel élevé) Listes blanches / grises / noires
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite
12/31
La surfacturation €
Détourner l'utilisation de l'infrastructure Pour appeler :
à son propre compte
ses propres services surtaxés Pour le compte d'autres...
Et revendre !
Certains cas très médiatisés :
2006 : deux hackers américains vendent pour 1M$ de communications volées
2009 : 9 employés de Sprint revendent des comptes de clients pour passer des appels
La surfacturation
Un pirate prend la main sur un IPBX
Planifie des appels à son numéro surtaxé
Toutes les 2 minutes entre 23h et 3h 5 jours par semaine...
→ 600 appels par semaine !
En combien de temps le détecteriez-vous ?
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 14/31
L'interconnexion au réseau de données
Serveurs VoIP souvent moins sécurisés que les serveurs
« classiques »
Gérés par des équipes différentes : «équipes télécom »
Développement spécifiques réalisés en interne
Aucune bonne pratique de développement
Services implémentés souvent très vulnérables Serveurs utilisés souvent laissés pour compte
Non à jour
Configuration non durcie
Exemple : interconnexion LDAP pour un service de carnet d'adresse
PHP + MySQL
L'interconnexion au réseau de données
Une entreprise fournit un accès SIP
Accès informatique : 5600/UDP ou 5600/TCP Si une vulnérabilité existe dans le serveur SIP ? Le pirate prend la main sur le serveur
Et rebondit !
Un pirate qui s'introduit dans votre système d'information
Peut rebondir sur la téléphonie
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 16/31
Vulnérabilités sur les logiciels de VoIP
Asterisk :
CVE-2010-0441 → Remote unauthenticated sessions
Appels non authentifiés
CVE-2008-1289 → Exploitable Buffer Overflow
Compromission système du serveur
CVE-2007-6171 → Injection SQL
Accès à la base de données (obtention des mots de passe d'autres utilisateurs), appels non authentifiés...
Cisco :
CVE-2010-2835 → Denial of Service
Redémarrage du serveur avec un paquet SIP
CVE-2010-0584 → Denial of Service
Compromission système du serveur
Vulnérabilités sur les logiciels support
CVE-2008-0166 → OpenSSL Debian
Authentification par clé ?
MS08-067 → Microsoft Windows
Compromission système du serveur
CVE-2010-3279 → Alcatel
Accès à la console d'administration sans authentification
???? → Alcatel
Mots de passe par défaut
Authentification sans mot de passe
Et toutes les failles informatiques « classiques » !
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 18/31
Vulnérabilités sur les protocoles
SIP présente des vulnérabilités intrinsèques :
permet de s'authentifier à la place d'un téléphone
Découverte de cette vulnérabilité :
Équipe Madynes du LORIA-INRIA Lorraine
Et de bien d'autres vulnérabilités !
Vulnérabilité SIP 1/3
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 20/31
Vulnérabilité SIP 2/3
Fonctionnalité SIP : mise en attente
Vulnérabilité SIP 3/3
D'où... usurpation de l'authentification !
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 22/31
Vulnérabilités sur l'intégration
Services d'annuaire ou d'interconnexions « faits maison »
Développés à la va vite par l'équipe VoIP Pas de bonnes pratiques de développement
Point d'entrée supplémentaire
Porte dérobée
Un pirate prend la main sur un serveur
Et souhaite s'y maintenir ! Utilisation d'une backdoor
Si serveur VoIP isolé...
Comment le contacter ? Par téléphone !
Alambix : porte dérobée pour Asterisk
Shell over DTMF
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 24/31
La non confidentialité
Les communications sont rarement chiffrées
Difficulté à déployer des certificats sur un parc de téléphones
Nombreux moyens de les intercepter
Attaques réseau (ARP) Via les switchs
Par DHCP...
Le son comme la vidéo peuvent être décodés
rtpbreak $ ./rtpbreak -W -r ~/current/un-flux.pcap -d ~/current v1.3a running here!
[...]
* Reading packets...
open di ./rtp.2.0.txt
! [rtp0] detected: pt=23(?) 10.0.0.44:4096 => 10.0.0.1:4192 [...]
* [rtp0] closed: packets inbuffer=0 flushed=477 lost=0(0.00%), call_length=0m14s
+ Status
Alive RTP Sessions: 0 Closed RTP Sessions: 1 Detected RTP Sessions: 1 Flushed RTP packets: 477 Lost RTP packets: 0 (0.00%)
$ ./rtpbreak -W -r ~/current/un-flux.pcap -d ~/current v1.3a running here!
[...]
* Reading packets...
open di ./rtp.2.0.txt
! [rtp0] detected: pt=23(?) 10.0.0.44:4096 => 10.0.0.1:4192 [...]
* [rtp0] closed: packets inbuffer=0 flushed=477 lost=0(0.00%), call_length=0m14s
+ Status
Alive RTP Sessions: 0 Closed RTP Sessions: 1 Detected RTP Sessions: 1 Flushed RTP packets: 477 Lost RTP packets: 0 (0.00%)
Le protocole ZRTP Le protocole ZRTP
Draft de RFC
Utilisation de Diffie Hellman Anonyme
Vulnérable aux interceptions :
Copyright Hervé Schauer Consultants 2008 - Reproduction Interdite - 26- 26 - -
Le protocole ZRTP Le protocole ZRTP
Garantie que personne n'intercepte la communication
s0 = clé maître utilisée pour la génération des diverses clés
La non confidentialité
Infrastructures administrables à distance
En HTTP
Parfois disponibles sur Internet
IPBX : consultation des journaux
Administration de la visio-conférence
Accès à toutes les caméras de toutes les salles de réunion !
Avec certains téléphones GSM
Journalisation des SMS
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 28/31
Session Initiation Protocol
Request-Line: INVITE sip:06xxxxxxxx@a.b.c.d SIP/2.0 Message Header
Via: SIP/2.0/UDP 10.0.0.53:7502 Max-Forwards: 70
From: "0606060606"
<sip:0606060606>;tag=9c6072bf2bd8428bb2f63d1191f23f34;epid=eae6c76a48 To: <sip:06xxxxxxxx@a.b.c.d>
Call-ID: 2c3fad5bdb6e48dda1640aaa7417d3b3
Vu chez un opérateur
Cas pratique d'intrusion sur des réseaux VoIP opérateur :
Impacts :
Consultation de la messagerie de tous les abonnés
Usurpation d'identité pour les appels et les SMS / MMS
Quelques solutions de sécurisation
Les éléments relatifs à la VoIP sont informatiques
Les bonnes pratiques informatiques s'appliquent donc !
Ne pas mutualiser les machines ! Mettre à jour les logiciels
Les systèmes d'exploitation Les firmwares également !
Des switchs Des téléphones
Séparer les réseaux
Données et voix devraient être sur des réseaux distincts
Le réseau de voix ne devrait accéder qu'au strict nécessaire Pas d'interface d'administration
Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 30/31
Références
RTPBreak
http://dallachiesa.com/code/rtpbreak/
Sécurité de la VoIP, 06/05, Franck Davy, Nicolas Jombart, Alain Thivillon, HSC
http://www.hsc.fr/ressources/presentations/csm05-voip/
ISIC : tcpsic, udpsic
http://isic.sourceforge.net/
Shell over DTMF, 06/2009, Nicolas Collignon
http://www.hsc.fr/ressources/presentations/sstic09_rump_alambix/
Brouillon de RFC de ZRTP :
http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-22