Sécurité de la Voix sur IP

(1)

HERVÉ SCHAUER CONSULTANTS HERVÉ SCHAUER CONSULTANTS

Cabinet de Consultants en Sécurité Informatique depuis 1989 Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet

Spécialisé sur Unix, Windows, TCP/IP et Internet

JTR 2010 JTR 2010

Sécurité de la Voix sur IP Sécurité de la Voix sur IP

Jean-Baptiste Aviat Jean-Baptiste Aviat

<Jean-Baptiste.Aviat@hsc.fr>

(2)

Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite 2/31

Hervé Schauer Consultants

Société indépendante de conseil en sécurité informatique

Depuis 1989

http://www.hsc.fr/

support@hsc.fr

19 ingénieurs/consultants Domaines d'expertise :

Audits de sécurité : système, code, architecture Tests d'intrusion

Sécurité organisationnelle (/ISO-2700[1-5]/) Formations techniques et organisationnelles

(3)

Plan

Les risques associés à la téléphonie

Accompagné d'exemples venant du terrain

L'indisponibilité La surfacturation

L'interconnexion au réseau de données La non confidentialité

Quelques solutions de sécurisation

Certains éléments de cette présentation sont

issus de la formation HSC « sécurité de la VoIP »

(4)

Les risques associés à la téléphonie

Dépendent bien sur du contexte !

Différents contextes, différents besoins :

Hôpital Banque

Opérateurs téléphoniques PME / PMI

(5)

Les risques associés à la téléphonie

Peuvent être répartis en deux types :

→ IP

Interception des communications Dénis de service

→ protocole de téléphonie

Surfacturation

Usurpation d'identité Déni de service

…

(6)

Protocoles et concepts de la VoIP

Une multitude de protocoles

H323 SIP

SCCP (Cisco) MGCP

…

Deux flux à distinguer :

Signalisation : la gestion des appels

Initiation ou fin d'appel, authentification...

Données : la voix, la vidéo

Peuvent suivre des chemins distincts

(7)

L'indisponibilité

Téléphones IP très peu stables

Implémentent des protocoles réseau « classiques »

IP, UDP, TCP, HTTP

Gourmands en ressources Et sur de l'embarqué...

Un vers...

Vers = Virus par le réseau Balaye le réseau

Perturbation des téléphones

Conséquence

La VoIP est indisponible !

(8)

Exemple : l'utilitaire UDPSIC

UDP : protocole extrêmement simple Pourtant...

Peu de téléphones

l'implémentent de façon robuste Quelques milliers de paquets suffisent à :

Geler le téléphone

quelques secondes ou indéfiniment

Le faire redémarrer

Un réseau dont les téléphones redémarrent sans cesse...

est un réseau téléphonique inutilisable.

# ./udpsic -s 10.20.76.44 -d 10.36.3.102,20480 Compiled against Libnet 1.1.2.1

Installing Signal Handlers.

Seeding with 17789

Using random source ports.

No Maximum traffic limiter Bad IP Version = 10%

IP Opts Pcnt Frag'd Pcnt

= 30%

Bad UDP Cksm

= 50%

= 10%

1000 @ 11812.4 pkts/sec and 7975.3 k/s 2000 @ 13208.6 pkts/sec and 8095.3 k/s [...]

# ./udpsic -s 10.20.76.44 -d 10.36.3.102,20480 Compiled against Libnet 1.1.2.1

Installing Signal Handlers.

Seeding with 17789

Using random source ports.

No Maximum traffic limiter Bad IP Version = 10%

IP Opts Pcnt Frag'd Pcnt

= 30%

Bad UDP Cksm

= 50%

= 10%

1000 @ 11812.4 pkts/sec and 7975.3 k/s 2000 @ 13208.6 pkts/sec and 8095.3 k/s [...]

(9)

L'indisponibilité

Avec un seul paquet UPD :

(10)

L'indisponibilité

Ou bien :

(11)

L'indisponibilité : le spam

Coût d'un appel VoIP : 0 €

Coût d'une publicité VoIP... 0 €

La VoIP est une cible idéale pour la publicité

→ Un robot appelle et délivre son message

Méthodes de protection :

CAPTCHA (on s'assure que l'interlocuteur est humain) Tests calculatoires (on rend le coût CPU de l'appel élevé) Listes blanches / grises / noires

(12)

Copyright Hervé Schauer Consultants 2000-2010 - Reproduction Interdite

12/31

La surfacturation €

Détourner l'utilisation de l'infrastructure Pour appeler :

à son propre compte

ses propres services surtaxés Pour le compte d'autres...

Et revendre !

Certains cas très médiatisés :

2006 : deux hackers américains vendent pour 1M$ de communications volées

2009 : 9 employés de Sprint revendent des comptes de clients pour passer des appels

(13)

La surfacturation

Un pirate prend la main sur un IPBX

Planifie des appels à son numéro surtaxé

Toutes les 2 minutes entre 23h et 3h 5 jours par semaine...

→ 600 appels par semaine !

En combien de temps le détecteriez-vous ?

(14)

L'interconnexion au réseau de données

Serveurs VoIP souvent moins sécurisés que les serveurs

« classiques »

Gérés par des équipes différentes : «équipes télécom »

Développement spécifiques réalisés en interne

Aucune bonne pratique de développement

Services implémentés souvent très vulnérables Serveurs utilisés souvent laissés pour compte

Non à jour

Configuration non durcie

Exemple : interconnexion LDAP pour un service de carnet d'adresse

PHP + MySQL

(15)

L'interconnexion au réseau de données

Une entreprise fournit un accès SIP

Accès informatique : 5600/UDP ou 5600/TCP Si une vulnérabilité existe dans le serveur SIP ? Le pirate prend la main sur le serveur

Et rebondit !

Un pirate qui s'introduit dans votre système d'information

Peut rebondir sur la téléphonie

(16)

Vulnérabilités sur les logiciels de VoIP

Asterisk :

CVE-2010-0441 → Remote unauthenticated sessions

Appels non authentifiés

CVE-2008-1289 → Exploitable Buffer Overflow

Compromission système du serveur

CVE-2007-6171 → Injection SQL

Accès à la base de données (obtention des mots de passe d'autres utilisateurs), appels non authentifiés...

Cisco :

CVE-2010-2835 → Denial of Service

Redémarrage du serveur avec un paquet SIP

CVE-2010-0584 → Denial of Service

(17)

Vulnérabilités sur les logiciels support

CVE-2008-0166 → OpenSSL Debian

Authentification par clé ?

MS08-067 → Microsoft Windows

CVE-2010-3279 → Alcatel

Accès à la console d'administration sans authentification

???? → Alcatel

Mots de passe par défaut

Authentification sans mot de passe

Et toutes les failles informatiques « classiques » !

(18)

Vulnérabilités sur les protocoles

SIP présente des vulnérabilités intrinsèques :

permet de s'authentifier à la place d'un téléphone

Découverte de cette vulnérabilité :

Équipe Madynes du LORIA-INRIA Lorraine

Et de bien d'autres vulnérabilités !

(19)

Vulnérabilité SIP 1/3

(20)

Vulnérabilité SIP 2/3

Fonctionnalité SIP : mise en attente

(21)

Vulnérabilité SIP 3/3

D'où... usurpation de l'authentification !

(22)

Vulnérabilités sur l'intégration

Services d'annuaire ou d'interconnexions « faits maison »

Développés à la va vite par l'équipe VoIP Pas de bonnes pratiques de développement

Point d'entrée supplémentaire

(23)

Porte dérobée

Un pirate prend la main sur un serveur

Et souhaite s'y maintenir ! Utilisation d'une backdoor

Si serveur VoIP isolé...

Comment le contacter ? Par téléphone !

Alambix : porte dérobée pour Asterisk

Shell over DTMF

(24)

La non confidentialité

Les communications sont rarement chiffrées

Difficulté à déployer des certificats sur un parc de téléphones

Nombreux moyens de les intercepter

Attaques réseau (ARP) Via les switchs

Par DHCP...

Le son comme la vidéo peuvent être décodés

rtpbreak $ ./rtpbreak -W -r ~/current/un-flux.pcap -d ~/current v1.3a running here!

[...]

* Reading packets...

open di ./rtp.2.0.txt

! [rtp0] detected: pt=23(?) 10.0.0.44:4096 => 10.0.0.1:4192 [...]

* [rtp0] closed: packets inbuffer=0 flushed=477 lost=0(0.00%), call_length=0m14s

+ Status

Alive RTP Sessions: 0 Closed RTP Sessions: 1 Detected RTP Sessions: 1 Flushed RTP packets: 477 Lost RTP packets: 0 (0.00%)

$ ./rtpbreak -W -r ~/current/un-flux.pcap -d ~/current v1.3a running here!

[...]

* Reading packets...

open di ./rtp.2.0.txt

! [rtp0] detected: pt=23(?) 10.0.0.44:4096 => 10.0.0.1:4192 [...]

* [rtp0] closed: packets inbuffer=0 flushed=477 lost=0(0.00%), call_length=0m14s

+ Status

Alive RTP Sessions: 0 Closed RTP Sessions: 1 Detected RTP Sessions: 1 Flushed RTP packets: 477 Lost RTP packets: 0 (0.00%)

(25)

Le protocole ZRTP Le protocole ZRTP

Draft de RFC

Utilisation de Diffie Hellman Anonyme

Vulnérable aux interceptions :

(26)

Le protocole ZRTP Le protocole ZRTP

Garantie que personne n'intercepte la communication

s0 = clé maître utilisée pour la génération des diverses clés

(27)

La non confidentialité

Infrastructures administrables à distance

En HTTP

Parfois disponibles sur Internet

IPBX : consultation des journaux

Administration de la visio-conférence

Accès à toutes les caméras de toutes les salles de réunion !

Avec certains téléphones GSM

Journalisation des SMS

(28)

Session Initiation Protocol

Request-Line: INVITE sip:06xxxxxxxx@a.b.c.d SIP/2.0 Message Header

Via: SIP/2.0/UDP 10.0.0.53:7502 Max-Forwards: 70

From: "0606060606"

<sip:0606060606>;tag=9c6072bf2bd8428bb2f63d1191f23f34;epid=eae6c76a48 To: <sip:06xxxxxxxx@a.b.c.d>

Call-ID: 2c3fad5bdb6e48dda1640aaa7417d3b3

Vu chez un opérateur

Cas pratique d'intrusion sur des réseaux VoIP opérateur :

Impacts :

Consultation de la messagerie de tous les abonnés

Usurpation d'identité pour les appels et les SMS / MMS

(29)

Quelques solutions de sécurisation

Les éléments relatifs à la VoIP sont informatiques

Les bonnes pratiques informatiques s'appliquent donc !

Ne pas mutualiser les machines ! Mettre à jour les logiciels

Les systèmes d'exploitation Les firmwares également !

Des switchs Des téléphones

Séparer les réseaux

Données et voix devraient être sur des réseaux distincts

Le réseau de voix ne devrait accéder qu'au strict nécessaire Pas d'interface d'administration

(30)

Références

RTPBreak

http://dallachiesa.com/code/rtpbreak/

Sécurité de la VoIP, 06/05, Franck Davy, Nicolas Jombart, Alain Thivillon, HSC

http://www.hsc.fr/ressources/presentations/csm05-voip/

ISIC : tcpsic, udpsic

http://isic.sourceforge.net/

Shell over DTMF, 06/2009, Nicolas Collignon

http://www.hsc.fr/ressources/presentations/sstic09_rump_alambix/

Brouillon de RFC de ZRTP :

http://tools.ietf.org/html/draft-zimmermann-avt-zrtp-22

(31)