Seguridad en VoIP: Fuzzing

Juan Blázquez — Thu, 25 Aug 2011 07:03:00 GMT

Retomando el anterior post, una cosa es comentar la necesidad de securizar la infraestructura de voz tanto o más que la de datos, por los riesgos e implicaciones que entraña llevar la voz en IP, predicar. Y otra muy distinta, dar trigo. Que es de lo que se trata ahora. O dicho de otro modo. ¿Como saber que el sistema de telefonía es seguro?

Puede parecer que la voz en IP es un tráfico complejo y la realidad es bien distinta. Para muestra un botón. Las escuchas telefónicas se puede llevar a cabo utilizando programas analizadores de red, sniffers, que incorporan entre sus funciones capacidad para capturar tráfico de voz, analizar flujos de datos e, incluso, salvarlos como archivos de audio para su reproducción posterior. Para ello no hay que ser un consagrado hacker, ni utilizar programas complejos sólo al alcance de los iniciados. Sin ir más lejos, un programa como Ethereal también conocido como Wireshark, aparentemente inocuo, de sobra conocido por todos, tiene capacidad de recuperar tráfico UDP del protocolo RTP, seleccionado las opciones oportunas, analizar una sesión capturada como flujo continuo de datos, no como paquetes aislados, y guardarla como un fichero de sonido, reproducible con cualquier programa de audio convencional. Y lo más sangrante es que no es necesario saber hacer “arcos de catedrales” para manejar un programa como este.

Para conocer el estado de la seguridad de cualquier sistema de voz en IP, nada mejor que recurrir al testeo funcional de protocolos. Es decir, hacer fuzzing de VoIP. Se llama fuzzing a diferentes técnicas para sondear programas en busca de defectos o de vulnerabilidades, comprobar que las aplicaciones funcionan correctamente, encontrar posibles errores de operación y descubrir brechas de seguridad. Se aplica a todo tipo de programas y/o servicios y, como no, también se puede utilizar para comprobar el estado de salud de nuestro sistema de VoIP.

Para esta telefonía, existen multitud de herramientas que se pueden utilizar para realizar estas comprobaciones, tanto comerciales como de libre disposición. En la página http://www.voipsa.org/Resources/tools.php, se puede encontrar una completa relación de estos programas, perfectamente categorizadas y descritas. Herramientas muy útiles para que los técnicos de soporte verifiquen su sistema de telefonía.

…..pero desgraciadamente también pueden ser temibles en manos desaprensivas……..

VoIP: hablar sobre seguro

Juan Blázquez — Tue, 14 Jun 2011 13:04:00 GMT

El ahorro de costes en comunicaciones y la mejora de la productividad de los usuarios, son las principales razones para implantar telefonía por ip, voip. Pero además de todos sus beneficios también introduce un nuevo nivel de riesgo en la seguridad del sistema que no puede dejar de ser tratado.

Como bien saben todos, la tecnología de VoIP se ocupa de la transmisión de señal audiovisual sobre un medio diseñado específicamente para transportar datos, como es la red TCP/IP. Encapsula voz e imagen en paquetes IP de forma que una llamada telefónica o una videoconferencia puede ser manejada, desde el punto de vista de infraestructura, igual que cualquier otro servicio del ordenador; como el correo electrónico o las páginas web, salvando, claro etá, las diferencias y particularidades que tiene cada servicio. Como aplicación informática que es, VoIP está sujeta a las mismas contingencias que el resto de los servicios, además de otros que le son propios, consecuencia de su propósito, características y modo de funcionamiento.

Aunque es una tecnología relativamente reciente, las amenazas que se cierne sobre ella son las mismas que desde siempre se vienen produciendo en la red de datos para otras aplicaciones. Viejos riesgos y ataques que afectan a VoIP modificados con las lógicas adaptaciones a las características del servicio. Es por ello, que, para cualquier proyecto de implantación y gestión de telefonía IP que se acometa, además de las especificaciones de rendimiento y funcionalidades, se han de incluir requisitos que tengan en consideración la protección del servicio, cubriendo aquellos aspectos relacionados con las garantías de continuidad del servicio, la privacidad de las comunicaciones y la protección frente a fraudes. Es imprescindible adoptar medidas de protección frente a las eventualidades que puedan afectarlas.

Para la disponibilidad de la telefonía IP, hay que tener en cuenta que el tráfico de voz y/o imagen, es especialmente sensible a los ataques de denegación de servicio generalistas como los basados en la sobrecarga de paquetes circulantes en la red, fragmentación IP, malformación de paquetes y spoofing. La telefonía IP es especialmente vulnerable a los ataques de denegación de servicio convencionales DoS y a las nuevas técnicas de agresión distribuidas, DDoS. Hay que tener en cuenta que, hasta hace relativamente poco, el estado de la tecnología hacía más recomendable que estos servicios multimedia tuvieran una electrónica independiente, por lo que el riesgo de fallo por saturación de la red resultaba poco probable. Ahora, sin embargo, las comunicaciones unificadas han cambiado radicalmente este modelo de despliegue y, en consecuencia, las precauciones que se deben adoptar.

En las tretas para la denegación de servicio, VoIP tiene su propio talón de Aquiles. Al operar sobre ciertos puertos específicos bien conocidos, se han desarrollado ataques específicos orientados a provocar la saturación de tráfico sobre ellos con la intención de impedir que los usuarios puedan utilizar su teléfono. Los teléfonos IP individuales, como dispositivos informáticos que son, pueden ser perfectamente objetivos individualizados para ataques de denegación de servicio. Ataques que pueden ser generalistas, que afecten a todos los usuarios, al sistema en su conjunto. O muy selectivo, desconectando a un determinado grupo de usuarios o, incluso, a una persona en concreto, interrumpiendo sus llamadas o impidiendo que pueda hacerlas. Algo que se puede conseguir fácilmente provocando el “cuelgue” del teléfono o reinicios continuos, aprovechando vulnerabilidades del software de los teléfonos, técnicas de fuzzing, flooders o de desbordamiento de buffers. Configuraciones de fábrica no modificadas y vulnerabilidades conocidas en el software de estos teléfonos no corregidas suelen ser, a menudo, la causa directa de que prosperen estos ataques.

Y el funcionamiento normal de esta telefonía no se está exento de sufrir agresiones. Uno de los riesgos a los que se ha de prestar especial atención en VoIP es la posibilidad de sufrir ataques dirigidos a obtener datos o lograr la intrusión en el sistema, con el objetivo único de perpetrar algún fraude. Los accesos no autorizados y/o el compromiso de datos sobre facturación, registro, funciones telefónicas o configuraciones pueden permitir que los intrusos provoquen una factura telefónica que provoquen el colapso cardiaco del responsable financiero de la compañía. Los fraudes telefónicos están a la orden del día y los atacantes cuentan con una experiencia heredada directamente de las ancestrales técnicas “phreakers” que se vienen utilizando en el hackeo de líneas telefónicas convencionales, desde que el teléfono se relacionó con el ordenador. Gatekeepers y gateways mal posicionados en la red, sin la suficiente seguridad y la ausencia de monitorización en el control-registro de llamadas es terreno abonado para que puedan prosperar estos peligrosos ataques.

Privacidad amenazada.
Igualmente, se ha de cuidar con atención las medidas de protección de la privacidad del servicio, pues el quebranto de la esta privacidad transciende a la cuantificación de daños de otros delitos informáticos serios y tienen implicaciones legales mucho más graves. Como puede ocurrir con las escuchas telefónicas ilegales.

En la protección de la privacidad de las llamadas en telefonía IP, la primera preocupación, la protección de las sesiones. Es imprescindible que se produzca la autenticación, reconocimiento mutuo, de los interlocutores implicados en el intercambio de información, en este caso voz/imagen. En esta telefonía, como almagaba de protocolos y procedimientos, esta seguridad presenta las virtudes y los defectos de cada uno de ellos. Con carácter general, la amenaza a la que más proclive es VoIP, a nivel de aplicación, es el robo de contraseñas. Para conseguir averiguar password de comunicaciones unificadas, un hacker puede recurrir a programas tipo “todo en uno” que constan de varios módulos, escritos para llevar a cabo todo el proceso de crackeo de contraseñas para telefonía. Otro método es, sencillamente, recurrir a la patada en la puerta, sin contemplaciones. Emplear ataques de fuerza bruta mediante crackeadores de diccionario. Una vez conseguidas unas credenciales de sesión válidas en el sistema, el atacante puede llevar a cabo el fin que se haya propuesto.

Pero la suplantación de identidad en telefonía IP no siempre pasa por averiguar contraseñas. El proceso de registro es uno de los procedimientos preferido de los hackers para la suplantar la identidad de los usuarios. Estos son ataques más sofisticados, pues requieren hacer varias acciones combinadas para lograr que sean exitosos: se necesita desconectar al usuario legítimo y registrarse en su nombre, especificando el dispositivo desde el que se hará efectiva la suplantación. Esta situación es factible debido al intercambio en texto claro de mensajes de señalización entre servidores, clientes y/o terminales telefónicos. La desconexión, mediante ataques DoS sobre los terminales en los que se ha registrado el usuario. La suplantación, mediante el envío de mensajes oportunistas de registro con los datos del usuario suplantado y la dirección IP que le interesa al atacante.

Y en este sentido, otro de los ataques específicos que pueden sufrir los usuarios de VoIP es la redirección de llamadas. En estos ataques, los intrusos consiguen llevar las llamadas a terminales telefónicos, internos o externos, distintos al que el usuario pretende cuando inicia la llamada, con el consiguiente dislate que esta situación provoca en la actividad de las personas afectadas y los técnicos de soporte que tratan de resolver una anomalía que no es tal. Existen programas que pueden escuchar la red y estar atentos al tráfico de telefonía para interceptar las peticiones de inicio de llamada y responder en nombre del terminal de destino, con una dirección diferente, de modo que el dispositivo que inicia la llamada, rectifica su petición para lanzar la invitación de conexión a la localización que marque el atacante. También es posible recurrir a programas que, mediante mensajes de cabecera de control telefónico, cambian la ruta de los paquetes de voz para encauzarlos sobre un “proxy” telefónico, desde donde se redireccionan a la localización que elija el entrometido.

La redirección de llamadas puede enmascarar un ataque más sofisticado para obtención de datos confidenciales, mediante artimañas de ingeniería social. Aunque por ahora resultan ataques que se producen de forma esporádica, no deja de ser una seria amenaza, cada vez más factible. Tanto que tiene ya su propia denominación: Vishing, VoIP Phishing. Termino que hereda la denominación del phising, engaño, que se produce todos los días con harta frecuencia en la bandeja de entrada de todos los usuarios de correo electrónico, en todo el mundo. En Vishing, una persona que cree tener como interlocutor a alguien conocido y de confianza, puede facilitar datos confidenciales. De cualquier índole y no sólo de ámbito personal. Pueden facilitar datos bancarios de la compañía, de tarjetas de crédito, planes estratégicos, detalles sobre propiedad intelectual o industrial y un largo etcétera. Datos que en manos desalmadas pueden causar un daño irreparable para la organización, tanto a nivel económico, como para su reputación. Y lo que puede ser más grave, proporcionar información sobre terceros, como empleados, clientes o proveedores; filtraciones por trampa que, además, pueden dar lugar a incidentes legales con los afectados.

Pero no es la única situación en la que se puede manipular la señal de este servicio como llamada telefónica, como comunicación hablada. Sobre el encapsulado que se produce en UDP, por definición, no hay un control exhaustivo de la secuencia de tramas transmitidas entre los interlocutores, y esto puede ser aprovechado por un atacante puede conseguir insertar su propio audio en una conversación telefónica. Aunque sobre el papel puede parecer que se requiere una técnica hacker sofisticada y experimentada, de nuevo está al alcance de muchos irresponsables con un poco de maña, mediante programas que tienen incorporadas funciones específicas para realizar estas acciones.

Remedio.
Aunque, por lo comentado, VoIP parece muy vulnerable, ya están disponibles versiones seguras de los principales protocolos utilizados en esta telefonía, como es SRTP, Secure Real Time Protocol, que es para RTP lo que SSL para HTP. Eso si, estas características son opcionales en el uso y pueden ser habilitadas o deshabilitadas por separado, salvo la autenticación de mensajes que forzosamente se ha de utilizar cuando la comunicación es por canal seguro. Y lo más importante, no penaliza el rendimiento y puede ser utilizado en combinación con técnicas de compresión de cabeceras, para que apenas tenga impacto sobre los valores de Calidad de Servicio, QoS. Con SIP, sucede algo similar. Ya es posible utilizar este protocolo en TLS, Transport Layer Security, Seguridad de Capa de Transporte, el sucesor de SSL, que proporciona autenticación y privacidad de la información entre extremos, utilizando criptografía de clave pública, como RSA, de cifrado, como es DES y Triple DES, y hash, con MD5. Esto permite mantener a salvo las contraseñas de inicio de sesión y poner muy difícil la posibilidad de suplantación y las escuchas telefónicas. Como inconveniente, requiere el despliegue de PKI, Infraestructura de Clave Pública, para la autenticación de los clientes. Avances en los estándares que se implementan ya en los desarrollos comerciales y que se complementan con funcionalidades específicas que permiten detectar situaciones de riesgo y remediarlas.

Junto al empleo de estos mecanismos de seguridad, en líneas generales, se puede conseguir un buen nivel de protección en telefonía IP, si se adoptan una serie de recomendaciones básicas. Así, en la red, si cabe la posibilidad, separar el tráfico telefónico de la red de datos. No es necesario desplegar una electrónica independiente. El empleo de Vlan permite hacer esta diferenciación de forma fácil y eficaz. La subred de voz, interesa que se delimite por cortafuegos, bien configurados y administrados que prevengan cualquier tráfico innecesario y limiten al máximo el contacto con el exterior, principalmente de los servidores de control y pasarelas. Los puntos de acceso al sistema sobre todo wireless, deben estar convenientemente protegidos, empleando mecanismos de protección WPA, WiFi Protected Access, preferentemente a WEP, Wired Equivalent Privacy.

En cuanto a operación y soporte, imprescindible abandonar las configuraciones por defecto, cambiar las contraseñas de fábrica, desactivar las funciones no utilizadas y emplear siempre canales seguros en los puertos de administración y monitorización, en donde interesa activar el registro de actividad. Conviene la revisión periódica de estos logs en los servidores de telefonía, pues resulta útil para detectar comportamientos extraños y corregir a tiempo las anomalías. Muy importante, que los dispositivos tengan instaladas las últimas actualizaciones y se sigan las recomendaciones del fabricante sobre aplicación de parches. Medida que debe incluir al resto de componentes del sistema, sean o no parte de la telefonía IP y sobre el que hay que poner énfasis en el antivirus, como principal arma frente al código malicioso que acecha a VoIP.

En definitiva, la implantación de VoIP aporta muchos beneficios al conjunto de las organizaciones que la adoptan, pero introduce una nueva preocupación para aquellos administradores de sistemas que descuiden su protección. El personal de soporte informático se debe responsabilizar de una tecnología que no destaca por tener un buen nivel de seguridad en sus configuración estándar, con el agravante que la materialización de las amenazas que acechan pueden llegar a tener consecuencias muy graves a nivel económico y legal. Para conseguir un nivel de seguridad adecuado en telefonía IP, sus responsables no pueden conformarse con las medidas de seguridad que proporcione el fabricante y/o integrador y han de invertir una atención mínima en mantener una infraestructura de red que en su conjunto sea segura.

Laboratorio

Seguridad en VoIP: Fuzzing

VoIP: hablar sobre seguro