2. Alessio L.R. Pennasilico
Security Evangelist @
Board of Directors:
Associazione Informatici Professionisti, CLUSIT
Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project
!
L’approccio malizioso mayhem@alba.st 2
3. Agenda
Virtualizzazione
VoIP
Mobile
L’approccio malizioso mayhem@alba.st 3
4. Budget?
81% delle intrusioni avvengono su reti che non
sodisfano i requirement delle più diffuse
norme/best practice / guidelines
Gartner
L’approccio malizioso mayhem@alba.st 4
5. IT Security...
Un inutile impedimento
che rallenta le comuni
operazioni
e danneggia il business?
L’approccio malizioso mayhem@alba.st 5
6. IT Security...
O prevenzione e risposta ad eventi che
danneggerebbero il business in modo peggiore?
L’approccio malizioso mayhem@alba.st 6
11. Management VLAN
Gli host/hypervisor si dicono
diverse cose interessanti
Dove facciamo passare il
traffico “di servizio”?
L’approccio malizioso mayhem@alba.st 11
12. Traffico di servizio
accesso all’interfaccia amministrativa
test reachability per HA
vMotion
iSCSI, NFS
L’approccio malizioso mayhem@alba.st 12
14. disruption
Cosa succede se rendo “irraggiungibili” gli
IP monitorati per la gestione dell’HA?
L’approccio malizioso mayhem@alba.st 14
15. Perchè
intercettare / rallentare il traffico iSCSI / NFS
storage in replica per HA/DR
L’approccio malizioso mayhem@alba.st 15
16. Migration
Manipolare le VM durante la migrazione?
http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf
Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit
L’approccio malizioso mayhem@alba.st 16
17. Dubbi...
traffico “trusted” tra datacenter per garantire
la migration delle VM?
Traffico protetto?
Traffico Trusted / VPN come canale di
accesso amministrativo?
L’approccio malizioso mayhem@alba.st 17
21. Accendo il telefono
I telefoni IP, per funzionare, possono eseguire diverse azioni
preliminari, vulnerabili a diversi attacchi:
✓ottengono l'indirizzo IP da un server DHCP
✓ottengono dal DHCP l'indirizzo di un TFTP server
➡ io sono il server DHCP, ti indirizzo al mio TFTP
✓scaricano il firmware dal TFTP server
➡ io sono il TFTP e ti do il mio firmware/configurazione
✓scaricano la configurazione dal TFTP server
➡ io leggo la configurazione dal server TFTP
✓si autenticano sul server VoIP
➡ sniffo, o mi fingo il PBX e forzo auth plain text
L’approccio malizioso mayhem@alba.st 21
22. Man in the middle
Tutti i protocolli/servizi utilizzati sono
particolarmente vulnerabili ad una serie di
attacchi MITM, essendo tutti protocolli che
si basano su broadcast e su UDP non
autenticato.
L’approccio malizioso mayhem@alba.st 22
23. Attacco al DHCP
Posso impersonare il server DHCP, ma devo
fornire parametri di rete compatibili con la
topologia per poter interagire con il device.
Tra i parametri che invio vi è l’option 150,
che specifica l’IP del server TFTP dal
quale scaricare firmware e configurazione.
L’approccio malizioso mayhem@alba.st 23
24. Il server TFTP
Poter reindirizzare i telefoni su un server
TFTP gestito dall’attaccante permette di
danneggiare irreparabilmente il telefono,
installare una backdoor o configurarlo a
suo piacimento.
L’approccio malizioso mayhem@alba.st 24
25. TFTP spoofing
Nel caso non si riesca ad impersonare il
server DHCP è sempre possibile tentare di
impersonare il server TFTP, con tutte le
conseguenze elencate precedentemente.
L’approccio malizioso mayhem@alba.st 25
26. Attacco al server TFTP
La configurazione dei telefoni viene spesso
conservata sul server in formato XML.
Conoscendo i nomi dei file è possibile, in
alcuni casi, spacciarsi per il telefono e
richiedere la propria configurazione, che
comprende username e password.
L’approccio malizioso mayhem@alba.st 26
27. Autenticazione del telefono
Molto spesso l’autenticazione verso il server
VoIP avviene in chiaro.
Basterà quindi utilizzare uno dei diversi
strumenti in grado di identificare le
credenziali all’interno di un flusso di
traffico, dopo esserci messi in grado di
“sniffare” le connessioni.
L’approccio malizioso mayhem@alba.st 27
28. Impersonare il VoIP PBX
E’ possibile tentare di impersonare il server
VoIP, per ricevere eventuali tentativi di
autenticazione dei telefoni, forzando
l’autenticazione in chiaro, al fine di avere le
credenziali di accesso di tutti i telefoni
dell’infrastruttura.
L’approccio malizioso mayhem@alba.st 28
29. Il telefono in funzione
Nel caso in cui nessuno degli attacchi sopra
citati possa essere portato a termine, è
sempre possibile lavorare sulle operazioni
di gestione delle chiamate.
L’approccio malizioso mayhem@alba.st 29
30. Chiamiamoci!
Completato lo startup il telefono conversa
con il server in merito al proprio stato ed
allo stato delle chiamate (signaling).
Quando si effettua una chiamata tra due
telefoni, conclusa la fase iniziale di
signaling, si instaura un flusso RTP tra gli
end-point o tra ogni SIP-UA ed il proprio
server VoIP.
L’approccio malizioso mayhem@alba.st 30
31. Traffico in chiaro
Il traffico di signaling e di RTP è spesso in
chiaro. Questo consente di catturare ed
analizzare tutti i dati che transitano
all’interno di quei flussi dati.
L’approccio malizioso mayhem@alba.st 31
32. RTP
Il flusso RTP può essere tra ogni telefono ed
il proprio server VoIP o direttamente tra i
due telefoni una volta che il call-setup è
stato completato.
Questo è da tenere presente quando si
disegna la rete, per garantire performance
adeguate.
L’approccio malizioso mayhem@alba.st 32
34. Ettercap #1
http://ettercap.sourceforge.net/
La suite per gli attacchi Man in the Middle. Multipiattaforma,
da usare in console o in un windows manager, Ettercap
permette di lanciare tutti quegli attacchi a Layer 2 che
permettono di capire quanto la nostra rete switchata sia
vulnerabile se non adeguatamente protetta.
Keywords: arp spoofing, arp poisoning, hijacking, sniffing,
decoding, dns spoofing, dos, flood.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 34
36. Wireshark #1
http://www.wireshark.org/
Sniffer multipiattaforma, corredato di molti decoder,
che lo mettono in grado di interpretare il traffico
intercettato.
Wireshark può interpretare tanto i flussi di signaling,
quanto quelli RTP, ed estrarne tutte le informazioni
necessarie per una successiva analisi.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 36
38. Vomit
http://vomit.xtdnet.nl/
Voice Over Misconfigured Internet Telephones, a partire dal
file di dump creato da uno sniffer, in formato tcpdump,
vomit crea un file audio contenente la conversazione VoIP
transitata sulla rete monitorata. Supporta il protocollo
MGCP con codec G.711 e funziona solo con Linux.
./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 38
39. Oreka
http://oreka.sourceforge.net/
Distribuito per Windows e Linux, supporta i protocolli
di Cisco CallMananager, Lucent APX8000, Avaya,
S8500, Siemens HiPath, VocalData, Sylantro, Asterisk
SIP channel.
Intercetta e registra le conversazioni basate su flussi
RTP. Semplice, intuitivo, via web e con supporto per
MySQL.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 39
40. SipSak #1
http://sipsak.org/
Si tratta del coltellino svizzero del
VoIPAdmin. Permette di interagire con
qualsiasi device SIP inviando traffico
creato ad hoc per interagire con il server e
verificare il suo comportamento in
situazioni create da noi.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 40
42. Ohrwurm
http://mazzoo.de/blog/2006/08/25#ohrwurm
Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è
testare l'implementazione del protocollo SIP del device
verificato, inviando una enorme quantità di richieste con
diverse combinazioni di parametri, più o meno sensati,
allo scopo di individuare eventuali comportamenti
anomali.
Le anomalie riscontrate spesso si rivelano essere bug di
implementazione.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 42
43. Smap
http://www.wormulon.net/index.php?/archives/1125-smap-released.html
Unendo nmap e SipSak otteniamo uno strumento in
grado di rilevare i device SIP, dedurre di che marca e
modello di device si tratta dal fingerprint e creare una
mappa della rete analizzata. E' inoltre possibile interagire
direttamente con il device, fingendosi un apparato SIP,
per ottenere maggiori informazioni.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 43
44. SiVus
http://www.vopsecurity.org/html/tools.html
Si tratta di un SIP security scanner: verifica le
caratteristiche del target dello scan rispetto ad
un database di vulnerabilità conosciute.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 44
45. SIPVicious
http://sipvicious.org/blog/
Suite che comprende uno scanner, un
enumeratore ed un password cracker.
Multipiattaforma, anche per MacOSX.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 45
46. Cain & Abel
http://www.oxid.it/
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 46
48. Conclusioni
Il VoIP può essere più sicuro della telefonia
tradizionale. Questo tuttavia si ottiene
attraverso una corretta progettazione,
implementazione e verifica, seguendo
alcune best practice, sia dal punto di vista
tecnico che dal punto di vista della
formazione.
L’approccio malizioso mayhem@alba.st 48
50. SmartPhone
Più potente del mio
vecchio PC
Più banda di seabone
20 anni fa
L’approccio malizioso mayhem@alba.st 50
51. Utenti mobili: i vantaggi
Connesso Ovunque (Lavoro Ovunque)
Ho tutto sempre con me
Minori costi operativi
L’abito talvolta FA il monaco
Soddisfazione
Relax
Produttività
....
L’approccio malizioso mayhem@alba.st 51
52. Utenti mobili e perimetro
Dove sono?
A Cosa accedono?
Loro o mio il device?
Come li riconosco?
Che dati conservano?
....
L’approccio malizioso mayhem@alba.st 52
53. 3G + WiFi
Posso diventare un punto di accesso
(o di uscita)
rispetto alla rete aziendale?
(routing / testa di ponte)
L’approccio malizioso mayhem@alba.st 53
62. Conclusioni
L’aumento di produttività che deriva
dall’utilizzo di tecnologie che permettono di
lavorare “mobile” è evidente
L’aumento dei rischi per l’infrastruttura
altrettanto
L’approccio malizioso mayhem@alba.st 62
63. Conclusioni
Mobile oggi è una esigenza imprescindibile
Il dover gestire la sua sicurezza è altrettanto
imprescindibile
L’approccio malizioso mayhem@alba.st 63
65. Conclusioni
Rifiutare una tecnologia
è pericoloso e controproducente
Conoscerla e gestirla
crea valore
L’approccio malizioso mayhem@alba.st 65
66. These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-
ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Domande?
Grazie per l’attenzione!
Alessio L.R. Pennasilico
mayhem@alba.st
twitter: mayhemspp
FaceBook: alessio.pennasilico