viernes, 10 de junio de 2011

Las amenazas de las redes de telefonía IP

Saludos Mundo Libre.


Las amenazas de las redes de telefonía IP:

• Accesos desautorizados y fraudes.
• Ataques de denegación de servicio
• Ataques a los dispositivos
• Vulnerabilidades de la red subyacente.
• Enumeración y descubrimiento.
• Ataques a nivel de aplicación.


Accesos desautorizados y Fraudes
Los sistemas VoIP incluyen múltiples sistemas para el control de la llamada,
administración, facturación y otras funciones telefónicas. Cada unos de estos sistemas debe contener datos que, si son comprometidos, pueden ser utilizados para realizar fraudes.

El costo de usar fraudulentamente esos datos VoIP a nivel empresarial pueden ser
devastadores. El acceso a los datos telefónicos (de facturación, registros, datos de cuentas,etc) pueden ser usados con fines fraudulentos.
Una de las mas importantes amenazas de las redes VoIP, son los fraudes consecuencia de un acceso desautorizado a una red legal VoIP (por ejemplo haber obtenido anteriormente obtener datos de cuentas).

Una vez se ha obtenido el acceso, usuario desautorizados realizan llamadas de larga distancia, en muchos casos incluso internacionales.

Principalmente ocurren en entornos empresariales. El control y el registro estricto de las llamadas puede paliar el problema A modo de curiosidad cabe señalar que las técnicas utilizadas por estos individuos son descendientes de las que utilizaban los famosos “phreakers” en las antiguas líneas telefónicas.

Explotando la red subyacente

Paradójicamente una de las principales debilidades de la tecnología VoIP es apoyarse sobre una red potencialmente insegura como son las redes IP. Gran cantidad de ataques hacia las infraestructuras IP van a afectar irremediablemente a la telefonía Ataques de denegación de
servicio, inundación de paquetes o cualquier otro tipo de ataque que intente limitar la disponibilidad de la red suponen un gran problema para la telefonía IP tal y como hemos visto anteriormente. Además VoIP será vulnerable a ataques a bajo nivel como el secuestro de sesiones, interceptación, fragmentación IP, paquetes IP malformados y spoofing.

Uno de los mayores problemas sea quizás la interceptación o eavesdropping.. Traducido literalmente como “escuchar secretamente”, es el término con el que se conoce a la captura de información (cifrada o no) por parte de un intruso al que no iba dirigida dicha información.

En términos de telefonía IP, estamos hablando de la interceptación de las
conversaciones VoIP por parte de individuos que no participan en la conversación.
El eavesdropping en VoIP presenta pequeñas diferencias frente la interceptación de datos en las redes tradicionales.

En VoIP vamos a diferenciar básicamente dos partes dentro de la
comunicación: la señalización y el flujo de datos. Los cuales utilizarán protocolos
diferentes. En la señalización nos centraremos durante todo el documento en el protocolo SIP mientras que en el flujo de datos normalmente se utilizará el protocolo RTP sobre UDP.

El impacto de esta técnica es más que evidente, interceptando comunicaciones es posible obtener toda clase información sensible y altamente confidencial. Y aunque en principio se trata de un técnica puramente pasiva, razón por la cual hace difícil su detección, es posible intervenir también de forma activa en la comunicación insertando nuevos datos (que en el caso de VoIP se trataría de audio) redireccionar o impedir que los datos lleguen a su destino.

Las formas de conseguir interceptar una comunicación pueden llegar a ser tan triviales como esnifar el tráfico de la red si los datos no van cifrados. Existen excelentes sniffers como ethereal/wireshark que permitirán capturar todo el tráfico de tu segmento de la red.

Por el contrario, lo normal es que nos encontramos dentro de redes conmutadas por lo que para esnifar el tráfico que no vaya dirigido a nuestro equipo serán necesarias otras técnicas más elaboradas como realizar un “Main in the Midle” utilizando Envenenamiento ARP.

Entre las herramientas que podremos utilizar se encuentra el conocido programa ettercap, Cain & Abel, la suite de herramientas para Linux Dsniff y vomit (Voice over misconfigured Internet telephones) por citar algunos ejemplos.

Hay que señalar también la creciente utilización de redes inalámbricas supone en
muchos casos un vía más a explotar por parte del intruso. Redes Wifi mal configuradas junto con una infraestructura de red insegura puede facilitar e trabajo del intruso a la hora de acceder a la red VoIP para lanzar sus ataques.

Ataques de denegación de servicio

Los ataques de denegación de servicio son intentos malintencionados de degradar seriamente el rendimiento de la red o un sistema incluso llegando al punto de impedir la utilización del mismo por parte de usuarios legítimos. Algunas técnicas se basan en el envío de paquetes especialmente construidos para explotar alguna vulnerabilidad en el software o en el hardware del sistema, saturación de los flujos de datos y de la red o sobrecarga de procesos en los dispositivos.

Llegan a ser especialmente dañinos los llamados DDoS o ataques de denegación
distribuidos. Son ataques DoS simples pero realizados desde múltiples computadores de forma coordinada.

Las redes y sistemas VoIP son especialmente vulnerables a los DDoS
por diversas razones:

La primera y quizás más importante es la dependencia y la necesidad de garantías en la calidad de servicio, que hacen que las redes IP donde se mantengan llamadas telefónicas tengan una tolerancia mucho menor a problemas de rendimiento.

Otra razón es que en una red VoIP existen multitud de dispositivos con funciones
muy específicas por lo que ataques contra casi cualquier dispositivo de la red pueden afectar seriamente los servicios de telefonía IP. Muchos de estos dispositivos son muy susceptibles de no manejar, priorizar o enrrutar el tráfico de forma fiable si presentan un consumo de CPU alto.

Por lo que muchos de los ataques de DoS se centran en atacar los
dispositivos de red y/o inundar la red de tráfico inútil para degradar su funcionamiento y que los paquetes pertenecientes a comunicaciones telefónicas se pierdan o retrasen.

La relación de VoIP y los ataques distribuidos de DoS viene reflejada en el siguiente párrafo:

Recientemente investigadores de la Universidad de Cambrige y del Massachussets
Institute of Technology (MIT) han determinado que las aplicaciones de voz sobre IP como puede ser Skype pueden ser una herramienta ideal para dar cobertura y lanzar ataques de denegación de servicio distribuidos.

El descubrimiento de algún fallo en la aplicación o en su protocolo podría dejar al descubierto miles de ordenadores que serían potencialmente secuestrados por los atacantes para realizar un ataque mayor contra algún servicio de Internet.

Las aplicaciones y los dispositivos de telefonía IP suelen trabajan sobre ciertos puertos específicos, bombardear dichos puertos con tráfico innecesario pero aparentemente “real” puede causar una denegación de servicio y que usuarios legítimos no puedan hacer uso del sistema.

Modificaciones y ataques al servidor DNS pueden afectar de manera directa al
servicio de voz.

El robo o suplantación de identidad (del destinatario de la llamada o de
algún otro dispositivo VoIP) generalmente deriva en una denegación de servicio.

El acceso SNMP a los dispositivos, además de ofrecer una gran cantidad de información permite potencialmente al atacante afectar al servicio de Voz sobre IP.

En redes VoIP basadas en el protocolo SIP, es posible enviar mensajes CANCEL, GOODBYE o ICMP Port Unreacheable, con el objetivo de desconectar ciertos usuarios de sus respectivas llamadas o evitar que se produzcan no permitiendo la correcta configuración inicial de la llamada (señalización).

Hay que destacar también que algunas situaciones VoIP será vulnerable a ataques de fragmentación IP o envío de resets TCP, que conllevarán la prematura finalización de la llamada.

Ataques a los dispositivos

Muchos de los ataques realizador hoy en día por hackers y crackers hacia las redes de datos tienen como objetivo principal el hardware y el software de los dispositivos.

Por lo tanto, en redes VoIP, los gateways, call managers, Proxy servers sin olvidar los teléfonos IP serán potencialmente objetivos a explotar por parte de un intruso.

Hay que tener en cuenta que los dispositivos VoIP son tan vulnerables como lo es el sistema operativo o el firmware que ejecutan.

Son muy frecuentes los ataques de fuzzing con paquetes malformados que provocan cuelgues o reboots en los dispositivos cuando
procesan dicho paquete.

Otros ataques de denegación de servicio llamados “flooders” tienen
como objetivo los servicios y puertos abiertos de los dispositivos VoIP.

Otro aspecto que hace muchas veces de los dispositivos un punto débil dentro de la red son configuraciones incorrectas.

A menudo los dispositivos VoIP trabajan con sus
configuraciones por defecto y presentan gran variedad de puertos abiertos. Los servicios por defecto corren en dichos puertos y pueden ser vulnerables a ataques de DoS, desbordamientos de buffer o cualquier otro ataque que pueden resultar en el compromiso del dispositivo VoIP.

El intruso a la hora de penetrar en la red tendrá en cuenta estos aspectos e intentará explotarlos.

Buscará puertos por defecto y servicios innecesarios, comprobará passwords
comunes o los que usa por defecto el dispositivo, etc.

En el apartado de Descubrimiento de objetivos se explicaran más detalladamente las técnicas utilizadas en este aspecto.

No hay que olvidares de los dispositivos VoIP que utiliza el usuario directamente.: los teléfonos.

A pesar de ser dispositivos más pequeños obviamente son igual de vulnerables
que cualquier otro servidor de la red, y el resultado de comprometer uno de ellos puede llegar a ser igual de negativo.

A modo de ejemplo se detalla una vulnerabilidad de que afectó al teléfono IP

Linksys SPA-921 v1.0 y que provocaba una denegación de servicio en el mismo.
Modelo: Linksys SPA-921
Version: 1.0.0
Tipo vulnerabilidad: DoS

Explicación:
1) La petición de una URL larga al servidor http
del dispositivo provoca que el teléfono se reinicie.
2) Un nombre de usuario o un password
demasiado largo en la autenticación http provoca que el
teléfono se reinicie.
Modo de explotarlo: Trivial

Descubriendo objetivos

Una vez que el hacker ha seleccionado una red como su próximo objetivo, sus primeros pasos consistirán en obtener la mayor información posible de su victima. Cuando el intruso tenga información suficiente evaluará sus siguientes pasos eligiendo el método de ataque más adecuado para alcanzar su objetivo.

Normalmente el método de obtención de información se realiza con técnicas de menos a más nivel de intrusión.

De este modo en las primeras etapas el atacante realizará un footprinting u obtención de toda la información pública posible del objetivo.

Más adelante una de las acciones más comunes consiste en obtener la mayor información posible de las máquinas y servicios conectados en la red atacada.

Después de tener un listado de servicios y direcciones IP consistente, tratará de
buscar agujeros de seguridad, vulnerabilidades y obtener la mayor información sensible de esos servicios (enumeración) para poder explotarlos y conseguir una vía de entrada.

Un ejemplo de ataque de enumeración, podría ser utilizar la fuerza bruta contra servidores VoIP para obtener una lista de extensiones telefónicas válidas. Información que seria extremadamente útil para lanzar otros ataques como inundaciones INVITE o secuestro de registro.

Durante este apartado se explicaran algunas técnicas de enumeración y descubrimiento de objetos así como la obtención de información sensible que atacante podría utilizar a su favor

Footprinting

Se conoce como footprinting el proceso de acumulación de información de un entorno de red especifico, usualmente con el propósito de buscar formas de introducirse en el entorno.

La herramienta básica para esta etapa del reconocimiento será el todopoderoso Google.

Las búsquedas se centrarán entorno a la web de la empresa y en su dominio. Se intentarán encontrar perfiles o direcciones de contacto, correos y teléfonos. Estos datos ofrecerán información al hacker para poder realizar ataques de suplantación de identidad y/o ingeniería social.

El contacto del servicio técnico también puede resultar útil para extraer
algún tipo de información.

Otro tipo de información interesante pueden ser las ofertas de
trabajo o los perfiles de personal que busca la empresa.

Pueden dar información acerca de la estructura de la organización y de la tecnología que emplea.

Bueno he aqui la primera entrega de este manual ..



Author:Roberto Gutierres Gil.

Saludos Mundo Libre.

No hay comentarios:

Publicar un comentario