Stats

 results 1 - 1 of about 1 for I principali attacchi alla rete SIP. (0,312 seconds) 

I principali attacchi alla rete SIP

La proliferazione del VoIP sta portando anche alla diffusione delle reti basate sul Session Initiation Protocol. Però queste, per loro natura, sono soggetti ad attacchi da parte di hacker. Ecco come fare per evitare di mettere liberamente a repentaglio i dati aziendali.

La sicurezza in una rete IP è certamente la parte più importante di qualsiasi implementazione per i service provider tradizionali, considerando i sempre più numerosi attacchi che si registrano ogni giorno. In linea di principio, non è che l’IP non possa essere reso sicuro ma piuttosto che le implementazioni possono presentare debolezze secondo una prospettiva di sicurezza.
Consideriamo ad esempio il Voice Ove IP: quando gli operatori hanno iniziato il deployment di un consistente  numero reti VoIP, queste reti sono state messe sotto attacco da parte di organizzazioni altamente organizzate e ben finanziate, che erano alla ricerca di modi di guadagnare denaro sia immettendo il proprio traffico sulle reti degli  operatori sia ignorando del tutto gli operatori per creare proprie reti peer-to-peer che si connettono alle reti di dati li operatori.
Queste organizzazioni hanno anche un alto livello di competenza e possiedono le risorse necessarie per violare  persino reti sicure, ma preferiscono concentrare i propri sforzi su quelle reti che sono più facile da violare e chiedono minori sforzi o risorse.
Tipi di attacchi alla rete Ci sono molte forme diverse di violazioni della rete, ma noi tratteremo solo di quelli che si verificano con maggiore frequenza. Infatti, questi sono i tipi di attacchi vengono ripetutamente attuati non solo nelle reti VoIP, ma anche in tutta Internet.
A causa del sua naturale apertura, il Web può servire come eccellente modello di ciò che potrebbe andare male. Nulla può essere attendibile oggi in Internet e le frodi e gli attacchi Denial of Service (DoS) dilagano.
Un esempio è l’attuale preoccupazione che circonda i siti Web e di e-commerce. Vi sono state numerose segnalazioni di siti compromessi, di informazioni sensibili rubate da siti on-line e di consumatori attaccati regolarmente con spam e phishing.
Poiché SIP è diretto discendente di HTTP e SMTP, protocolli Internet che sono violati quotidianamente, è importante capire quali siano le vulnerabilità di tali protocolli per comprendere meglio le potenziali minacce all’interno di un’implementazione SIP. Il 3GPP e l’IETF stanno attivamente aggiungendo nuove procedure e miglioramenti al protocollo, per rafforzarlo ulteriormente contro attacchi di rete.
Diamo un’occhiata ai vari tipi di problemi di cui può essere vittima una rete, come si verificano e quale impatto possono avere sull’operatore della rete stessa e sull’abbonato. Poi vedremo le maniere per evitare che questi attacchi abbiano successo in una rete SIP (o almeno alcune buone misure volte a diminuire la probabilità che si verifichino).
Come opera l’hacker.

Capire come gli hacker approcciano una rete è un aspetto importante per comprendere come iniziano gli attacchi e quindi ciò che si dovrebbe cercare. Gli attacchi degli hacker procedono per fasi e partono sondando la rete.
L ‘hacker anzitutto cerca reti con un facile accesso. Ciò significa un network con gateway e piattaforme aperte che usano password di default. Individuata la rete giusta, l’hacker inizia a cercare le vulnerabilità attraverso una scansione. Una volta che una vulnerabilità viene trovata, è registrata per un uso successivo.
Durante la fase di scansione possono essere individuate molte violazioni della sicurezza. Per tale motivo, potreste usare il medesimo approccio sul vostro personal computer per trovare eventuali virus e bot che stanno effettuando la scansione delle porte al fine di scoprire accessi liberi (questa operazione viene eseguita tramite utility che forniscono informazioni riguardanti l’attività sul vostro computer). Tale tecnica è la stessa utilizzata per gli elementi della rete. Esistono caratteristiche distinte che permettono di individuare se sono in atto attività di pre-attacco nella rete: per esempio, richieste multiple a uno stesso server a partire da uno stesso User Agent, oppure molte richieste da a uno User Agent a molteplici server e proxy.
Una volta identificata e validata la vulnerabilità, questa viene utilizzata in un secondo momento per un attacco più ampio. È una combinazione di vulnerabilità che consente agli hacker di passare inosservati attraverso diverse reti e lanciare su vasta scala attacchi DoS su reti insospettabili.
Ecco alcuni dei metodi comunemente utilizzati per attaccare una rete SIP.
Hijack dei dati di registrazione
SIP utilizza messaggi di testo non cifrati. Ciò implica che chiunque con un computer e una minima conoscenza di programmazione può “entrare” in una rete e catturare messaggi SIP. La situazione cambia nel caso dei protocolli bit-oriented che trasportano “frame” di bit i quali, quando raggruppati in un determinato formato, possono essere decodificati in messaggi e parametri specifici. ISDN e SS7 sono ottimi esempi di protocolli bit-oriented.
Poiché SIP utilizza un testo in chiaro, se un hacker è in grado di catturare questi messaggi, quell’hacker può leggere le informazioni sensibili degli abbonati e impadronirsi delle loro identità pubbliche e private. Queste informazioni possono poi essere utilizzate per “impersonare” un abbonato. In altre parole, l’hacker può utilizzare tali informazioni per ottenere l’accesso all’operatore della rete a proprio uso e consumo.
Supponiamo che un abbonato sia registrato nella rete e la sua location sia memorizzata dal registrar. Tutte le chiamate, i messaggi e-mail, i messaggi istantanei e qualsiasi altra sessione di traffico sono inviati a tale location.
L’hacker quindi accede alla stessa rete e per registrarsi utilizza le stesse informazioni dell’abbonato catturate durante lo “sniffing” o il “tapping”. Dal momento che l’hacker sta utilizzando l’identità del legittimo abbonato, gli viene concesso l’accesso. Tuttavia, la registrazione da parte del legittimo abbonato non è cambiata.
Alla rete sembra che l’abbonato abbia cambiato sede e abbia inviato una nuova registrazione.
L’hacker ha ottenuto questo cambiamento attraverso una propria registrazione con una nuova location, che viene ora memorizzata nel registrar. Ciò significa che tutte le sessione di traffico del legittimo abbonato saranno inviate alla location dell’hacker, anziché all’abbonato stesso. Può capitare che l’abbonato cambi nuovamente la registrazione, perché deve cambiare location (gli abbonamenti possono prevedere la mobilità), ma l’hacker è già in possesso dell’identità dell’abbonato e dei suoi permessi di rete perciò è in grado di utilizzare queste informazioni per
ottenere l’accesso alla rete in qualsiasi momento lo desideri.
Un altro mezzo per realizzare l’hijack della registrazione è di catturare il messaggio di registrazione di un abbonato e poi effettuare il “reply” allo stesso messaggio usando una nuova posizione. In tal modo si registra l’abbonato con la località dell’hacker. Questo è uno dei più diffusi mezzi di hijack di registrazioni.
Hijack delle sessioni
L’hijack della sessione è molto simile all’hijack della registrazione, ma questo tipo di attacco è perpetrato in modo diverso. Un hijack della sessione viene utilizzato per rilevare una sessione in corso e parte dal Web.
Un server Web non contiene informazioni statiche. Una sessione è costituita dall’accesso UAS a una pagina dal server Web. Se si accede a una pagina successiva, si avvia un’altra sessione (o almeno nuova autenticazione da parte dell’utente e del server Web). Per eliminare la necessità di autenticarsi continuamente quando si utilizza un sito Web, gli sviluppatori hanno definito i cookie.
Un cookie non è altro che un file di dati, che di solito include gli identificativi della sessione. Il server Web invia al browser il cookie quando si accede al sito per la prima volta. Il cookie viene poi inviato dal browser per identificarsi ogni volta che deve accede allo stesso server Web per vedere un’altra pagina.
Questo concetto è stato esteso per l’utilizzo con siti di shopping online per gestire il carrello della spesa. Quando visitate un sito e desiderate rivedere il proprio carrello della spesa, il cookie di autenticazione invia le vostre informazioni, in modo che non dobbiate digitare di nuovo la vostra password.
Se questi cookie sono intercettati e copiati, essi consentono all’intercettatore pieno accesso alla sessione già in corso. Ciò significa che l’hacker ha pieno accesso a tutte le transazioni e alle informazioni dell’account (e questo fino a quando la sessione è in corso). Un cookie può essere fatto scadere quando la sessione è finita o può essere impostato per durare un tempo più prolungato.
Molti siti generano cookie che utilizzano un algoritmo che sfrutta il timestamp e l’indirizzo IP degli utenti per produrre un identificativo unico, il quale può essere facilmente individuato dagli hacker attraverso generatori casuali. L’uso dei cookie è alquanto controverso per molte ragioni, ma soprattutto perché generano fraintendimenti (molti credono che siano file eseguibili, piuttosto che file di dati). L’uso dei cookie è potenzialmente pericoloso e questo fa sì che siano molto sfruttati dagli hacker per effettuare l’hijack della sessione, per cui il loro uso all’interno di una rete SIP non è assolutamente raccomandato.
Ciò è ancor più vero se l’accesso alla rete avviene tramite Wi-Fi. Le reti senza fili sono ancora molto sensibili agli “ascolti indiscreti” e l’uso di qualsiasi trasmissione di testo non codificato è rischioso. I cookie possono essere facilmente catturati attraverso “ascolti indiscreti” sugli access point e questo potrebbe poi compromettere i servizi di rete.
Un semplice controllo per l’hijacking è quello di verificare l’ora e la data di una richiesta in ingresso o di una risposta. Quando un UAS riceve una richiesta, dovrebbe confrontare la data e l’ora con il proprio orologio interno. Se vi è una discrepanza (più di 30 minuti, per esempio), è molto probabile che tale richiesta sia stata intercettata e rispedita cambiando l’indirizzo di destinazione.
Ciò accade quando una sessione viene intercettata e il messaggio viene catturato per poi essere rispedito. L’hacker cambia l’origine dell’indirizzo di un messaggio con il proprio e immette di nuovo il messaggio in rete. Se non aggiorna l’header DATA, il messaggio verrà visualizzato come se ci avesse messo parecchio tempo per attraversare la rete (30 minuti sono un intervallo molto lungo) e questo non è normale perché solitamente questi messaggi sono cancellati in quanto superano l’intervallo specificato nell’header MAX-FORWARDS.
Impersonare un server

Ci sono diversi siti Web che sembrano esattamente identici a quelli ufficiali, ma in realtà sono siti pirata utilizzati per sottrarre informazioni agli ignari visitatori.
Per esempio, ci sono stati molti casi documentati in cui gli hacker hanno creato siti come quelli di banche o società di carte di credito, utilizzando i loghi ufficiali e modellando tali siti affinché apparissero esattamente come quelli reali. Quando l’abbonato digita l’URL di questi siti, viene automaticamente reindirizzato da un redirect del server.
Il redirect del server è creato dall’hacker per inviare al proprio sito Web anziché a quello reale.
Una volta che il consumatore ha raggiunto questo sito, gli vengono chieste la password e altre informazioni sensibili. Tali informazioni vengono poi memorizzate sul server dall’hacker e vendute su Internet ad altri hacker.
Qualche volta l’hacker invia e-mail per invitare il consumatore ad andare al sito Web fittizio per aggiornare il proprio conto corrente o chiedere un rimborso. Ancora una volta, quando sono raggiunti questi siti, vengono chieste informazioni sensibili che possono poi essere utilizzate per accedere ai conti correnti degli utenti. Ci sono molte violazioni di questo tipo, che vanno dai messaggi di testo alle e-mail.
Poi naturalmente c’è la possibilità di compromettere il DNS. In questa attività, che viene chiamata DNS poisoning, l’hacker attacca il server DNS e cambia gli indirizzi IP di server specifici con indirizzi falsi o di siti Web fittizi. Questo è molto facile accada in reti SIP in cui il DNS viene utilizzato per identificare l’indirizzo IP dei domini e delle loro applicazioni.
Il danno arrecato è il medesimo sia che ci si trovi in una rete SIP sia in qualsiasi altro luogo. Essere reindirizzati a un application server fasullo potrebbe avere gravi ripercussioni sia sugli abbonati a un servizio sia per l’operatore che fornisce tale servizio Interferenze con il corpo del messaggio Poiché SIP prevede trasmissioni con testo non codificato, non è necessario avere alcun decodificatore. Questo fa sì che catturare il messaggio sia abbastanza facile per chiunque disponga di utility di sniffing e sia collegato alla medesima rete. Una volta che l’hacker ha catturato un
messaggio SIP, può modificarne il corpo e le intestazioni. Per esempio, un hacker può catturare un invito da un abbonato e cambiare l’ intestazione per riflettere il suo proprio indirizzo. Ciò darebbe all’hacker l’accesso a una rete che non è autorizzato ad utilizzare, e gli permetterebbe di avviare sessioni con gli altri iscritti, mentre finge di essere
qualcun altro.
Ci sono altri aspetti collegati alla manomissione del messaggio. Poiché il contenuto è inviato nel corpo di un messaggio SIP, che è un testo in chiaro, un hacker potrebbe facilmente intercettare i messaggi SMS e modificarne il loro contenuto. La manomissione del messaggio può essere facilmente evitata attraverso la crittografia, come
molti degli scenari di cui abbiamo parlato in questa sezione. La crittografia impedisce all’hacker di decifrare il testo e quindi non sarebbe più possibile cambiarlo e immetterlo di nuovo nella rete.

Terminare le sessioni

La terminazione delle sessioni è un aspetto, ma non un problema, inerente un attacco denial of service (DoS). L’hacker potrebbe intercettare le richieste provenienti da diversi abbonati e semplicemente inviare un messaggio di BYE quale risposta (come se venisse da un proxy o da un altro elemento di rete). Questo farebbe poi terminare la sessione e ne causerebbe l’interruzione.
Questo è più che altro un attacco di disturbo ed è più probabile che venga avviato in modo specifico su un individuo, in quanto è molto più facile lanciare un attacco DoS contro una rete o gli elementi di rete avendo effetti molto più devastanti e di vasta portata.
Denial of Service e amplificazione

Gli attacchi denial of service possono assumere molte forme diverse e possono essere avviati utilizzando diverse tecniche. La forma più semplice è inondare la rete con specifici tipi di traffico.
Per esempio, utilizzando un generatore di chiamata, un hacker può inviare milioni di persone nella rete cercando di inondare la rete stesse con richieste di chiamata.
Questi tipi di attacchi avvengono molto spesso e sono anche stati verificati nella rete PSTN.
L’utilizzo di SIP e IP fornisce un accesso molto più facile agli attacchi degli hacker, consentendo il DoS molto più frequentemente.
Un’altra forma di attacco denial of service coinvolge gli application server. Con il lancio di una marea di richieste a un application server, la rete è immediatamente invasa, congestionata e messa fuori servizio. Questo può accadere anche con il DNS inondandolo con query DNS (attacchi simili si sono verificati già molte volte). Quando il DNS è attaccato, l’intera rete può essere influenzata, a seconda di dove si trova il server all’interno della gerarchia del DNS e se è o meno stata implementata la ridondanza.
Quando sono usati server di redirect si ha il maggiore potenziale di amplificazione. Un messaggio viene diviso in molteplici messaggi, i quali daranno origine a molte risposte diverse. Un attacco che si basa sull’amplificazione invia molte richieste verso obiettivi conosciuti affinché vengano reindirizzate, sapendo che tali obiettivi genereranno un’ulteriore moltiplicazione delle richieste.
Poiché una richiesta viene moltiplicata, è inviata a diverse destinazioni. Ognuna di tali destinazioni invierà quindi una risposta adeguata al proxy di “biforcazione”. Non è necessario che le risposte abbiano successo, in quanto l’obiettivo è quello di creare un grande volume di traffico SIP in rete con la speranza che ciò comporta una congestione tale da tradursi in un DoS.
Dal momento che la congestione è l’obiettivo finale, è ovvio che una richiesta non basti. Non è un obiettivo sufficiente per un tale attacco. Pertanto, l’aggressore utilizza molti obiettivi e milioni di richieste, e continuerà a inviare tali richieste fino a quando si creerà la congestione. Anche il registrar può essere l’obiettivo di un tale tipo di attacco. Un hacker potrebbe registrare un abbonato inserendo diverse identità utente per lo stesso abbonamento. Questo fornisce quindi al registrar un elenco di destinazioni multiple per una stessa richiesta. L’hacker lancia poi le
richieste verso l’identità pubblica, che il registrar e i proxy quindi inviano a più destinazioni sulla base della registrazione fatta dall’hacker stesso.
Anche questa è considerata un’amplificazione, in quanto il registrar è l'”amplificatore” degli effetti dell’attacco causa l’invio a più destinazioni. Gli effetti sono i medesimi di un proxy di “biforcatazione” e anche i risultati sono gli stessi.
Un simile tipo di attacco verso il registrar comporta la registrazione di diverse identità. Ogni identità consuma memoria all’interno del registrar e, quindi, se ha luogo un gran numero di registrazioni, viene esaurita la memoria.
Questo funziona solo in reti aperte con poca o nessuna sicurezza dove chiunque può registrarsi e utilizzare i servizi di tale rete per instradare le richieste. La maggior parte delle reti potrebbe impedire che questo accada già attraverso la semplice autenticazione, prevenendo l’accesso non autorizzato degli abbonati al registrar.
Il proxy di “biforcazione”, a sua volta, continuerà a suddividere le richieste in molteplici richieste e continuerà a gestire la mole di risposte da parte dei vari obiettivi fino a quando non arriva a essere congestionato (o qualche elemento di rete a monte è congestionato). In ogni caso, il risultato finale è che la rete diviene troppo congestionata per gestire qualsiasi ulteriore traffico e inizia a negare il servizio ad altri abbonati. Alcuni degli elementi di rete possono anche bloccarsi a causa del livelli di traffico.

Bot e attacchi DDOS

I bot sono semplici script che vengono trasportati a un dispositivo di un abbonato attraverso un sito Web o altri virus diffusi utilizzando messaggi di testo o e-mail. Anche Bluetooth è sensibili ai virus, e anche i telefoni cellulari ne sono stati vittime.
Un bot risiede in un dispositivo e cerca prima di tutto qualsiasi porta aperta o le connessioni che si possono utilizzare per accedere a Internet. Il bot quindi cerca altri computer o dispositivi collegati alla stessa rete e comincia a sfruttare tali sistemi. Questo è ciò che rende particolarmente pericoloso il bot, poiché essi hanno la capacità di auto-propagarsi ogni volta che il dispositivo è collegato a una rete. Anche un firewall non può impedire ai bot di infettare altri computer quando un computer infetto si connette dietro a tale firewall.
Ma l’aspetto più fastidioso di un bot è la possibilità di controllare lo script da un server remoto. I bot utilizzano il protocollo Internet Relay Chat (IRC) per comunicare con un URL programmato nello script. Essi quindi ricevono comandi da un server collegato all’URL che fondamentalmente lancia lo script. Il server è allo stesso tempo il server di comando e di controllo.
Molti bot sono usati per l’accesso a siti Web e link specifici su tali siti al fine di aumentare il numero di “hit” a un sito Web fraudolento. Ci sono alcune imprese che fanno soldi sulla base del numero di visite a un sito Web o a un link di detto sito, e quindi il bot gonfia i ricavi secondo le esigenze.

I bot si sono spostati verso usi più minacciosi e pericolosi, provocando attacchi DoS in molte reti. Quando un hacker lancia con successo i bot, essi creano una propria piccola rete di bot che è chiamata botnet. Tutti gli script sono sotto il controllo di una sola persona, che, se lancia un attacco contro uno specifico bersaglio potrebbe avere conseguenze devastanti per tale obiettivo. Per esempio, se i bot sono stati incaricati di accedere alla stessa URL nello stesso tempo, milioni di macchine potrebbero accedere allo stesso sito Web contemporaneamente. Questo causerebbe certamente il crash del server perché non sarebbe in grado di gestire una tale domanda. Il sito Web potrebbe quindi essere fuori servizio e risultare inaccessibile.
La più grande botnet di dati è stata registrata nel 2007 e ha preso il controllo di milioni di computer. Se questa botnet fosse stata diretta a qualsiasi URL, avrebbe avuto un effetto devastante. Naturalmente, il bot può prendere possesso di altri dispositivi oltre ai computer. Immaginate se i cellulari venissero infettati con questi bot. Già stiamo assistendo a telefonini infettati con virus sperimentali che si propagano attraverso messaggi di testo e Bluetooth. Se venisse originata una botnet, l’hacker avrebbe milioni di telefoni cellulari a sua disposizione. Se tutti questi telefoni cellulari facessero una chiamata allo stesso tempo alla stessa destinazione la parte di rete interessata sarebbe fuori servizio per un tempo indeterminato.
Anche se i bot sono venissero incaricati di fare una cosa semplice come mandare un messaggio di testo a un telefono cellulare, il risultato finale sarebbe una lunga negazione del servizio per quella parte della rete. Se milioni di telefoni inviassero messaggi a molti telefoni durante un attacco prolungato potrebbero rapidamente portare la rete al crash.

Tags: , ,


Reader's Comments

  1. |

    […] Fonte: I principali attacchi alla rete SIP Tecnologia, VoIP […]