L'écoute des conversations VoIP Marc-André Meloche (OSCP, C EH, Security+) et Eric Gingras 5 à 7 Technique 21 Septembre 2010
Gardien Virtuel Entreprise de services-conseils spécialisée dans la sécurité de l information Mission: Augmenter la confidentialité, l intégrité et la disponibilité de vos systèmes d informations Première firme certifiée ISO 27001 au Canada 2
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 3
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 4
Objectifs de la présentation Vérifier s'il est simple d'écouter les conversations sur des systèmes de téléphonie IP Présenter quelques outils pour la manipulation de conversations VoIP Donner de l'information pour protéger un réseau de téléphonie IP 5
Vous? Qui utilise un système de voix sur IP? Quel système? 6
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 7
Contexte VoIP : Technologie en progression constante Paquet transportant des données sonores Besoin de logiciels, matériels et protocoles conçus pour la VoIP (plusieurs solutions propriétaires) Routage et NAT QoS (pas de latence) 8
Constatations Facilement accessible Les réseaux ne sont pas toujours isolés Les téléphones sont partout salles de conférence, accueil, pour l'accès aux locaux, etc. Protocoles dynamiques Sécurité dans les solutions propriétaires Mots de passe? 9
Bonnes pratiques Recommandations du NIST* pour une utilisation sécuritaire du VoIP : Déployer un réseau approprié Gérer les risques et la continuité 911 (local et fonctionnel) Sécurité physique (réseau) Alimentation Sécurité logique (coupe-feu et protocoles) "Softphones" isolés Attention aux appareils supportants le WiFi Conformité * NIST Special Publication 800-58 : Security Considerations for Voice over IP Systems 10
Vulnérabilités Trois principales sources : Les Zero day (shodan) Les vulnérabilités dans des systèmes propriétaires qui ne sont pas mitigées par les bonnes pratiques Complexité de la sécurisation * La sécurité des protocoles (SIP, RTP, H.323, etc.), des logiciels (Asterisk) et des différentes plateformes matérielles n'est pas dans la portée de cette présentation. 11
Menaces Menaces Confidentialité Disponibilité Authentification Fraude SPAM téléphonique Exemples Écoute et enregistrement de conversations Manipulation de boite vocale Dénis de service BoF Vers et virus Détournement d'enregistrement (SIP) Usurpation d'afficheur Injection sonore Fraude de services Dissimulation de données Invasion du réseau de données Appels indésirés Bourrage de boite vocale Vishing 12
Impact Les conversations peuvent révéler des informations intéressantes et sensibles : département comptable haute direction ressources humaines TI Confidentialité, usurpation d'identité, extorsion, perte de revenus, perte de productivité, frais facturés, etc. Les réseaux IP destinés à la téléphonie doivent être protégés comme les autres réseaux IP! 13
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 14
Les téléphones IP Un téléphone IP est l'équivalent d'un ordinateur qui serait branché sur le réseau. Il s'approprie une adresse IP et possède une adresse MAC fixé par le fabriquant Les téléphones IP sauvegardent toute sorte d'informations (identifiant de vlan, adresse IP, passerelle, etc.) 15
Captures d'écran de la configuration des téléphones Adresse IP du poste téléphonique Masque de sous-réseau 16
Captures d'écran de la configuration des téléphones Adresse IP de la passerelle Identifiant du réseau virtuel 17
Collecte d'informations à l'intérieur d'un commutateur 18
Réseau segmenté C'est plus simple de capturer de l'information dans un réseau plat Mais c'est également possible de capturer de l'information dans un réseau segmenté (VLAN) avec de l'étiquetage réseau (tagging) 802.1q 19
S'associer au bon réseau virtuel avec Windows Les cartes réseau modernes peuvent s'associer à un réseau virtuel directement. 20
S'associer au bon réseau virtuel avec Linux Avec ifenslave c'est possible de s'associer à un VLAN. 21
Wireshark Wireshark est un outil d'analyse de protocoles, il est possible pour lui d'interpréter les communications entre deux téléphones IP et d'en extraire les flux RTP. IP Source IP Destination Protocole Codec utilisé Présentation ASIMM - Écoute des conversations VOIP 22
Wireshark Le module d'appels VoIP du logiciel Wireshark Source du paquet IP qui a initialisé l'appel L'invitation «FROM» SIP L'invitation «TO» SIP Le protocole utilisé Présentation ASIMM - Écoute des conversations VOIP L'état de l'appel 23
Wireshark Le module d'interprétation des flux RTP du logiciel Wireshark Présentation ASIMM - Écoute des conversations VOIP 24
Les vielles attaques sont toujours efficaces! Le fonctionnement d'une attaque par MITM (Man in the middle) Une attaque du type MITM est lancée par un pirate pour intercepter le trafic entre deux systèmes pour pouvoir ensuite rediriger ce trafic aux systèmes sans que la communication soit interrompue Avec cette méthode le pirate peut intercepter des mots de passes, des courriels, des conversations, etc... 25
Les vielles attaques sont toujours efficaces! Un diagramme qui démontre l'attaque par MITM. 26
Les vielles attaques sont toujours efficaces! Le fonctionnement d'une attaque par empoisonnement de la cache ARP. - Le principe du ARP spoofing est d'envoyer de faux messages ou des messages forgés dans un réseau ethernet. Le bût principal est d'associer avec l'adresse MAC et l'adresse IP de l'attaquant avec une adresse MAC d'un autre poste. (Ex: Passerelle par défaut ou passerelle VLAN) Tout trafic qui était destiné à cette adresse va être automatiquement détourné à l'attaquant. 27
Outils Windows pour la capture de conversation IP Cain and Abel Cain & Abel est un outil de récupération de mot de passe pour les systèmes d'exploitation Microsoft. Il permet une récupération des différents types de mots de passe en capturant le trafic sur le réseau. Il permet également le craquage de mots de passe cryptés en utilisant un dictionnaire, la force-brute ou les attaques par la cryptanalyse. Il permet également l'enregistrement des conversations VoIP. Il permet également d'analyser le réseau et d'identifier des postes ou des téléphones connectés à celui-ci et de faire du arp cache poisoning. 28
Cain & Abel 29
Cain & Abel 2 30
Cain & Abel 3 31
Cain & Abel 4 32
Cain & Abel 5 33
Outils Linux pour la capture de conversation IP. Ettercap Ettercap est un outil UNIX et Windows pour l'analyse de protocole de réseau et les audits de sécurité. Il est capable d'intercepter le trafic sur un segment de réseau, de capturer des mots de passe et d'effectuer des écoutes actives contre un certain nombre de protocoles communs. Orkaudio Oreka est un système modulaire et multi-plateforme pour l'enregistrement et la récupération des flux audio. Le projet prend actuellement en charge la VoIP et le dispositif de capture de son. Les métadonnées enregistrées peuvent être stockées dans une base de données. La récupération des sessions capturées est basé sur le Web. 34
Ettercap 35
Orkaudio 36
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 37
Démonstration Écoute d'une conversation sur un système de voix sur IP. Dans cette démonstration, nous allons vous démontrer que la technique fonctionne réellement avec un système téléphonique open-source (*Asterisk) 38
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 39
Ucsniff Ucsniff permet la capture de conversation VoIP et permet également par lui même lors de la détection d'autres téléphones sur le réseau d'activer un module de MITM ce qui permet de capturer un grand nombre de conversations. Présentation ASIMM - Écoute des conversations VOIP 40
Ucsniff Capture d'écran du logiciel Ucsniff Présentation ASIMM - Écoute des conversations VOIP 41
Injection de flux audio (RTP) Dans un réseau non protégé, il est possible d'injecter lors de la communication entre deux parties des flux audio dans la conversation. Ceci peut être très dangereux dans la mesure ou les messages peuvent être diffamatoires, obscènes, ou de mauvais goût. L'attaquant doit trouver et vérifier les conversations actives sur le réseau et ensuite injecter un fichier audio dans celles-ci. Elles sont difficiles à retracer, une seule personne peut entends le son qui est injecté. Présentation ASIMM - Écoute des conversations VOIP 42
Injection de flux audio (RTP) Capture d'écran du logiciel rtpinject Présentation ASIMM - Écoute des conversations VOIP 43
Sipvicious Ce logiciel permet de faire une attaque par force brute d'une authentification SIP. Il est important d'avoir au préalable l'adresse IP du serveur de téléphonie et l'extension qu'on désire s'approprier Avec le téléphone d'un membre important de l'entreprise, il est possible de procéder à des attaques par ingénierie sociale plus aisément. À l'aide du mot de passe recueilli, il est possible de s'introduire dans la boîte vocale de l'usagé Présentation ASIMM - Écoute des conversations VOIP 44
Sipvicious Capture d'écran du logiciel sipvicious Présentation ASIMM - Écoute des conversations VOIP 45
Contenu de la présentation Objectifs Contexte Attaques Démonstration Quelques outils complémentaires Comment se défendre 46
Comment se défendre? Bonne pratique : Restreindre l'accès physique aux équipements Faire le suivi des mises à jours sur les systèmes téléphoniques Configurer adéquatement les équipements (mot de passe, désactiver les services inutiles, etc.) Sécuriser les appareils avec un mot de passe complexe. Redondance 47
Comment se défendre? Sécuriser : Segmenter le réseau efficacement Restreindre au maximum les accès : Port Security au niveau des équipements réseau Sécurisé les communications au niveau réseau (IPSec, SSL, WPA, etc.) Utiliser des équipements supportant les protocoles du VoIP (SIP, RTP, H.323, etc.) Activer le chiffrement (SRTP, ZRTP) sur le système téléphonique 48
Comment se défendre? Surveiller : Utiliser un système du type ArpWatch pour être avisé lorsqu'une adresse MAC est changée Maintenir une liste d'adresse MAC pour les équipements de téléphonie Les solutions de détection et de prévention d'intrusion offrent des règles spécialisées Et comme toujours : Sensibilisé les utilisateurs! 49
Questions? Pour plus de détails, vous pouvez consulter un article de Hackin9 disponible sur le site web de Gardien Virtuel www.gardienvirtuel.ca 50