HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet VoIP : révolution ou dévolution? Séminaire EPFL VoIP State of the Art Technical, Economic and Legal issues Lausanne, 2 novembre 2007 Hervé Schauer Hervé Schauer <Herve.Schauer@hsc.fr>
Sommaire 1/2 VoIP/ToIP Piratage à la portée de tous Piratage lucratif Intégration défaillante Mécanismes de sécurité inadaptés Technologies jeunes Augmentation de la surface d'attaque Organisation interne inadaptée Les transparents sont & seront disponibles sur www.hsc.fr Retour sur investissement qui n'aurorise pas la sécurité 2 / 30
Sommaire 2/2 Bilan de la VoIP/ToIP Solutions Conclusion HSC Références 3 / 30
Piratage à la portée de tous VoIP vs téléphonie classique Vulnérabilités relativement proches Ecoute des communications Usurpation d'identité Déni de service etc Pas fondamentalement plus de vulnérabilités en VoIP Mais vulnérabilités plus faciles à exploiter en VoIP Exemple : enregistrement des conversations Téléphonie classique : installation physique d'une bretelle sur la ligne VoIP : mise en place à distance d'un espion sur un Call Server IP 4 / 30
Piratage à la portée de tous Téléphonie classique VoIP Equipements de piratage couteux et difficilement accessibles Compétences en électronique nécessaires Protocoles peu enseignés, propriétaires, non-documentés Exploitation des attaques sur place Equipements de piratage accessibles à tous Disponibles librement sur internet Compétences d'informaticien suffisantes Protocoles enseignés et ouverts Exploitation des attaques à distance 5 / 30
Exemple dans une architecture GSM BSC (.105) BTS (.106) Signalisation GSM 10.0.0.105 10.0.0.106 GSM PAGING_CMD(TS=0,CCCH,) # Appel Entrant 10.0.0.106 10.0.0.105 GSM CHAN_RQD(TS=0,RACH,) 10.0.0.105 10.0.0.106 GSM CHAN_ACTIV(TS=0,SDCCH4/0,) # Alloc. Canal Sig. 10.0.0.106 10.0.0.105 GSM CHAN_ACTIV_ACK(TS=0,SDCCH4/0,) 10.0.0.105 10.0.0.106 GSM IMM_ASS(TS=0,CCCH,RR:Immediate Assignment) 10.0.0.106 10.0.0.105 GSM EST_IND(TS=0,SDCCH4/0,RR:Paging Response) [...] Mécanismes d'authentification + chiffrement (MS + BTS) 10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:MM:Identity Request) # IMEI 10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:CC:Setup) 10.0.0.106 10.0.0.105 GSM DATA_IND(TS=0,SDCCH4/0:MM:Identity Response) 10.0.0.106 10.0.0.105 GSM DATA_IND(TS=0,SDCCH4/0:CC:Call Confirmed) 10.0.0.105 10.0.0.106 GSM CHAN_ACTIV(TS=1,Bm,) [...] 10.0.0.106 10.0.0.105 GSM CHAN_ACTIV_ACK(TS=1,Bm,) 10.0.0.105 10.0.0.106 GSM DATA_REQ(TS=0,SDCCH4/0:RR:Assignment Command) 10.0.0.203 10.0.0.106 RTP Payload type=unknown (84), SSRC=168645406, Seq=50107, Time=790508536 10.0.0.106 10.0.0.203 RTCP Receiver Report [...] MGW (.203) BTS (.106) Flux Audio (RTP) Message CALL SETUP qui comporte le numéro appelant,, falsifiable : Récriture R en ::;;<<05522 Risques : Atteinte à la confidentialité des conversations, fraudes diverses (détournement d'appels, redirection vers des numéros sur-facturés pour les appels sortants etc.) 6 / 30
MESSAGE sip:test1@ims.hsc.fr SIP/2.0 From: sip:test2@ims.hsc.fr To: sip:test1@ims.hsc.fr 7 / 30 Exemple dans une architecture IMS Exemple : Identité privée = hsc3, Identité publique = test3 Security-Verify: digest;d-ver="876708e489d65e36bcba9e01143c310b" Du P-CSCF à la victime Le champ P-Asserted-Identity indiquant l'utilisateur authentifié est inséré par le P-CSCF mais non pris en compte Conséquences : Usurpation d'identité dans le «chat» Usurpation d'identité dans le partage de fichiers De l'attaquant au P-CSCF MESSAGE sip:test1@ims.hsc.fr SIP/2.0 From: sip:test2@ims.hsc.fr To: sip:test1@ims.hsc.fr P Asserted Identity:sip:hsc3@ims.hsc.fr P-Called-Party-ID:<sip:test1@ims.hsc.fr> Et aussi... possibilités : - de canaux cachés non facturé en utilisant les messages de signalisation (MESSAGE) - de SPAM dans l'uri SIP pour un coût nul (MESSAGE & INVITE) - d'attaques inter-mobiles (plus généralement)!
Exemple dans une architecture VoIP Cas pratique d'intrusion sur des réseaux VoIP opérateur : 8 / 30 Session Initiation Protocol Request-Line: INVITE sip:06xxxxxxxx@a.b.c.d SIP/2.0 Message Header Via: SIP/2.0/UDP 10.0.0.53:7502 Max-Forwards: 70 From: "0606060606" <sip:0606060606>;tag=9c6072bf2bd8428bb2f63d1191f23f34;epid=eae6c76a48 To: <sip:06xxxxxxxx@a.b.c.d> Call-ID: 2c3fad5bdb6e48dda1640aaa7417d3b3 Impact : Consultation de la messagerie de tous les abonnés, Usurpation d'identité pour les appels et les SMS / MMS mais pas d'impact sur la facturation
Piratage lucratif Piratage téléphonique = moyen de gagner de l'argent Escroqueries courantes depuis longtemps VoIP Détection à la prochaine facture analysée Très peu de chance d'être détecté avant Facturation à postériori très utile aux pirates Contestation difficile pour la victime Exemple Piratage de l'ipbx Installation d'un robot Appel de n surtaxés à l'étranger 9 / 30
Intégration défaillante Impératifs de production encore plus stressants en ToIP qu'en IT classique Messagerie en rade : déjà innaccceptable Téléphone sonne occupé quand on veut appeller : pas du tout envisageable Disponibilité prime sur tout Aucune prise du moindre risque Aucune action de sécurisation aux conséquences peu prévisibles Pas de filtrage IP Pas de changement de la configuration par défaut Pas de mise en oeuvre sur une architecture correcte qui apparaît trop complexe à l'intégrateur 10 / 30
Intégration défaillante Installateurs de la VoIP/ToIP Ne voient pas le réseau IP dans sa globalité Ne savent pas que le PC à coté peut faire telnet sur l'ipbx Mots de passe devinables par défaut laissés Ne pensent pas que l'on peut brancher son ordinateur à la place du téléphone ToIP Maintenance à distance Pas de moyens de gestion de mots de passe par client Même mot de passe chez tous les clients 11 / 30
Basés sur des PKI Mécanismes de sécurité inadaptés Extrêmement difficiles à mettre en place Difficiles à utiliser 12 / 30
Technologies jeunes Informaticiens ego démesuré Toujours meilleurs que ceux qui les ont précédés Tombent dans les mêmes pièges Même erreurs classiques de programmation Mêmes failles de sécurité qui se répètent Progrès très, très lents chez les fournisseurs Ou inexistants... 13 / 30
Technologies complexes Simplicité apparente de SIP cache une énorme complexité de la VoIP/ToIP Mutiplicité des technologies et des protocoles nécessaires : DHCP, DNS, LDAP, SIP, HTTP(S), SMTP,..., éventuellement SS7 Personne n'y comprend rien Personne n'a une vision globale des choses Développeur, intégrateur, chef de projet Dramatique pour la sécurité 14 / 30
Augmentation de la surface d'attaque Interfaces d'administration en web XSS Dénis de service Attaques en quantité innombrable Chaque terminal ou IPBX est un PC vulnérable Coupure d'électricité 15 / 30
16 / 30 Denis de service Exemple vécu lors d'un audit qui n'était pas un audit de sécurité de la VoIP Coupure de courant Téléphone (Mitel) branché sur le secteur (pas PoE, pas secouru) plus de téléphone Serveurs branchés sur le courant secouru mais pas le commutateur devant Retour du courant Serveur de téléconfiguration des téléphones injoignable (DHCP, BOOTP pour le firmware, etc.) car commutateur pas encore redémarré Les téléphones ont redémarré plus vite que le commutateur et se sont trouvés sans adresse IP, etc. et restent bloqués sur l'écran "Waiting for DHCP..." Pour une raison inconnue, une fois le serveur de téléconfiguration à nouveau joignable, les téléphones n'ont pas fonctionné Seule solutions trouvée : débrancher/rebrancher chaque téléphone un par un pour qu'ils se remettent en service
Organisation interne inadaptée Direction générale n'écoute personne Directeur financier, directeur achats, toujours au dessus RSSI généralement totalement inopérant Face à la démonstration d''intrusion : «Mais c'est parce que c'est vous!» Ni responsable, ni coupable Qui est en charge de la téléphonie? Téléphonie encore gérée par les services généraux Téléphonie pas encore gérée réellement à la DSI 17 / 30
Retour sur investissement VoIP/ToIP vendues comme étant moins chers Reflexion un peu plus pousée coût Appréciation des risques coût Mise en place de firewalls coût Audit de sécurité coût Sécurité généralement sacrifiée 18 / 30
Bilan de la VoIP/ToIP N'est pas équivalent à la téléphonie classique Signalisation/contrôle et transport de la voix sur le même réseau IP Perte de la localisation géographique de l'appelant N'offre pas la sécurité à laquelle les utilisateurs étaient habitués Fiabilité du système téléphonique Combien de pannes de téléphone vs pannes informatique? Confidentialité des appels téléphoniques Invulnérabilité du système téléphonique Devenu un système suceptible d'intrusions, vers, etc 19 / 30
Bilan de la VoIP/ToIP N'est pas juste "une application IP en plus" Pas d'authentification mutuelle entre les parties par défaut Peu de contrôles d'intégrité des flux, pas de chiffrement Risques d'interception et de routage des appels vers des numéros surfacturés Falsification des messages d'affichage du numéro renvoyés à l'appelant Attaques accessibles à tout informaticien et pas juste aux spécialistes de la téléphonie numérique 20 / 30
Solutions Sécurité dans le réseau IP Sécurité propre à la solution de VoIP / ToIP Calcul du retour sur investissement de la VoIP 21 / 30
Sécurité dans le réseau IP Sécurité dans le réseau Physique Utiliser des réseaux distincts Liaison Cloisonnement des VLAN Filtrage des adresses MAC par port Protection contre les attaques ARP Réseau Contrôle d'accès par filtrage IP Authentification et chiffrement avec IPsec Transport Validation du protocole par filtrage, relayage applicatif Authentification et chiffrement SSL/TLS 22 / 30
Sécurité propre à la solution VoIP/ToIP SIP, MGCP, et les protocoles propriétaires incluent des fonctions de sécurité Limite des terminaux qui n'ont pas le CPU nécessaire à des calculs de clefs de session en cours de communication Mise en oeuvre de la sécurité perte des possibilité d'interopérabilités entre fournisseurs Nombreuses fonctionalités incompatibles Exemple : relayage et chiffrement de la signalisation 23 / 30
Retour sur investissement Mettre à jour son PABX apporte les mêmes service avec ou sans VoIP Aucun service disponible en VoIP n'est pas disponible en téléphonie classique Aucun calcul de retour sur investissement ne peut se justifier par la disponibilité de nouveaux services 24 / 30
Retour sur investissement Intégrer les coûts de la VoIP Coûts de cablage 25 / 30 Poste téléphonique IP => prise ethernet supplémentaire Plusieurs clients ont eu des difficultés avec le PC connecté sur le téléphone et le téléphone dans la prise Ethernet du PC Aucun client HSC n'a survécu sans VLAN, avant même les considérations de sécurité Service téléphonique doit savoir dans quel pièce et sur quelle prise est chaque numéro de téléphone N de téléphone, @MAC, @IP et n de prise Ethernet sont liés Très vite il faut cabler des prises spécifiques avec le courant électrique sur le cable Ethernet (PoE) 802.1x => une prise par équipement Onduleurs supplémentaires et spécifiques VoIP/ToIP impose des coûts de cablage élevés
Retour sur investissement Intégrer les coûts de la VoIP Services du réseau informatique deviennent des services critiques DHCP DNS Commutateurs... Coûts de mise en oeuvre de la haute-disponibilité devenue obligatoire Coûts des liaisons de secours éventuelles Coûts d'exploitation au quotidien Doublement de la taille du réseau, du nombre d'équipements Surveillance de la qualité de service 24/7 Coûts de formation du personnel 26 / 30
Retour sur investissement Intégrer la dégradation du service due à la VoIP Taux d'indisponibilité téléphonie classique : 5 à 6 minutes d'interruption par an, 99,99886 % Taux de disponibilité téléphonie sur IP :?? Nous avons vu des gens sans téléphone pendant plusieurs jours... Support téléphonique hors-service «Quand le réseau est panne il n'y a plus non plus de téléphone comme ça on est dérangé que par ceux qui utilisent leur mobile» Téléphone : principal système d'appel au secours pour la sécurité des personnes 27 / 30
Retour sur investissement Valider au préalable la réalité des fonctionalités Systématiquement il y a les fonctionalités d'un coté et le prix du poste téléphonique entrée de gamme de l'autre Fonctionalités de sécurité imposant un changement de tous les postes téléphoniques Valider au préalable la robustesse de tous les équipements choisis Cf ISIC, SIPSAK, CODENOMICON, etc Procéder à une véritable appréciation des risques Monter une maquette significative de la solution prévue Pour valider contrôler et apprécier les risques et refaire le calcul de retour sur investissement 28 / 30
Organisation Téléphonie doit entrer dans le giron de la Direction des Systèmes d'information (DSI) Comme les photocopieurs, télécopieurs, etc Ne peut rester aux services généraux Téléphonistes doivent intégrer la DSI Leurs compétences en téléphonie sont indispensables au déploiement de la VoIP La VoIP / ToIP vous est imposé par les fournisseurs dans leur intérêt : vous devrez y passer un jour de gré ou de force 29 / 30
Conclusion VoIP / ToIP = insécurité Attaques innombrables et à la portée de tous Mutisme des fournisseurs Pas de prise en considération des risques pas les utilisateurs Planifiez, prévoyez les coûts Questions? Herve.Schauer@hsc.fr www.hsc.fr 30 / 30
Références (1/2) Two attachs against VoIP, 04/06, Peter Thermos, Palindrome http://www.securityfocus.com/infocus/1862 VoIP et sécurité pour l'entreprise,11/05, Stefano Ventura, IICT http://www.aud it.ch/voip&sec.grifes.off.zip Sécurité de la VoIP, 06/05, Franck Davy, Nicolas Jombart, Alain Thivillon, HSC http://www.hsc.fr/ressources/presentations/csm05 voip/ Security considerations for VoIP systems, 01/05, Richard Kuhn, Thomas Walsh, Steffen Fries, NIST http://www.csrc.nist.gov/publications/nistpubs/800 58/SP800 58 final.pdf 31 / 30
Références (2/2) Net managers struggle to manage VoIP effectively, 06/06 http://www.networkworld.com/news/2006/061906 managing voip applications.html?t5 32 / 30
Hervé Schauer Consultants Société de conseil en sécurité des systèmes d'information depuis 1989 Prestations intellectuelles d'expertise en toute indépendance Pas de distribution, ni intégration, ni infogérance, ni investisseurs, ni délégation de personnel Prestations : conseil, études, audits, tests d'intrusion, formations Domaines d'expertise Sécurité Windows / Unix et linux / embarqué Sécurité des applications Sécurité des réseaux TCP/IP, téléphonie, réseaux opérateurs, réseaux avionique,... Organisation de la sécurité Certifications CISSP, BSI BS7799 Lead Auditor, ISO27001 Lead Auditor et Lead Implementer par LSTI, IRCA, RABQSA 33 / 30
Ressources Sur www.hsc.fr vous trouverez des présentations sur Infogérance en sécurité Sécurité des réseaux sans fil Sécurité des SAN Sécurité des bases de données SPAM ISO27001 / ISO17799 Sécurité de la voix sur IP etc Sur www.hsc news.com vous pourrez vous abonner à la newsletter HSC 34 / 30