VoIP Forensic. I buchi della telefonia attraverso Internet. Alessio L.R. Pennasilico mayhem@alba.st

Transcript

1 VoIP Forensic I buchi della telefonia attraverso Internet mayhem@alba.st

2 Security Member / Board of Directors: AIP, AIPSI, CLUSIT, ILS, IT-ISAC, LUGVR, OPSI, No1984.org, Metro Olografix, OpenBeer, Sikurezza.org, Spippolatori, Thawte CrISTAL, Hacker s Profiling Project, Recursiva.org 2

3 VoIP explosion VoIP: a cost effective, flexible and functional technology. IDC Anticipates 34 Million More Residential VoIP Subscribers in

4 Cosa può interessare al magistrato

5 Contenuto Sapere cosa l indagato discute al telefono con altre persone è spesso rilevante ai fini delle indagini 5

6 Tabulato Conoscere quali telefonate, quante e di quale durata vengono effettuate può comunque costituire una informazione preziosa 6

7 Identità del chiamato Risulta spesso indispensabile stabilire l identità delle persone chiamate dalla persona intercettata 7

8 Identità del chiamante Intercettare presuppone un indagato Diventa indispensabile capire che chi controllo sia davvero chi voglio controllare E indispensabile intercettare le diverse comunicazioni dello stesso soggetto 8

9 Posizione Anche la località da cui le telefonate vengono effettuate è spesso rilevante ai fine dell indagine 9

10 Legacy Nel caso della telefonia tradizionale risulta banale intercettare il traffico e capire da dove viene effettuata la chiamata Potrebbe non essere semplice capire chi usa la linea in quel momento 10

11 Mobile Le procedure per intercettare la conversazione e la posizione sono assodate da anni Molto più spesso un apparecchio corrisponde ad una persona 11

12 VoIP E la nuova frontiera e le sue security feature, unite all utilizzo in rete, possono rendere estremamente complessa l intercettazione 12

13 Come funziona il VoIP

14 Signaling E il traffico di servizio tra il client/telefono ed il server/centralino E gestito da ogni centralino con il relativo client 14

15 RTP E un secondo flusso di traffico che contiene il traffico voce vero e proprio Può essere gestito tra server e client o direttamente tra i due interlocutori 15

16 Encryption Il traffico VoIP è spesso in clear text di default E di interesse dell utilizzatore criptare la comunicazione al fine di garantire la privacy 16

17 VPN Non è necessario pensare ad un tunnel cifrato Introduce spesso troppa latenza e troppo overhead 17

18 SRTP Criptare a livello di protocollo risulta più leggero e flessibile Criptare il contenuto delle telefonate è spesso un esigenza molto sentita 18

19 Signaling/TLS Proteggere anche il proprio tabulato risulta spesso un requisito degli utilizzatori, oltre ad essere necessario dal punto di vista della tutela della privacy 19

20 Crittografia simmetrica Una password è facilmente ricavabile scambiarsi in modo sicuro una password è spesso molto complesso o scomodo 20

21 Crittografia asimmetrica Per questa ragione viene utilizzato un meccanismo basato su due chiavi 21

22 Chiave Privata Dalla sua riservatezza dipende la mia privacy Massima è la cura che dovrò adottare al fine di proteggerne la riservatezza 22

23 Chiave pubblica La diffondo il più possibile affinché chiunque possa ottenerne facilmente una copia Esistono dei repository appositi, che nel caso di strutture organizzate può essere un server che svolge il ruolo di certification authority 23

24 Alice and Bob - sign Chiave pubblica di Alice sign Chiave privata di Alice 24

25 Alice and Bob - crypt Chiave pubblica di Alice crypt Chiave privata di Alice 25

26 Gestione delle chiavi Molto cambia a seconda della procedura di generazione delle chiavi 26

27 User centric L utente genera autonomamente la propria coppia di chiavi e risulta essere l unico possessore della chiave privata 27

28 SP centric La procedura prevede che una copia della chiave pubblica resti in possesso di chi gestisce il servizio 28

29 Privacy Nel caso di gestione SP centric dovranno essere gestite una serie di procedure che garantiscano l accesso alla chiave solo da parte di personale autorizzato e solo in caso di necessità 29

30 Garanzie Identità del chiamante Riservatezza della chiamata 30

31 Chiavi per SRTP Lo scambio chiavi per stabilire una conversazione criptata avviene all interno del flusso dati di Signaling 31

32 Signaling/TLS Se il flusso di signaling non è protetto via TLS sarà possibile sfruttare diverse tecniche di attacco Man in the Middle per scardinare la riservatezza di SRTP 32

33 Proxy E possibile utilizzare diversi meccanismi per fare transitare la telefonata da un altro host, utilizzato come proxy Questo può far sembrare la telefonata originata dal proxy e non dal client 33

34 Anonimato Punti di accesso ad Internet non monitorati sono facilmente disponibili (es. wifi) La possibilità di effettuare telefonate con credenziali false è davvero alla portata di chiunque 34

35 Cosa dice la legge?

36 CALEA Molte legislazioni prevedono che un fornitore di servizi voce sia obbligato a trovarsi nella condizione di poter intercettare delle chiamate su mandato di un magistrato 36

37 Greek wiretapping scandal Unknowns tapped the mobile phones of about 100 Greek politicians and offices, including the U.S. embassy in Athens and the Greek prime minister. Bruce Schneier, his blog, 22nd June

38 Wiretapping Introdurre la possibilità di scavalcare l infrastruttura crittografica significa introdurre by design un possibile malfunzionamento nell infrastruttura tecnologica che gestisce il VoIP 38

39 Requisiti All communication of a target and service must be intercepted Integrity and confidentiality of Information must be ensured Only authorized personnel must be able to use the LI equipment All information must only be accessible to authorized personnel Every use of LI equipment must be logged Intercepted subject must never be able to detect the interception Active interception measures must never influence the telecommunication service Provider only required to provide accessible data Network-intrinsic encryption must be removed 39

40 ISP Non è necessario rivolgersi all operatore VoIP E possibile intercettare il traffico presso l ISP 40

41 Skype

42 Utenti E di certo uno degli strumenti VoIP più utilizzati Preoccupa molto le forze dell ordine 42

43 Come funziona? Non è possibile saperlo Chi dovesse scardinarlo potrebbe vendere il metodo alle polizie di mezzo mondo In segreto 43

44 Case history Frode negli USA da parte di A. Kobi Il criminale scappa a Colombo, Sri Lanka Utilizza Skype per mantenere i contatti con gli USA Viene rintracciato ed arrestato 44

45 TOR Permette di utilizzare la rete in modo anonimo Introduce molta latenza Spesso non è adatto ad applicazioni come il VoIP 45

46 Il traffico VoIP E peculiare Facilmente individuabile Sensibile a time-based attack 46

47 Intercettazione Ad oggi la tecnica preferita si basa sull infettare il client con del malware Con questo tipo di attacco è possibile avere il controllo del client e quindi anche del flusso voce 47

48 Strumenti

49 Oreka Record VoIP RTP sessions by passively listening to network packets. Both sides of a conversation are mixed together and each call is logged as a separate audio file. 49

50 Features Open plugin architecture for audio capture means that the system is potentially capable of recording from any audio source Capture from multiple Network devices in parallel Capture from pcap trace files Voice activity detection Recording metadata logged to file and/or any mainstream database system 50

51 Compatibility Oreka has been reported to work on the following platforms and should actually work on many more. Cisco CallManager and CM Express v. 3, 4 and 5, Lucent APX8000, Avaya S8500, Siemens HiPath, VocalData, Sylantro, Asterisk SIP channel 51

52 Screenshot 52

53 Conclusioni

54 VoIP LI E una materia nuova Vedremo di certo diverse evoluzioni in futuro Gli strumenti esistono Vi sono limiti legali e tecnologici da considerare 54

55 Web-O-Grafia %20Slay%20-%20Voice%20over%20IP-%20Forensic%20Computing%20Implications.pdf

56 Domande? Grazie per l attenzione mayhem@alba.st These slides are written by Alessio L.R. Pennasilico aka mayhem. They are s u b j e c t e d t o C r e a t i v e C o m m o n s Attribution-ShareAlike 2.5 version; you can copy, modify, or sell them. Please cite your source and use the same licence :)