VoIP (in)security: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO. E. Bortolani, A.L.R. Pennasilico

Transcript

1 VoIP (in)security: VERSANTE TECNOLOGICO E VERSANTE UMANO DEL RISCHIO Elisa Bortolani Università di Verona elisa@cd.univr.it Alessio L.R. Pennasilico AIPSI, ISSA Italian Chapter mayhem@aipsi.org E. Bortolani, A.L.R. Pennasilico Milano, 8 Febbraio 2007

2 Elisa Bortolani Psicologa del Lavoro Ph.D., Dipartimento di psicologia ed antropologia culturale Università di Verona Selezione e formazione per le aziende E. Bortolani, A.L.R. Pennasilico

3 Alessio L.R. Pennasilico Security Alba S.T. Member / Board of Directors: AIP, AIPSI, CaCert, CLUSIT, HPP, ILS, IT-ISAC, LUGVR, OPSI, Metro Olografix, No1984.org, OpenBeer/OpenGeeks, Recursiva.org, Sikurezza.org, Spippolatori, VoIPSA, Thawte. E. Bortolani, A.L.R. Pennasilico

4 VoIP Voice over IP Tecnologia emergente che trasporta la voce su una rete IP (WAN aziendale o Internet). Vantaggi: A) Economica rispetto ad un infrastruttura basata su telefonia tradizionale; B) Integrata con altri servizi. Svantaggi: A) Analisi del rischio più complessa B) Meno affidabile se non implementata correttamente E. Bortolani, A.L.R. Pennasilico 4

5 Telefonia tradizionale La telefonia tradizionale si basa su reti e protocolli proprietari, spesso su hardware e firmware/os proprietari. I sistemi telefonici tradizionali sono spesso slegati dalla infrastruttura IT. E. Bortolani, A.L.R. Pennasilico 5

6 Rischi della telefonia tradizionale Compagnie telefoniche e aziende hanno spesso trascurato i rischi di un utilizzo imprevisto delle loro infrastrutture telefoniche (da parte di interni ed esterni). E. Bortolani, A.L.R. Pennasilico 6

7 già la telefonia tradizionale I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. Captain Crunch, 1971, Secrets of the Little Blue Box, (fonte: Hacker's Profile Project, E. Bortolani, A.L.R. Pennasilico 7

8 la rete VoIP (1) - non soffre solamente le debolezze della rete telefonica tradizionale, ma le moltiplica per i problemi delle reti IP; - riassume pregi e difetti di un sistema interconnesso (facilita azioni di phreaking a chiunque sia dotato di un accesso alla rete e di alcuni strumenti, generici e spesso open source). E. Bortolani, A.L.R. Pennasilico 8

9 la rete VoIP (2) Principali rischi: - eavesdropping; - Denial of Service (DoS); - toll fraud; - ID Spoofing / Identity theft; - vishing; - SPam over Internet Telephony (SPIT). La confidenza che crediamo di avere con lo strumento "telefono" sarà completamente da rivedere. E. Bortolani, A.L.R. Pennasilico 9

10 Creare un ambiente sicuro Quando una nuova tecnologia viene inserita in un organizzazione: - i rischi non sono ancora pienamente conosciuti; - gli amministratori non posseggono sufficiente esperienza; - controlli di sicurezza e policy non vengono tempestivamente aggiornati. These issues should be considered for all systems but are especially important with VOIP deployment for essential operations, [ ] FIPS 199, Standards for Security Categorization of Federal Information and Information Systems E. Bortolani, A.L.R. Pennasilico 10

11 VoIP e valutazione del rischio La complessità degli ambienti VoIP richiede strategie di pianificazione e intervento ad hoc, ma: gli esseri umani (anche i cosiddetti esperti) commettono importanti bias nell emettere giudizi e nel prendere decisioni, trascurando regole e norme di ragionamento ottimale per ottenere il massimo beneficio con il minimo sforzo. E. Bortolani, A.L.R. Pennasilico 11

12 VoIP e valutazione del rischio #2 le decisioni non raggiungono la perfezione, ma ricercano livelli di performance sufficientemente buoni la valutazione il più delle volte è su base intuitiva e alcuni aspetti restano inevitabilmente vulnerabili E. Bortolani, A.L.R. Pennasilico 12

13 Euristiche Strategie di semplificazione cognitiva, per lo più inconsapevoli, che hanno lo scopo di accelerare il processo di decision-making e permettere un buon adattamento all'ambiente. Sono scorciatoie mentali che avvalorano la definizione di essere umano come decisore a razionalità limitata. (Simon, '50, Nobel per l'economia) E. Bortolani, A.L.R. Pennasilico 13

14 Euristica della disponibilità Un evento viene valutato come obiettivamente più frequente tanto è maggiore la facilità con cui esempi ed eventi vengono richiamati alla mente. Il recupero mentale di eventi passati però è condizionato da elementi superficiali che connotano l evento ma che nulla hanno a che fare con la frequenza oggettiva di questo. E. Bortolani, A.L.R. Pennasilico 14

15 Ancoraggio In condizioni di incertezza o ambiguità, la decisione è guidata da un informazione-àncora iniziale della quale non si conosce l effettiva rilevanza. L effetto dell àncora non diminuisce nonostante vengano raccolte altre informazioni (sempre ambigue). E. Bortolani, A.L.R. Pennasilico 15

16 Dimensione collettiva della sicurezza Assimilare telefonia tradizionale e VoIP ATTACCO Dati e voce sulla stessa VLAN Non utilizzo della crittografia Mancanza QoS ATTACCO DI SUCCESSO - processo multi-stratificato - fallimenti locali a qualsiasi livello e per ogni ruolo, interagendo tra loro, abbassano il livello globale di sicurezza. E. Bortolani, A.L.R. Pennasilico 16

17 Andamento della sicurezza all introduzione di una nuova tecnologia Rischi Interventi Assestamento Percezione di invulnerabilità Nuova tecnologia Baseline sicurezza E. Bortolani, A.L.R. Pennasilico 17

18 Information Security Risks CIA, ovvero: Confidentiality (confidenzialità) Integrity (integrità) Availability (disponibilità) E. Bortolani, A.L.R. Pennasilico 18

19 Confidenzialità Si riferisce alla necessità di mantenere sicure e private le informazioni ed evitare che persone non autorizzate possano: - ottenere un tabulato delle chiamate (intercettazione dei flussi di signaling) - registrarle (intercettazione del flusso RTP). Come garantirla? Encryption! E. Bortolani, A.L.R. Pennasilico 19

20 Integrità Si riferisce al fatto che le informazioni non vengano alterate da utenti non autorizzati (accidentalmente o deliberatamente). Es. un utilizzatore legittimo può commettere un errore e causare modifica o cancellazione di dati (ad es. per ACL più permissive di quello che gli è necessario per la sua mansione). un eventuale intruso può fingersi un utilizzatore legittimo. E. Bortolani, A.L.R. Pennasilico 20

21 Autenticazione identità dell utente: un utente deve essere l unico in grado di fare telefonate con un certo numero o, addirittura, deve poter essere identificato univocamente indipendentemente dal numero. Precauzione per: - essere certi di parlare con chi crediamo - evitare che qualcun altro possa qualificarsi come noi stessi. E. Bortolani, A.L.R. Pennasilico 21

22 Disponibilità Si riferisce al fatto che informazioni e servizi necessari siano sempre accessibili. - necessario un piano testato di disaster recovery per mantenere alto il trend di disponibilità anche in condizioni critiche di: - sovraccarichi di lavoro - rottura di apparati - attacchi. E. Bortolani, A.L.R. Pennasilico 22

23 Attacchi Denial of Service (DoS): milioni di richieste contemporanee e/o GB di traffico spazzatura vengono inoltrate contemporaneamente ai server dell azienda i quali, pur non smettendo di funzionare, non sono più in grado di onorare le richieste degli utenti legittimi. Qualsiasi rete è vulnerabile a tali attacchi. Per il VoIP, però, il problema è particolarmente critico per la sua sensibilità alla perdita di pacchetti. E. Bortolani, A.L.R. Pennasilico 23

24 Programmi Vomit Sipsak Ohrwurm Wireshark Cain & Abel Smap SiVus SIP Bomber SIPp NastySIP Scapy Oreka VoiPong Protos Sip Suite SFTF IAX Flood Inoltre: Packet Gen & Packet Scan, Shoot, Sipness, Sipshare, Sip scenario, Siptest harness, Sipv6analyzer, Winsip Call Generator, Sipsim, Mediapro, Netdude, Sipkill, RTP Flooder, Invite flooder, RTP injector, Sipscan, registration hijacker-eraser/adder, Fuzzy Packet. E. Bortolani, A.L.R. Pennasilico 24

25 Vishing Attacco finalizzato ad ottenere dati personali (password, numeri di carte di credito, conto bancario, ecc.) di un ignaro utente per uso illecito. Attraverso un sistema automatico di chiamata vengono contattate potenziali vittime che, al momento della risposta, sono invitate a chiamare un certo numero, appartenente al truffatore, che si impossessa così dei dati. E. Bortolani, A.L.R. Pennasilico 25

26 Il VoIP può essere sicuro? Se implementati, gli strumenti per la sicurezza delle reti IP possono renderlo più sicuro della telefonia tradizionale. Una peculiarità dello strumento è la possibilità di sommare la sicurezza creata da strumenti tecnologici con quella derivante dall esperienza empirica. Ad esempio è possibile identificare l interlocutore non solo grazie al certificato che lo identifica, ma anche grazie alla voce, all accento, ecc. E. Bortolani, A.L.R. Pennasilico 26

27 Conclusioni: il versante tecnologico Corretta analisi del rischio Attenta pianificazione del progetto Implementazione di misure tecniche adeguate: Separazione della rete dati dalla rete voce (VLAN) Firewall a livello di applicazione Gestione della priorità del traffico (QoS) Autenticazione ed Autorizzazione (AAA) Utilizzo di crittografia e certificati digitali (TLS, SRTP) Configurazione apparati idonea a prevenire attacchi IP conosciuti (MITM, garp, spoofing, flooding) Evitare i single point of failure Verifica periodica della sicurezza dell'infrastruttura E. Bortolani, A.L.R. Pennasilico 27

28 Conclusioni: il versante umano #1 Addestramento all utilizzo del VoIP (commisurato a mansione, famiglia professionale di appartenenza, ecc.): - hardening dei sistemi - piano di disaster recovery - sicurezza fisica del sistema - encryption E. Bortolani, A.L.R. Pennasilico 28

29 Conclusioni: il versante umano #2 In-formazione (pervasiva a tutti i livelli) su: - processi psicologici e cognitivi di decision-making - abilità sociali e comunicative che favoriscono l interpretazione del contesto informazionale - gestione del cambiamento tout court (compresi atteggiamenti, emozioni, ecc.) E. Bortolani, A.L.R. Pennasilico 29

30 Conclusioni: il versante umano #3 Obiettivi: - potenziare la consapevolezza rispetto ai rischi - partecipare ai progressi del processo strategico aziendale - essere promotori del cambiamento E. Bortolani, A.L.R. Pennasilico 30

31 Bibliografia Bellovin, S., Blaze, M., Brickell, E., et al. (2006). Security Implications of Applying the Communications Assistance to Law Enforcement Act to Voice over IP, news/docs/caleavoipreport.pdf Besnard, D., & Arief, B. (2004). Computer security impaired by legitimate users. Computers & Security, 23 (3), Kuhn, D.R., Walsh, T.J., Fries, S. (2005). Security Considerations for Voice Over IP Systems, Niccolini, S. (2006). VoIP Security: Hype or Necessity?. Third Annual VoIP Security Workshop, Berlin, June Reason, J. (1990). Human Error, Cambridge: Cambridge University Press. Simon, H.A. (1955). A behavioral model of rational choice. Quarterly Journal of Economics, 69, Stredicke, C. (2006). Securing VoIP Media Communication. Third Annual VoIP Security Workshop, Berlin, June Tversky, A., & Kahneman, D. (1974). Judgment Under Uncertainty: Heuristics and Biases. Science, 185, Wang, X., Chen, C., & Jajodia, S. (2005). Tracking Anonymous Peer-to-Peer VoIP Calls on the Internet. CCS 05 ACM, Nov , Alexandra, Virginia, USA Werbach, K. (2005). Using VoIP to Compete, Harvard Business Review. Sept. 2005, 83 (9), E. Bortolani, A.L.R. Pennasilico 31

32 Licenza Queste slide sono state realizzate da Elisa Bortolani & Alessio L.R. Pennasilico, mayhem, e sono soggette alla licenza Creative Commons nella versione Attribution-ShareAlike 2.0; possono pertanto essere distribuite liberamente e altrettanto liberamente modificate, a patto che si citino gli autori e la provenienza. E. Bortolani, A.L.R. Pennasilico 32

33 ? E. Bortolani, A.L.R. Pennasilico 33