VOICE OVER IP SICUREZZA DOCUMENTI PDF TRACCIAMENTO IN RETE LE VENTI VULNERABILITÀ PIÙ CRITICHE PER LA SICUREZZA IN INTERNET (20^ PARTE) Panoramica

Transcript

1 INDICE VOICE OVER IP Panoramica 1 SICUREZZA DOCUMENTI PDF 3 Difficoltà: PRINCIPIANTE TRACCIAMENTO IN RETE Difficoltà: PRINCIPIANTE 7 LE VENTI VULNERABILITÀ PIÙ CRITICHE PER LA SICUREZZA IN INTERNET (20^ PARTE) Difficoltà: INTERMEDIA 12

2 VOICE OVER IP Panoramica La rete telefonica, come noi la conosciamo, è considerata una delle reti più affidabili, nonostante sia nata con l invenzione dell apparecchio telefonico all inizio del XIX secolo. Questa ha subito, con gli anni, profonde modificazioni sia dal punto di vista tecnologico sia da quello della copertura dell intera nazione sino all inizio degli anni 90; questi anni coincidono con l avvento a livello mondiale di Internet come rete dati pubblica. Allora perché non veicolare la voce (essendo anch esso un dato) su Internet? A questa domanda si è data una pronta risposta, creando dei protocolli adatti a far veicolare la voce come dato sulle reti appartenenti ad Internet. Questa brillante idea permette di abbattere i costi telefonici tradizionali. Si tenga però presente, che in alcuni momenti la qualità della voce potrebbe risultare più bassa e con alcuni ritardi, dovuti alla natura della rete dati. Se si accettano questi due problemi, il voice over ip presenta interessanti applicazioni sia in ambito residenziale che in ambito business. La tecnologia VoIP tende essenzialmente a ridurre i costi di esercizio a quelle aziende dove questa problematica riveste particolare importanza. Le modalità con cui questa tecnologia entra a far parte di queste aziende è da ricercarsi nel : - utilizzo di software gratuiti; - utilizzo di servizi VoIP di breakin/breakout; - sostituzione del vecchio centralino con un centralino basato sulla tecnologia VoIP; - uso di architetture di PBX trunking; - remotizzazione del PBX, attraverso softswitch VoIP; - introduzione di servizi di Extended Mobility. Se l apparente semplicità e i costi ragionevoli di tale tecnologia risultano promesse allettanti, non bisogna trascurare però l aspetto sicurezza. Dato che la voce viaggia in pacchetti IP, molta gente potrebbe erroneamente pensare che inserendo questi pacchetti nella rete Internet i dati veicolati risultino non intellegibili. "Molti pensano che non serva fare altro", che basti installare un software per gestire il VoIP". Quello che sfugge è che quando si parla di VoIP le cose sono un po più complicate: ad esempio bisogna assicurarsi che il servizio sia di alta qualità, bisogna stare particolarmente attenti al rispetto della privacy delle comunicazioni, bisogna prevenire possibili attacchi DoS (Denial of Service) e tanti altri aspetti, legati alla sicurezza, che non permettano fuga di notizie. Le reti basate su tecnologia VoIP prevedono oltre i normali apparecchi telefonici che risultano comunque l end-point utente, componenti tra cui : - softswitch; - gateway; - router; - firewall. 1

3 La particolarità di questi componenti è quella di essere costruiti esclusivamente per questo tipo di tecnologia, altrimenti, in alternativa si potrebbero usare quelli usati nelle normali rete dati, ma viste le richieste di performance della VoIP si determina la necessità di aggiornamenti del software e dell hardware del networking. La convergenza crescente fra voce e trasmissione dati fa in modo che oggi i rischi di attacchi di tipo tradizionale aumentino. Le possibilità di successo di attacchi contro una rete che combina dati e voce possono paralizzare un impresa, fermare le comunicazioni richieste per la produttività, e avere come conseguenza l insoddisfazione dei clienti e la perdita del guadagno. Si tenga inoltre presente, che, a causa della natura time-critical della VoIP ed alla sua bassa tolleranza alla perdita dei pacchetti, l implementazione di alcune misure di sicurezza potrebbero causare un deterioramento della qualità del servizio: infatti esiste la possibilità di innesco di delay o addirittura dei blocchi dovuti a tempi di giacenza sui firewall, oppure dei ritardi creati dal processo di cifratura. I firewall sono considerati l elemento base per quanto riguarda la sicurezza delle attuali reti dati, l introduzione però, in una rete VoIP potrebbe complicare le cose, principalmente per effetto delle procedure di setup delle chiamate, considerando anche il fatto che il traffico VoIP avviene su porte allocate dinamicamente. Per le ragioni sopraccitate, sarebbe opportuno adottare particolari firewall (SIP-aware) in grado di tracciare lo stato delle connessioni e di respingere elementi estranei alla chiamata originaria. Per quanto riguarda, invece la cifratura può risultare utile per proteggere i dati stessi, questa potrebbe avvenire criptando i pacchetti a livello IP (IPSec) o a livello trasporto RTP sicuro (Raw Process Time). I problemi però, derivanti dalla cifratura sono facilmente riscontrabili nell ampliamento del pacchetto e nel tempo di latenza; questi due fattori determinano un degrado nella qualità della voce e sottolineano ancora più marcatamente come sia difficile la realizzazione di una rete con tecnologia VoIP su una rete dati preesistente. Al momento non esiste nessuna soluzione univoca capace di risolvere i problemi appena citati; ogni azienda/comando/ente, quindi, dovrebbe, insieme ad esperti di VoIP e di sicurezza ICT (Information and Communications Technology), cercare l assetto ideale per la propria rete. Di seguito riportiamo alcune linee guida di carattere generale, che necessitano di aggiustamenti se ricondotte ad una situazione reale : - tenere separati, se è possibile, i dati dalla voce su reti logicamente differenti; - predisporre l uso di strong authentication e controllo degli accessi a livello gateway che si interfaccia con la rete PSTN (Public Switched Telephone Network, rete telefonica pubblica commutata); - uso di firewall progettati per traffico VoIP; - uso di IPSec o SSH (Secure SHell) per tutta la gestione remota, possibilmente a livello router e non a livello endpoint. Mentre lo sviluppo del VoIP diviene sempre più diffuso, la tecnologia diventa molto più attraente per i cracker: è quindi necessario aumentare il potenziale di difesa dal cyber crime. Probabilmente si creerà un emergenza di attacchi al livello applicazione del VoIP 2

4 appena gli attackers diventeranno più esperti con la tecnologia, il cui merito di essere stata pensata per essere di facile accesso potrebbe divenire una grave fonte di rischio: i problemi a cui il VoIP potrebbe essere più facilmente soggetto sono il DoS e lo Spamming. Il 7 febbraio è stata presentata in Texas, negli Stati Uniti, VoIP Security Alliance (VOIPSA), la prima Alleanza per la sicurezza del VoIP: ad essa hanno aderito produttori, providers, ricercatori. Obiettivo dichiarato: scoprire e ridurre i rischi di sicurezza del VOIP e stendere le linee guida per combatterli. Lo scopo del VoIP Security Alliance (VOIPSA) è aiutare le organizzazioni a comprendere e prevenire i rischi di sicurezza attraverso liste di discussioni, white papers, sponsorizzazioni di progetti di ricerca sulla sicurezza e sviluppo di tool di pubblico utilizzo. VOIPSA è il primo ed unico gruppo esclusivamente dedicato alla sicurezza del VOIP sostenuto da un'ampia gamma di organizzazioni rappresentate da università, ricercatori, produttori e provider VoIP. Un esempio di problema legato alla sicurezza, è stato riscontrato nel 2004 da parte di Secunia sulle versioni dalla 1.0.*.94 alla 1.0.*.98 relativo al programma di VoIP della Skype. La falla risultava estremamente critica perché, visitando siti in rete che siano stati appositamente programmati, poteva causare agli utenti un buffer overflow con conseguente appropriamento (da remoto) del sistema attaccato da parte degli scrittori del codice maligno. Questo programma che vanta più di 100 milioni di download è arrivato alla versione e presumibilmente questa vulnerabilità legata alla sicurezza dovrebbe essere stata risolta. In conclusione, come ogni tecnologia emergente, questa deve essere compresa e devono essere compresi principalmente i rischi connessi ad essa, di conseguenza sarebbe opportuno istruire ed addestrare il proprio personale sull uso di tale tecnologia senza rimanere abbagliati solo ed esclusivamente dalla facilità d uso e dal risparmio di risorse. SICUREZZA NEI DOCUMENTI PDF Difficoltà: PRINCIPIANTE Recenti accadimenti hanno messo in luce i limiti della protezione di documenti in formato digitale, mostrando come l eccessiva confidenza in questi sistemi possa condurre a gravi ed inattese conseguenze. In particolare si è parlato molto della protezione di dati in formato Portable Digital Format, in altre parole il ben noto pdf. In questo articolo coglieremo l occasione per presentare le possibili protezioni di un documento pdf, ma soprattutto i limiti che esse possono presentare. La prova è stata fatta usando Adobe Acrobat (ver.6.0). Un documento, una volta creato od aperto con Adobe Acrobat (e non con il semplice lettore Acrobat Reader), può essere protetto sia in lettura sia contro eventuali modifiche, oltre che firmato digitalmente. 3

5 Digitando il tasto protezione (figura 1) è possibile sia impostare la configurazione di protezione sia visionare le protezioni che un documento possiede. Figura 1 Limita apertura e modifica : digitando questa voce il programma presenterà una maschera (figura 2) dove l utente potrà impostare due password, una per quanto riguarda l apertura del documento l altra per la protezione del documento da modifiche. Figura 2 Inoltre sempre con la seconda password si potrà stabilire se : - negare la stampa del documento; - consentire la stampa del documento e con quale risoluzione; - negare qualsiasi modifica; - inserire, eliminare e ruotare delle pagine; - compilare dei campi modulo e firma; - creare dei commenti, compilare dei campi modulo e firma; - negare tutto tranne l estrazione delle pagine; - abilitare la copia del testo, delle immagini e di altri contenuti; - consentire agli ipovedenti di accedere al testo tramite dispositivi di lettura dello schermo. 4

6 Cifratura per alcune identità che usano certificati : Esiste la possibilità di proteggere il documento in modo da renderlo leggibile e modificabile solo da quei destinatari in possesso di un determinato certificato (figura 3). Figura 3 Visualizza restrizione e protezione : Questa voce prevede la visualizzazione di tutte le impostazioniprecedentemente descritte come in figura 4. Figura 4 5

7 La prima password è anche detta user password (riferita al file) mentre la seconda è riferita al proprietario (owner) del file. Questo significa che per essere capaci di modificare un documento bisogna essere in possesso di entrambe le password. Esistono in rete programmi capaci di togliere la protezione al documento pdf anche non avendo a disposizione Adobe Acrobat Professional, però in questo caso bisogna essere a conoscenza delle password stessa. Ma quale è il livello di sicurezza di queste protezioni? E possibile affidarsi ad esse per salvaguardare le nostre informazioni da occhi indiscreti? La risposta chiaramente varia in funzione di cosa vogliamo proteggere e da chi. Diamo intanto per assunto che nessuno può pensare di proteggere dati classificati con questi sistemi, in quanto ciò comporterebbe una chiara violazione della normativa nazionale che regola la Tutela del Segreto di Stato. Se ciò che intendiamo ottenere è la tutela della nostra privacy, evitando che qualcuno accidentalmente apra in file e lo legga, allora la nostra password in lettura assolverà egregiamente tale compito. Se invece vogliamo concedere a pochi utenti la visione di un file liberamente accessibile a molte persone, la nostra unica e vera garanzia sarà la buona fede di esse. In altre parole chiunque, venuto in possesso del file, potrà in tutta tranquillità sottoporlo ad un attacco di brute force password cracking, cioè utilizzare un tool che provi tutte le password possibili, fino a trovare quella giusta. E solo una questione di tempo, dipendente dalla lunghezza della password e dalla tipologia di caratteri utilizzati (maiuscole, minuscole, numeri, simboli grafici, ecc.). Se il tempo dovesse essere un fattore critico, il malintenzionato potrà anche distribuire l attività di brute forcing su macchine differenti, ognuna impostata per testare un diverso range di possibili password, ottenendo così i benefici di una elaborazione parallela anche con normalissimi PC domestici. In figura 5 è mostrata la schermata di uno di questi tool, peraltro facilmente e gratuitamente reperibili in Internet. Figura 5 6

8 Da quanto detto appare ovvio che non possiamo contare sulle password di Acrobat per la reale protezione di dati sensibili: la protezione via password di file pdf deve essere intesa solo ed unicamente come garanzia aggiuntiva, per impedire l eventuale ed involontario accesso alle informazioni da parte di terzi privi della necessità di conoscerle. TRACCIAMENTO IN RETE Difficoltà: PRINCIPIANTE Che la sicurezza in rete fosse una chimera è stato dato per scontato da chiunque la usi per tutti gli scopi leciti ed illeciti. Chiunque, se non veramente esperto nel settore, può essere rintracciato e quindi perseguito se l uso che fa della rete non rientra nella legalità. Quando si naviga su internet, sì può essere sempre identificati: in altre parole sebbene sia spesso difficile sapere chi (persona fisica) esattamente sta utilizzando il computer in quel momento, tuttavia la macchina che viene utilizzata, quella da cui partono e cui arrivano le informazioni, è sempre chiaramente e costantemente identificata. La precisa identificazione del computer che sta operando è una necessità tecnologica assoluta e imprescindibile (non è una scelta o una condizione aggirabile). Ogni volta che stabiliamo un collegamento in rete, il server del fornitore di servizi internet (provider) assegna dunque un nome, detto IP (internet protocol) e tiene in memoria le indicazioni relative, tra cui : - orario di transito; - inidirizzo IP chiamante; - eventuale numero di telefono (nel caso di connessione con modem 56 k); - direzione della chiamata. I metodi di riconoscimento del mittente, nel nostro caso l indirizzo IP ed il suo proprietario, possono essere usati da qualsiasi utente che voglia risalire ad un indirizzo IP mittente, oppure venire a conoscenza di un indirizzo IP che ha spedito una . Per effettuare questo tipo di operazioni possiamo farlo in due modi : - direttamente on-line; - usando dei programmi appositi. 7

9 Esistono in rete un numero considerevole di siti che aiutano l utente a risalire al proprietario di un indirizzo IP, tra tutti questi uno dei più completi è (figura 1). Figura 1 Tra le potenzialità che questo sito offre, le più importanti sono : - whois lookup - Il comando whois è un comando che interroga i database dei NIC (Network Information Center), tramite la denominazione del dominio (es. difesa.it ). Il database interrogato risponderà, se il dominio risulta registrato, con alcune informazioni riguardanti : tipo di dominio (es. x400); organizzazione; denominazione e indirizzi IP dei server; data di creazione/scadenza del dominio; responsabili di dominio; - ipwhois lookup questo comando permette di ricavare le stesse informazioni del comando whois, partendo da un indirizzo IP (es ); - reverse dns lookup questo comando permette di effettuare la trasformazione da un indirizzo Ip ad una denominazione in chiaro (es = - abuse lookup il comando permette di venire a conoscenza, conoscendo il dominio, della denominazione esatta della casella abuse, da poter contattare in caso si vogliano denunciare degli illeciti; 8

10 - dns lookup il comando permette di visionare i server dns che risolvono il dominio digitato, con i corrispondenti tempi di realizzo; - tracert questo comando permette di venire a conoscenza dei server che la richiesta di un determinato sito attraversa prima di arrivare al server destinatario; - domain info questo comando permette di avere altre informazioni su domini con la stessa denominazione ma con un livello superiore differente, (es. difesa.it > difesa.com > difesa.net > etc). - city from ip questo comando permette di risalire dall IP alla nazione di appartenenza dello stesso ed alcune volte addirittura alla città. In tutte queste maschere digitando l indirizzo IP si potranno ricavare tutte quelle notizie utili al riconoscimento del mittente. Inoltre il sito offre la possibilità di controllare se un indirizzo esiste e se appartiene a un dominio free (es. hotmail.com). Risulterà utile sapere che in rete, esistono delle tecniche di camuffamento dell indirizzo IP per fare in modo da non poter essere letto e di conseguenza non poter risalire al mittente. Le due tecniche principali consistono nel : - trasformare l indirizzo IP dalla forma classica nella versione decimale es = ; - camuffare completamente l indirizzo IP es. All interno del sito in questione è possibile trovare le maschere che operano la conversione in forma leggibile. Come già accennato esiste anche la possibilità di 9

11 effettuare questo controllo usando dei particolari programmi per risalire all IP mittente. Tra i tanti proposti in rete VisualRoute risulta essere il più efficace e il più facile da usare (figura 2). II programma arrivato alla versione 9.3 permette, una volta digitato l indirizzo IP nella apposita barra, di vedere graficamente la località mittente, visualizzando i salti che questo ha effettuato per arrivare a destinazione. In commercio, inoltre, esistono dei programmi che dalla descrizione della (denominata header - figura 3), visualizzano graficamente l origine ed a quale indirizzo IP appartiene. Figura 2 Figura 3 Tutti questi accorgimenti per rintracciare il mittente di un attacco o di un eventuale spammer servono, in definitiva, a fare in modo che questo indirizzo IP/casella venga segnalato presso le rispettive abuse di dominio. In realtà, la prima regola per chi effettua attacchi di vario genere in Internet è quella di rimanere anonimo e non essere per niente rintracciabile; per fare questo bisogna interporre dei computer tra l indirizzo IP mittente e i luoghi (elettronici) che si sta cercando: di fatto, viene effettuato un collegamento a un altro computer (detto server proxy, per il servizio che svolge); il quale riceverà i segnali e li rimanderà a nome proprio (e quindi fungerà da schermo di copertura, fornendo la propria identità al posto di quella del vostro computer) all IP di destinazione o sito web. In sostanza il sito visitato riconoscerà l indirizzo IP del computer intermedio (proxy server), ma comunque, il provider, continuerà a tenere in memoria il passaggio della vostra macchina su quel server proxy. In pratica è possibile anche realizzare una catena di proxy (con rallentamento della velocità di navigazione) per cui il segnale passa da una serie di computer sia all'andata che al ritorno ed i passaggi vengono tutti regolarmente registrati. La pratica del proxy è perfettamente legale, ad esempio, in Internet Explorer, esiste una vera e propria configurazione aprendo: strumenti > opzioni internet > connessioni > imposta connessioni remote: impostazioni... > server proxy. 10

12 La pratica, porta ad usare dei programmi che prima di effettuare il collegamento vero e proprio, si accertano della disponibilità di server proxy anonimi facendo passare consecutivamente il traffico tramite quest ultimi. Inoltre esistono dei programmi che calcolano la percentuale di anonimato, a seconda dell affidabilità e del numero di proxy server che l utente viene ad usare. Mentre, per quanto riguarda il mittente delle caselle e- mail sono a disposizione altrettanti accorgimenti per camuffare il mittente e comunque per rendere difficoltoso il tracciamento. Esiste un servizio, quello dei "r er", che serve ad inviare posta senza mittente e senza alcuna traccia d IP Address o altro. Esistono tre categorie di r er. I R er Cypherpunk i quali spediscono il messaggio al destinatario eliminando preventivamente l'indirizzo contenuto. Non è quindi possibile rispondere, il messaggio può ovviamente anche essere crittografato: il r er lo decrittograferà e lo manderà all indirizzo del destinatario. I R er Mixmaster i quali permettono di rispondere ai messaggi: per ricevere una risposta è necessario creare blocchi di risposta ovviamente crittografati, cioè un insieme di istruzioni per raggiungere l'indirizzo reale. Sarà quindi necessario avere un programma per scrivere il messaggio. I R er Pseudonimi questi si limitano ad eliminare l'indirizzo del mittente attribuendo uno pseudonimo. Il destinatario può rispondere tramite quel r er. Per una lista completa con tutte le informazioni come: velocità,caratteristiche e affidabilità basta cercare le parole "anonymous r er" con un qualsiasi motore di ricerca sul Web. Alcuni R er Nome Balls Cyber Dustbin Exon Extropia Haystack Hidden Jam Lucifer Middle Mix r er@huge.cajones.com alias@alias.cyberpass.net dustman@athensnet.com r er@r er.nl.com r er@miron.vip.best.com haystack@holy.cow.net r er@hidden.net r er@cypherpunks.ca lucifer@dhp.com middleman@jpunix.com mixmaster@r .obscura.com 11

13 Nym Reno Replay In conclusione l anonimato assoluto non esiste in quanto tutti i passaggi vengono registrati, ma le differenze di legislazione fra paesi differenti rende difficoltoso se non impossibile perseguire eventuali colpevoli di atti illegali in Internet. LE VENTI VULNERABILITA PIU CRITICHE PER SICUREZZA IN INTERNET (20^ PARTE) Difficoltà: INTERMEDIA U10 Open Secure Sockets Layer (SSL) U10.1 Descrizione La libreria open-source OpenSSL è un popolare pacchetto che aggiunge sicurezza crittografica ad applicazioni che comunicano attraverso la rete. Per quanto quello con Apache è probabilmente l'uso più conosciuto di questo pacchetto (per supportare le connessioni https: sulla porta 443), molti altri programmi sono stati modificati per poter utilizzare OpenSSL per migliorare la sicurezza. L'uso più frequente di OpenSSL è come toolkit dove altre applicazioni utilizzano OpenSSL per fornire sicurezza a una connessione tramite la crittografia. Il risultato è che più che prendere di mira direttamente OpenSSL, gli exploit puntano alle vulnerabilità delle applicazioni che lo usano. Un popolare exploit attacca i server Apache usando OpenSSL. Ma il fatto che non stiate eseguendo Apache con il supporto OpenSSL non significa che siete al sicuro. Con una opportuna modifica l'exploit può essere in grado di attaccare Sendmail, openldap, CUPS o qualsiasi altro programma che usi OpenSSL installato sulla macchina presa di mira. 12

14 In OpenSSL sono state scoperte diverse vulnerabilità, le più gravi delle quali sono descritte in CAN , CAN , CAN e CAN Queste permettono l'esecuzione da remoto di codice arbitrario come utente delle librerie OpenSSL (che in qualche caso, come per sendmail, è l'utente 'root'). U10.2 Sistemi operativi interessati Qualsiasi sistema UNIX o Linux che esegue OpenSSL o precedente. Da notare che abbastanza spesso OpenSSL viene installato come supporto ad altri componenti. Per esempio, su Linux RedHat 9.0 i pacchetti di sistema come Apache, CUPS, Curl, OpenLDAP, Stunnel e Sendmail (assieme ad altri) usano tutti le librerie OpenSSL per rendere sicure le connessioni. U10.3 Riferimenti CVE/CAN CVE , CVE CAN , CAN , CAN , CAN , CAN , CAN , CAN , CAN U10.4 Come stabilire se siete vulnerabili Verificate il risultato del comando 'openssl version'. Se la versione non è 0.9.7a o successiva, allora siete vulnerabili. U10.5 Come proteggersi 1. Passate alla versione più recente di OpenSSL. Se OpenSSL è preinstallato con il vostro sistema operativo, recuperate la patch più recente dal produttore del sistema operativo. Tenete presente che in alcuni casi, per abilitare le librerie aggiornate può essere necessario ricompilare e/o ricollegare le applicazioni. 2. Se nel vostro ambiente è possibile, considerate l'utilizzo di ipfilter o di altri strumenti di firewalling per restringere i sistemi che possono collegarsi al server OpenSSL. Tenete presente che uno degli utilizzi più diffusi di OpenSSL è quello di rendere sicuro il traffico HTTP attraverso la pubblica Internet per operazioni di e-commerce, nelle quali la limitazioni degli host è probabilmente non proponibile. 13