positive hack days. Гурзов. Легенды и мифы безопасности voip
DESCRIPTION
Интегрированные услуги операторов связи и технологии Unified Communications обещают быструю окупаемость и серьезные удобства. Однако практика показывает, что сервисы VOIP и IPPBX могут доставить массу проблем, прежде всего связных с информационной безопасностью и фродом. С какими проблемами информационная безопасность компании можно столкнуться при использовании Unified Communications? Взломать VOIP/PBX/MGW за 60 секунд: возможно ли? Планируется обсуждение эффективных методов обеспечения безопасности Unified Communications.TRANSCRIPT
![Page 1: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/1.jpg)
Легенды и мифы безопасности
VoIP
Гурзов Константин
Руководитель отдела поддержки продаж
![Page 2: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/2.jpg)
VoIP - лакомый кусочек!
VoIP
Доступ в сеть предприятия
Управление вызовами (фрод)
Искажение и подмена информации
Прослушивание вызовов
Хищение персональных данных
И многое другое…
![Page 3: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/3.jpg)
Компоненты VoIP-инфраструктуры
ТРАНСПОРТ
СЕРВЕРЫ ПРИЛОЖЕНИЙ
УПРАВЛЕНИЕ
ОКОНЕЧНЫЕ УСТРОЙСТВА ПОГРАНИЧНЫЕ
УСТРОЙСТВА
PSTN
IP-СЕТИ
INTERNET
ЛВС ФИЛИАЛЫ
Компьютер нарушителя
Гостевая Wi-Fi сеть
Сегмент VoIP – это объединенный ЛВС ряд специализированных платформ и сетевых
устройств,объединение различных сетей и технологий
![Page 4: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/4.jpg)
Все угрозы ЛВС актуальны и в VoIP
Пароли по умолчанию
Веб-интерфейсы управления
Уязвимости программного обеспечения
Прослушивание трафика
Блокирование учетных записей
![Page 5: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/5.jpg)
Пароли по умолчанию
Известные угрозы– прежние способы борьбы
Примеры рассчитанных метрик на основе "живых" данных при проведении внутренних аудитов ИБ специалистами компании Positive Technologies, 2009 г.
Около 50% всех сетевых устройств имеют либо стандартные, либо легко подбираемые пароли
![Page 6: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/6.jpg)
Оконечные устройства•Стандартный PIN-код для CISCO IP PHONE - «**#*»
SIP шлюзы•Стандартный пароль для Asterisk - «admin» влечет:
Отказ в обслуживании Прослушивание Нарушение целостности Toll Fraud
Примеры
Перенастройка
Зеркалирование
Прослушивание
![Page 7: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/7.jpg)
Веб-интерфейсы управления•SQL Injection•Сross Site Scripting•DoS•И т.д.
Известные угрозы – прежние способы борьбы
Получение доступа к веб-интерфейсам управления ваших устройств гарантирует успешность атак на эти
устройства
![Page 8: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/8.jpg)
CISCO Call Manager• CVE-2010-3039 повышение привилегий• CVE-2007-4633 XSS• CVE-2007-4634 SQL Injection• CVE-2008-0026 SQL Injection
Asterisk GUI• CVE-2008-1390 CVSS Base Score 9,3
Примеры
Вероятность обнаружения уязвимостей различной степени риска на основе анализа 5560 сайтов специалистами компании Positive Technologies, 2009 г.
![Page 9: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/9.jpg)
Известные угрозы – прежние способы борьбы
Уязвимости программного обеспечения
Выполнение произвольного кода из сети в CISCO Call Manager 6
Уязвимость позволяет атакующему выполнить
произвольный код
![Page 10: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/10.jpg)
Известные угрозы – прежние способы борьбы
Уязвимости программного обеспечения
Отказ в обслуживании в CISCO Call Manager 6
Уязвимость позволяет атакующему вызвать отказ в обслуживании
![Page 11: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/11.jpg)
Недоступность и ограничение сервисов•Веб-интерфейсы с наличием уязвимостей•Слабая парольная политика
Известные угрозы – прежние способы борьбы
Любое VoIP-устройство является элементом сети Ethernet, поэтому к нему применимо большинство
типов сетевых атак
![Page 12: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/12.jpg)
Прослушивание трафика•Слабозащищенные Wireless-сети•Реализация атаки «Man in the middle»•Десятки специализированных приложений для
прослушивания VoIP-телефонии. Например, Cain&Abel (www.oxid.it), UCSniff (http://ucsniff.sourceforge.net)
Известные угрозы – прежние способы борьбы
Прослушивание трафика ведет к нарушению конфиденциальности информации и хищению
персональных данных
![Page 13: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/13.jpg)
Примеры реальных атак
Перепродажа трафика
Прослушивание переговоров
Захват корпоративной сети
![Page 14: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/14.jpg)
Перепродажа трафика (фрод)
PSTN
VOIP ПРОВАЙДЕРКОМПАНИЯ «А»
IP PBX 2
IP PBX 1Компания «Клиент»
SIP trunk
H.323, SIP
Гостевая Wi-Fi сеть
Компьютер нарушителяIP PBX 1 – IP PBX клиента компании «А»
IP PBX 2 – IP PBX злоумышленника
1. Отсутствие списков доступа на устройствах2. Слабая парольная политика в рамках устройств и ПО3. Низкий уровень защищенности в целом именно VoIP-
инфраструктуры4. Биллинг 1 раз в месяц
![Page 15: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/15.jpg)
Перепродажа трафика (фрод) – действия нарушителя
PSTN
VOIP ПРОВАЙДЕРКОМПАНИЯ «А»
IP PBX 2
IP PBX 1Компания «Клиент»
SIP trunk
H.323, SIP
Гостевая Wi-Fi сеть
Компьютер нарушителя
1. Сканирует сеть и находит IP PBX 1.
2. Обеспечивает PSTN присоединение IP PBX 2 через IP PBX 1.
3. Пробрасывает дорогостоящие МГ/МН вызовы через «А» в PSTN.
1
2
3Оператор «А» неспособен четко разделить зоны ответственности между собой и своим клиентом,
поэтому он платит всегда
![Page 16: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/16.jpg)
Перепродажа трафика (фрод) – можно избежать если бы
оператор:
настроил списки доступа на внешних интерфейсах клиентских IP PBX-ов;
убедился, что звонки, пришедшие через SIP-транк не маршрутизируются обратно;
блокировал МГ/МН вызовы, если они не используются;
распространил парольную политику и на VoIP-сервисы;
предложил своему клиенту услугу анализа защищенности его оборудования.
![Page 17: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/17.jpg)
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
Прослушивание переговоров
1. Использование Wireless-сетей2. Слабые алгоритмы шифрования3. Отсутствие списков доступа4. Слабая парольная политика
![Page 18: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/18.jpg)
Захват корпоративной сети
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
КЛВС
SQL injectionCVE-2008-0026
5. Отсутствие управления изменениями
![Page 19: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/19.jpg)
Захват корпоративной сети – действия нарушителя
PSTN
IP PBX
Компания «А»
ТОПТОП
Вне офиса Компании «А»
Компьютер нарушителя
WEP
КЛВС
SQL injectionCVE-2008-0026
2
3
1. Получает доступ к корпоративной сети через Wi-Fi
2. Находит в сети по типовому отклику CISCO Call Managera) использует SQLi, реализующую CVE-2008-0026
b) получает ХЭШи паролей пользователей, эквивалентно запросу
c) восстанавливает пароли из ХЭШей
3. Один из восстановленных паролейявляется паролем Admin для всех CISCO КЛВС
runsql select user,password from applicationuser
https://www.example.org/ccmuser/personaladdressbookEdit.do?key='+UNION+ALL+SELECT+'','','',user,'',password+from+applicationuser;--
1
Через VoIP-сервисы возможно захватить всю КЛВС
![Page 20: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/20.jpg)
Выводы
1. Инфраструктура VoIP подвержена тем же самым угрозам ИБ, что и обычная корпоративная ЛВС
2. Уязвимости VoIP-сервисов уязвимости КЛВС
3. Способы создания защищенной инфраструктуры в VoIP такие же как и в обычной корпоративной ЛВС
![Page 21: Positive Hack Days. Гурзов. Легенды и мифы безопасности VOIP](https://reader033.vdocuments.site/reader033/viewer/2022061214/549e7428ac79593d768b4728/html5/thumbnails/21.jpg)
Советы по создание безопасной инфраструктуры
Совет 1: организуйте у себя в VoIP-инф-ре контроль изменений и контроль обновлений.
Совет 2: распространите парольную политику на VoIP-сервисы, используйте стойкие крипто алгоритмы.
Совет 3: используйте систему контроля защищенности и соответствия стандартам для недопущения инцидентов.
Совет 4: предложите клиентам услуги по мониторингу уровня ИБ их оборудования в качестве VAS.
Совет 5: смотрите шире на ИБ своей инфраструктуры, ведь ваша IT-инфраструктура не ограничивается рабочими местами и электронной почтой.