2. Alessio L.R. Pennasilico
Security Evangelist @
Board of Directors:
Associazione Informatici Professionisti, CLUSIT
Associazione Italiana Professionisti Sicurezza Informatica
Italian Linux Society, Sikurezza.org, Hacker’s Profiling Project
!
L’approccio hacker alla vs. tecnologia mayhem@alba.st 2
3. Agenda
Virtualizzazione
VoIP
Mobile
L’approccio hacker alla vs. tecnologia mayhem@alba.st 3
4. Budget?
81% delle intrusioni avvengono su reti che non
sodisfano i requirement delle più diffuse
norme/best practice / guidelines
Gartner
L’approccio hacker alla vs. tecnologia mayhem@alba.st 4
5. IT Security...
Un inutile impedimento
che rallenta le comuni
operazioni
e danneggia il business?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 5
6. IT Security...
O prevenzione e risposta ad eventi che
danneggerebbero il business in modo peggiore?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 6
8. Classical threats
Escape from VM
diversi esempi nel tempo,
ne vedremo altri in futuro :)
L’approccio hacker alla vs. tecnologia mayhem@alba.st 8
9. Confidenzialità
posso clonare macchine accese
e fare quello che voglio sui cloni?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 9
10. Dormant VM
outdated policy
outdated signatures (AV, IPS)
manipolabili? >;-)
L’approccio hacker alla vs. tecnologia mayhem@alba.st 10
11. Management VLAN
Gli host/hypervisor si dicono
diverse cose interessanti
Dove facciamo passare il
traffico “di servizio”?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 11
12. Traffico di servizio
accesso all’interfaccia amministrativa
test reachability per HA
vMotion
iSCSI, NFS
L’approccio hacker alla vs. tecnologia mayhem@alba.st 12
13. Soluzioni?
Dividere
Filtrare
Analizzare
L’approccio hacker alla vs. tecnologia mayhem@alba.st 13
14. disruption
Cosa succede se rendo “irraggiungibili” gli
IP monitorati per la gestione dell’HA?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 14
15. Perchè
intercettare / rallentare il traffico iSCSI / NFS
storage in replica per HA/DR
L’approccio hacker alla vs. tecnologia mayhem@alba.st 15
16. Migration
Manipolare le VM durante la migrazione?
http://www.eecs.umich.edu/techreports/cse/2007/CSE-TR-539-07.pdf
Jon Oberheide, Evan Cooke, Farnam Jahanian: Xensploit
L’approccio hacker alla vs. tecnologia mayhem@alba.st 16
17. Dubbi...
traffico “trusted” tra datacenter per garantire
la migration delle VM?
Traffico protetto?
Traffico Trusted / VPN come canale di
accesso amministrativo?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 17
18. Conclusioni
Usare la virtualizzazione?
Si, ma…
Progettare, Documntare
Dividere, Filtrare, Analizzare, Patchare
L’approccio hacker alla vs. tecnologia mayhem@alba.st 18
21. Accendo il telefono
I telefoni IP, per funzionare, possono eseguire diverse azioni
preliminari, vulnerabili a diversi attacchi:
✓ottengono l'indirizzo IP da un server DHCP
✓ottengono dal DHCP l'indirizzo di un TFTP server
➡ io sono il server DHCP, ti indirizzo al mio TFTP
✓scaricano il firmware dal TFTP server
➡ io sono il TFTP e ti do il mio firmware/configurazione
✓scaricano la configurazione dal TFTP server
➡ io leggo la configurazione dal server TFTP
✓si autenticano sul server VoIP
➡ sniffo, o mi fingo il PBX e forzo auth plain text
L’approccio hacker alla vs. tecnologia mayhem@alba.st 21
22. Man in the middle
Tutti i protocolli/servizi utilizzati sono
particolarmente vulnerabili ad una serie di
attacchi MITM, essendo tutti protocolli che
si basano su broadcast e su UDP non
autenticato.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 22
23. Attacco al DHCP
Posso impersonare il server DHCP, ma devo
fornire parametri di rete compatibili con la
topologia per poter interagire con il device.
Tra i parametri che invio vi è l’option 150,
che specifica l’IP del server TFTP dal
quale scaricare firmware e configurazione.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 23
24. Il server TFTP
Poter reindirizzare i telefoni su un server
TFTP gestito dall’attaccante permette di
danneggiare irreparabilmente il telefono,
installare una backdoor o configurarlo a
suo piacimento.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 24
25. TFTP spoofing
Nel caso non si riesca ad impersonare il
server DHCP è sempre possibile tentare di
impersonare il server TFTP, con tutte le
conseguenze elencate precedentemente.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 25
26. Attacco al server TFTP
La configurazione dei telefoni viene spesso
conservata sul server in formato XML.
Conoscendo i nomi dei file è possibile, in
alcuni casi, spacciarsi per il telefono e
richiedere la propria configurazione, che
comprende username e password.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 26
27. Autenticazione del telefono
Molto spesso l’autenticazione verso il server
VoIP avviene in chiaro.
Basterà quindi utilizzare uno dei diversi
strumenti in grado di identificare le
credenziali all’interno di un flusso di
traffico, dopo esserci messi in grado di
“sniffare” le connessioni.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 27
28. Impersonare il VoIP PBX
E’ possibile tentare di impersonare il server
VoIP, per ricevere eventuali tentativi di
autenticazione dei telefoni, forzando
l’autenticazione in chiaro, al fine di avere le
credenziali di accesso di tutti i telefoni
dell’infrastruttura.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 28
29. Il telefono in funzione
Nel caso in cui nessuno degli attacchi sopra
citati possa essere portato a termine, è
sempre possibile lavorare sulle operazioni
di gestione delle chiamate.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 29
30. Chiamiamoci!
Completato lo startup il telefono conversa
con il server in merito al proprio stato ed
allo stato delle chiamate (signaling).
Quando si effettua una chiamata tra due
telefoni, conclusa la fase iniziale di
signaling, si instaura un flusso RTP tra gli
end-point o tra ogni SIP-UA ed il proprio
server VoIP.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 30
31. Traffico in chiaro
Il traffico di signaling e di RTP è spesso in
chiaro. Questo consente di catturare ed
analizzare tutti i dati che transitano
all’interno di quei flussi dati.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 31
32. RTP
Il flusso RTP può essere tra ogni telefono ed
il proprio server VoIP o direttamente tra i
due telefoni una volta che il call-setup è
stato completato.
Questo è da tenere presente quando si
disegna la rete, per garantire performance
adeguate.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 32
34. Ettercap #1
http://ettercap.sourceforge.net/
La suite per gli attacchi Man in the Middle. Multipiattaforma,
da usare in console o in un windows manager, Ettercap
permette di lanciare tutti quegli attacchi a Layer 2 che
permettono di capire quanto la nostra rete switchata sia
vulnerabile se non adeguatamente protetta.
Keywords: arp spoofing, arp poisoning, hijacking, sniffing,
decoding, dns spoofing, dos, flood.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 34
36. Wireshark #1
http://www.wireshark.org/
Sniffer multipiattaforma, corredato di molti decoder,
che lo mettono in grado di interpretare il traffico
intercettato.
Wireshark può interpretare tanto i flussi di signaling,
quanto quelli RTP, ed estrarne tutte le informazioni
necessarie per una successiva analisi.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 36
38. Vomit
http://vomit.xtdnet.nl/
Voice Over Misconfigured Internet Telephones, a partire dal
file di dump creato da uno sniffer, in formato tcpdump,
vomit crea un file audio contenente la conversazione VoIP
transitata sulla rete monitorata. Supporta il protocollo
MGCP con codec G.711 e funziona solo con Linux.
./vomit -r elisa.dump | waveplay -S 8000 -B 16 -C 1
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 38
39. Oreka
http://oreka.sourceforge.net/
Distribuito per Windows e Linux, supporta i protocolli
di Cisco CallMananager, Lucent APX8000, Avaya,
S8500, Siemens HiPath, VocalData, Sylantro, Asterisk
SIP channel.
Intercetta e registra le conversazioni basate su flussi
RTP. Semplice, intuitivo, via web e con supporto per
MySQL.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 39
40. SipSak #1
http://sipsak.org/
Si tratta del coltellino svizzero del
VoIPAdmin. Permette di interagire con
qualsiasi device SIP inviando traffico
creato ad hoc per interagire con il server e
verificare il suo comportamento in
situazioni create da noi.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 40
42. Ohrwurm
http://mazzoo.de/blog/2006/08/25#ohrwurm
Il “verme delle orecchie” è un RTP fuzzer. Il suo scopo è
testare l'implementazione del protocollo SIP del device
verificato, inviando una enorme quantità di richieste con
diverse combinazioni di parametri, più o meno sensati,
allo scopo di individuare eventuali comportamenti
anomali.
Le anomalie riscontrate spesso si rivelano essere bug di
implementazione.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 42
43. Smap
http://www.wormulon.net/index.php?/archives/1125-smap-released.html
Unendo nmap e SipSak otteniamo uno strumento in
grado di rilevare i device SIP, dedurre di che marca e
modello di device si tratta dal fingerprint e creare una
mappa della rete analizzata. E' inoltre possibile interagire
direttamente con il device, fingendosi un apparato SIP,
per ottenere maggiori informazioni.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 43
44. SiVus
http://www.vopsecurity.org/html/tools.html
Si tratta di un SIP security scanner: verifica le
caratteristiche del target dello scan rispetto ad
un database di vulnerabilità conosciute.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 44
45. SIPVicious
http://sipvicious.org/blog/
Suite che comprende uno scanner, un
enumeratore ed un password cracker.
Multipiattaforma, anche per MacOSX.
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 45
46. Cain & Abel
http://www.oxid.it/
VoIP: è davvero sicuro a.mauro@aipsi.org - mayhem@aipsi.org 46
48. Conclusioni
Il VoIP può essere più sicuro della telefonia
tradizionale. Questo tuttavia si ottiene
attraverso una corretta progettazione,
implementazione e verifica, seguendo
alcune best practice, sia dal punto di vista
tecnico che dal punto di vista della
formazione.
L’approccio hacker alla vs. tecnologia mayhem@alba.st 48
50. SmartPhone
Più potente del mio
vecchio PC
Più banda di seabone
20 anni fa
L’approccio hacker alla vs. tecnologia mayhem@alba.st 50
51. Utenti mobili: i vantaggi
Connesso Ovunque (Lavoro Ovunque)
Ho tutto sempre con me
Minori costi operativi
L’abito talvolta FA il monaco
Soddisfazione
Relax
Produttività
....
L’approccio hacker alla vs. tecnologia mayhem@alba.st 51
52. Utenti mobili e perimetro
Dove sono?
A Cosa accedono?
Loro o mio il device?
Come li riconosco?
Che dati conservano?
....
L’approccio hacker alla vs. tecnologia mayhem@alba.st 52
53. 3G + WiFi
Posso diventare un punto di accesso
(o di uscita)
rispetto alla rete aziendale?
(routing / testa di ponte)
L’approccio hacker alla vs. tecnologia mayhem@alba.st 53
58. Fartdroid
Quale security
con 50.000 utenti che installano fartdroid?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 58
59. iPhone Worm: Rickrolls
Jailbreak di iPhone:
qualcuno cambia
la password di root?
(Novembre 2009)
L’approccio hacker alla vs. tecnologia mayhem@alba.st 59
60. Esperimento
Chi c’è nel vostro albergo?
L’approccio hacker alla vs. tecnologia mayhem@alba.st 60
62. Conclusioni
L’aumento di produttività che deriva
dall’utilizzo di tecnologie che permettono di
lavorare “mobile” è evidente
L’aumento dei rischi per l’infrastruttura
altrettanto
L’approccio hacker alla vs. tecnologia mayhem@alba.st 62
63. Conclusioni
Mobile oggi è una esigenza imprescindibile
Il dover gestire la sua sicurezza è altrettanto
imprescindibile
L’approccio hacker alla vs. tecnologia mayhem@alba.st 63
65. Conclusioni
Rifiutare una tecnologia
è pericoloso e controproducente
Conoscerla e gestirla
crea valore
L’approccio hacker alla vs. tecnologia mayhem@alba.st 65
66. These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution-
ShareAlike 2.5 version; you can copy, modify or sell them. “Please” cite your source and use the same licence :)
Domande?
Grazie per l’attenzione!
Alessio L.R. Pennasilico
mayhem@alba.st
twitter: mayhemspp
FaceBook: alessio.pennasilico