Seguridad VoIP: ataques y contramedidas en sistemas de código abierto

Abstract

Debido a los numerosos beneficios que aporta frente a la telefonía tradicional, las empresas, cada vez más, optan por migrar o implementar sus propios sistemas de voz sobre IP o comunicaciones unificadas. Esta popularidad, sumada a la relativa facilidad con la que los piratas informáticos puede generar beneficios económicos de manera casi inmediata con el ataque a estos sistemas, hace que se haya convertido en un objetivo apreciado que genera pérdidas millonarias a las empresas. La falta de perfiles especializados, tanto en VoIP con conocimientos en seguridad, como, por el contrario, expertos en seguridad con conocimiento en VoIP, genera, en muchas ocasiones, entornos con configuraciones y diseños inseguros aumentando así la probabilidad de ser atacados con éxito. Por todo ello, se ha querido realizar un estudio del estado del arte en el marco de la seguridad de entornos VoIP, más concretamente de entornos que hacen uso de software de código abierto. Para esto, se ha querido trazar una breve historia de la seguridad en las telecomunicaciones hasta llegar a la actualidad, seguida de una propuesta de taxonomía para las amenazas a las que están expuestos estos sistemas, para finalmente realizar una recopilación y análisis ejemplificado de los ataques actuales más comunes. Con este análisis, se ha encontrado que uno de los vectores de ataque estudiados en la plataforma Asterisk, no disponía de una utilidad específica que pudiese servir de soporte para el trabajo de un auditor o pentester, por lo que se ha desarrollado una herramienta con funciones de explotación y post-explotación. Para concluir, se ha propuesto un conjunto de buenas prácticas que deberían ser contempladas en cualquier sistema de voz sobre IP, apoyadas por el diseño de una arquitectura que pueda servir como base para una implementación segura.

A causa dels nombrosos beneficis que aporta enfront de la telefonia tradicional, les empreses, cada vegada més, opten per migrar o implementar els seus propis sistemes de veu sobre IP o comunicacions unificades. Aquesta popularitat, sumada a la relativa facilitat amb la qual els pirates informàtics pot generar beneficis econòmics de manera gairebé immediata amb l'atac a aquests sistemes, fa que s'hagi convertit en un objectiu benvolgut que genera pèrdues milionàries a les empreses. La falta de perfils especialitzats, tant en VoIP amb coneixements en seguretat, com, per contra, experts en seguretat amb coneixement en VoIP, genera, en moltes ocasions, entorns amb configuracions i dissenys insegurs augmentant així la probabilitat de ser atacats amb èxit. Per tot això, s'ha volgut realitzar un estudi de l'estat de l'art en el marc de la seguretat d'entorns VoIP, més concretament d'entorns que fan ús de programari de codi obert. Per a això, s'ha volgut traçar una breu història de la seguretat en les telecomunicacions fins a arribar a l'actualitat, seguida d'una proposta de taxonomia per a les amenaces a les quals estan exposats aquests sistemes, per a finalment realitzar una recopilació i anàlisi exemplificada dels atacs actuals més comuns. Amb aquesta anàlisi, s'ha trobat que un dels vectors d'atac estudiats en la plataforma Asterisk, no disposava d'una utilitat específica que pogués servir de suport per al treball d'un auditor o pentester, per la qual cosa s'ha desenvolupat una eina amb funcions d'explotació i post-explotació. Per a concloure, s'ha proposat un conjunt de bones pràctiques que haurien de ser contemplades en qualsevol sistema de veu sobre IP, donades suport pel disseny d'una arquitectura que pugui servir com a base per a una implementació segura.

As a result of the many benefits over traditional telephony, companies are increasingly opting to migrate or implement their own voice over IP or unified communications systems. This popularity, combined with the relative ease with which crackers can generate almost immediate economic benefits from attacking these systems, has become a popular target that generates million-dollar losses for businesses. The lack of specialized profiles, both in VoIP with knowledge in security, and, on the contrary, security experts with knowledge in VoIP, generates, on many occasions, environments with insecure configurations and designs thus increasing the probability of being attacked successfully. For all these reasons, we wanted to conduct a study of the state of the art in the context of the security of VoIP environments, more specifically environments that make use of open source software. In order to do this, we wanted to trace a brief history of security in telecommunications to the present day, followed by a taxonomy proposal for the threats to which these systems are exposed, to finally make a compilation and exemplified analysis of the most common current attacks. With this analysis, it has been found that one of the attack vectors studied in the Asterisk platform, did not have a specific utility that could serve as support for the work of an auditor or pentester, so a tool has been developed with functions of exploitation and post-exploitation. To conclude, we have proposed a set of good practices that should be considered in any system of voice over IP supported by the design of an architecture that can serve as a basis for a secure implementation.