VOIP FORENSIC I BUCHI DELLA TELEFONIA ATTRAVERSO INTERNET ALESSIO L.R. PENNASILICO - DI.UNIVR.IT
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
VoIP Forensic
I buchi della telefonia attraverso Internet
Alessio L.R. Pennasilico
mayhem@alba.st
Alessio L.R. Pennasilico
Security Evangelist @
Member / Board of Directors:
AIP, AIPSI, CLUSIT, ILS, IT-ISAC, LUGVR, OPSI,
No1984.org, Metro Olografix, OpenBeer, Sikurezza.org,
Spippolatori, Thawte
CrISTAL, Hacker’s Profiling Project, Recursiva.org
Alessio L.R. Pennasilico 2
VoIP explosion
VoIP: a cost effective, flexible and functional
technology.
“IDC Anticipates 34 Million More Residential VoIP
Subscribers in 2010”
Alessio L.R. Pennasilico 3Cosa può interessare al
magistrato
http://www.alba.st/Contenuto
Sapere cosa l’indagato discute al telefono con altre
persone è spesso rilevante ai fini delle indagini
Alessio L.R. Pennasilico 5Tabulato
Conoscere quali telefonate, quante e di quale
durata vengono effettuate può comunque costituire
una informazione preziosa
Alessio L.R. Pennasilico 6Identità del chiamato
Risulta spesso indispensabile stabilire l’identità delle
persone chiamate dalla persona “intercettata”
Alessio L.R. Pennasilico 7Identità del chiamante
Intercettare presuppone un “indagato”
Diventa indispensabile capire che chi controllo sia
davvero chi voglio controllare
E’ indispensabile intercettare le diverse
comunicazioni dello stesso soggetto
Alessio L.R. Pennasilico 8Posizione
Anche la località da cui le telefonate vengono
effettuate è spesso rilevante ai fine dell’indagine
Alessio L.R. Pennasilico 9Legacy
Nel caso della telefonia tradizionale risulta banale
intercettare il traffico e capire da dove viene
effettuata la chiamata
Potrebbe non essere semplice capire chi usa la linea
in quel momento
Alessio L.R. Pennasilico 10Mobile
Le procedure per intercettare la conversazione e la
posizione sono assodate da anni
Molto più spesso un apparecchio corrisponde ad
una persona
Alessio L.R. Pennasilico 11VoIP
E’ la nuova frontiera e le sue security feature, unite
all’utilizzo in rete, possono rendere estremamente
complessa l’intercettazione
Alessio L.R. Pennasilico 12Come funziona il VoIP http://www.alba.st/
Signaling
E’ il traffico di servizio tra il client/telefono ed il
server/centralino
E’ gestito da ogni centralino con il relativo client
Alessio L.R. Pennasilico 14RTP
E’ un secondo flusso di traffico che contiene il
traffico voce vero e proprio
Può essere gestito tra server e client o
direttamente tra i due interlocutori
Alessio L.R. Pennasilico 15Encryption
Il traffico VoIP è spesso in clear text di default
E’ di interesse dell’utilizzatore criptare la
comunicazione al fine di garantire la privacy
Alessio L.R. Pennasilico 16VPN
Non è necessario pensare ad un tunnel cifrato
Introduce spesso troppa latenza e troppo overhead
Alessio L.R. Pennasilico 17SRTP
Criptare a livello di protocollo
risulta più leggero e flessibile
Criptare il contenuto delle telefonate
è spesso un’esigenza molto sentita
Alessio L.R. Pennasilico 18Signaling/TLS
Proteggere anche il proprio tabulato
risulta spesso un requisito degli utilizzatori,
oltre ad essere necessario
dal punto di vista della tutela della privacy
Alessio L.R. Pennasilico 19Crittografia simmetrica
Una password è facilmente ricavabile
scambiarsi in modo sicuro una password è spesso
molto complesso o scomodo
Alessio L.R. Pennasilico 20Crittografia asimmetrica
Per questa ragione viene utilizzato un meccanismo
basato su due chiavi
Alessio L.R. Pennasilico 21Chiave Privata
Dalla sua riservatezza dipende la mia privacy
Massima è la cura che dovrò adottare al fine di
proteggerne la riservatezza
Alessio L.R. Pennasilico 22Chiave pubblica
La diffondo il più possibile affinché chiunque possa
ottenerne facilmente una copia
Esistono dei repository appositi, che nel caso di
strutture organizzate può essere un server che
svolge il ruolo di certification authority
Alessio L.R. Pennasilico 23Alice and Bob - sign
Chiave pubblica di Alice
sign
Chiave privata di Alice
Alessio L.R. Pennasilico 24Alice and Bob - crypt
Chiave pubblica di Alice
crypt
Chiave privata di Alice
Alessio L.R. Pennasilico 25Gestione delle chiavi
Molto cambia a seconda della procedura di
generazione delle chiavi
Alessio L.R. Pennasilico 26User centric
L’utente genera autonomamente la propria coppia
di chiavi e risulta essere l’unico possessore della
chiave privata
Alessio L.R. Pennasilico 27SP centric
La procedura prevede che una copia della chiave
pubblica resti in possesso di chi gestisce il servizio
Alessio L.R. Pennasilico 28Privacy
Nel caso di gestione SP centric dovranno essere
gestite una serie di procedure che garantiscano
l’accesso alla chiave solo da parte di personale
autorizzato e solo in caso di necessità
Alessio L.R. Pennasilico 29Garanzie
Identità del chiamante
Riservatezza della chiamata
Alessio L.R. Pennasilico 30Chiavi per SRTP
Lo scambio chiavi per stabilire
una conversazione criptata
avviene all’interno del flusso dati di Signaling
Alessio L.R. Pennasilico 31Signaling/TLS
Se il flusso di signaling non è protetto via TLS sarà
possibile sfruttare diverse tecniche di attacco Man
in the Middle per scardinare la riservatezza di SRTP
Alessio L.R. Pennasilico 32Proxy
E’ possibile utilizzare diversi meccanismi per fare
transitare la telefonata da un altro host, utilizzato
come proxy
Questo può far sembrare la telefonata originata dal
proxy e non dal client
Alessio L.R. Pennasilico 33Anonimato
Punti di accesso ad Internet non monitorati sono
facilmente disponibili (es. wifi)
La possibilità di effettuare telefonate con credenziali
false è davvero alla portata di chiunque
Alessio L.R. Pennasilico 34Cosa dice la legge? http://www.alba.st/
CALEA
Molte legislazioni prevedono che un fornitore di
servizi voce sia obbligato a trovarsi nella condizione
di poter intercettare delle chiamate su mandato di
un magistrato
Alessio L.R. Pennasilico 36Greek wiretapping scandal
“Unknowns tapped the mobile phones of about 100
Greek politicians and offices, including the U.S.
embassy in Athens and the Greek prime minister.”
Bruce Schneier, his blog, 22nd June 2006
Alessio L.R. Pennasilico 37Wiretapping
Introdurre la possibilità di scavalcare l’infrastruttura
crittografica significa introdurre by design un
“possibile malfunzionamento” nell’infrastruttura
tecnologica che gestisce il VoIP
Alessio L.R. Pennasilico 38Requisiti
All communication of a target and service must be intercepted
Integrity and confidentiality of Information must be ensured
Only authorized personnel must be able to use the LI equipment
All information must only be accessible to authorized personnel
Every use of LI equipment must be logged
Intercepted subject must never be able to detect the interception
Active interception measures must never influence the
telecommunication service
Provider only required to provide accessible data
Network-intrinsic encryption must be removed
Alessio L.R. Pennasilico 39ISP
Non è necessario rivolgersi all’operatore VoIP
E’ possibile intercettare il traffico presso l’ISP
Alessio L.R. Pennasilico 40http://www.alba.st/
SkypeUtenti
E’ di certo uno degli strumenti VoIP più utilizzati
Preoccupa molto le forze dell’ordine
Alessio L.R. Pennasilico 42Come funziona?
Non è possibile saperlo
Chi dovesse scardinarlo potrebbe vendere il
metodo alle polizie di mezzo mondo
In segreto
Alessio L.R. Pennasilico 43Case history
Frode negli USA da parte di A. Kobi
Il criminale scappa a Colombo, Sri Lanka
Utilizza Skype per mantenere i contatti con gli USA
Viene rintracciato ed arrestato
Alessio L.R. Pennasilico 44TOR
Permette di utilizzare la rete in modo anonimo
Introduce molta latenza
Spesso non è adatto ad applicazioni come il VoIP
Alessio L.R. Pennasilico 45Il traffico VoIP
E’ peculiare
Facilmente individuabile
Sensibile a time-based attack
Alessio L.R. Pennasilico 46Intercettazione
Ad oggi la tecnica preferita si basa sull’infettare il
client con del malware
Con questo tipo di attacco è possibile avere il
controllo del client e quindi anche del flusso voce
Alessio L.R. Pennasilico 47http://www.alba.st/
StrumentiOreka
Record VoIP RTP sessions by passively listening to
network packets. Both sides of a conversation are
mixed together and each call is logged as a separate
audio file.
Alessio L.R. Pennasilico 49Features
Open plugin architecture for audio capture means
that the system is potentially capable of recording
from any audio source
Capture from multiple Network devices in parallel
Capture from pcap trace files
Voice activity detection
Recording metadata logged to file and/or any
mainstream database system
Alessio L.R. Pennasilico 50Compatibility
Oreka has been reported to work on the following
platforms and should actually work on many more.
Cisco CallManager and CM Express v. 3, 4 and 5,
Lucent APX8000, Avaya S8500, Siemens HiPath,
VocalData, Sylantro, Asterisk SIP channel
Alessio L.R. Pennasilico 51Screenshot Alessio L.R. Pennasilico 52
http://www.alba.st/
ConclusioniVoIP LI
E’ una materia nuova
Vedremo di certo diverse evoluzioni in futuro
Gli strumenti esistono
Vi sono limiti legali e tecnologici da considerare
Alessio L.R. Pennasilico 54Web-O-Grafia
http://scissec.scis.ecu.edu.au/wordpress/conference_proceedings/2006/forensics/Simon
%20Slay%20-%20Voice%20over%20IP-%20Forensic%20Computing%20Implications.pdf
http://www.hillside.net/plop/2007/papers/PLoP2007_PelaezEtAl.pdf
http://www.springerlink.com/index/mv0541345hx15345.pdf
http://www.informaticaforense.it/download/forensic-voip.pdf
http://www.dfrws.org/2003/presentations/Brief-Casey.pdf
http://www.telestrategies.com/iss_fall06/ISSWorld_LEA_web.pdf
http://arstechnica.com/news.ars/post/20060824-7582.html
http://ise.gmu.edu/~xwangc/Publications/CCS05-VoIPTracking.pdf
http://www.blueboxpodcast.com/
http://www.voipsa.org/
http://voip-info.org/
Alessio L.R. Pennasilico 55Domande?
Grazie per l’attenzione
These slides are written by Alessio L.R.
Alessio L.R. Pennasilico Pennasilico aka mayhem. They are
subjected to Creative Commons
Attribution-ShareAlike 2.5 version; you can
mayhem@alba.st copy, modify, or sell them. “Please” cite
your source and use the same licence :)Puoi anche leggere
