2
3.1.4 Tấn công chặn và cướp cuộc gọi
3.1.4.1 Man in the miđle
Đây là kiểu tấn công rất nguy hiểm vì cuộc gọi vẫn được tiến hành bình
thường giữa bên gọi và bên nhận tuy nhiên toàn bộ thông tin đã bị đánh cắp và có thể đã bị sửa đổi, thông tin ở đây có thể là thông tin về người sử dụng, user name, password, các thông số thiết lập cuộc gọi, thông tin vềcước và kể cảthông tin được
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 36: Tấn công man in the miđle
Hình trên là thể hiện ý tưởng về tấn công “man in the miđle”, bằng cách nào
đó, attacker đã giả dạng service agency (cụ thể là VoIP proxy) khiến cho client thay vì gửi thông tin của nó cho service agency thì nó lại gửi toàn bộ cho attacker, attacker nhận các thông tin này, xử lý rồi mới gửi lại cho service agencỵ Ở chiều
ngược lại cũng vậy, service agency cũng gửi nhầm thông tin cho attacker thay vì nó phải gửi trực tiếp cho client. Cuộc gọi vẫn diễn ra bình thường mà cả client lẫn
service agency đều không hay biết rằng, attacker đã có được toàn bộ thông tin. Sau
đây ta sẽ tìm hiểu vềcơ chế giúp cho Attacker thực hiện được việc giả dạng này, đó là cơ chế ARP Spoofing.
3.1.4.2 ARP Spoofing
Ađress Resolution Protocol hay ARP là một trong những giao thức cơ bản của mạng Ethernet. Mục đích của nó là làm sao lấy được địa chỉ MAC của đích đến
khi đã biết địa chỉ IP, địa chỉ MAC của đích đến là cần phải có để bên gửi có thông tin cho việc đóng gói header khung Ethernet. Ví dụ như hình sau:
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 37: Ví dụ về ARP
Sam muốn trao đổi thông tin với SALLY, nhưng nó chỉ biết địa chỉ IP của
SALLY là 10.1.1.2, để lấy được địa chỉ MAC cho header Ethernet, nó phát gói ARP với nội dung “who has IP 10.1.1.2”, với địa chỉMAC đích là địa chỉ Broadcast. Tất cả các máy trong mạng sẽ nhận được gói tin này, nhưng chỉ có IP trùng với IP trong gói ARP là trả lời lại, trong ví dụ này, máy của Sally trả lời lại với nội dung “I (AẠBB.CC.Đ.EẸ00) have IP 10.1.1.2”, từđó Sam biết được MAC của Sally và quá trình truyền tin diễn rạ
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 38: ARP Spoofing
Tuy nhiên giả sử trong mạng tồn tại một attacker, như hình trên, attacker là Ned. Vì mục đích tấn công cuộc gọi từSam đến Sally nên nó đã biết trước IP của cả Sam và Sally, đồng thời luôn phát bản tin ARP giả mạo với nội dung “I (BA DB AB DA Đ AD) have IP 10.1.1.2” với đích đến là Sam. Vậy nên, ngay khi Sam gửi gói ARP request thì sẽ nhận được gói ARP response giả mạo, dù cho Sally có gửi gói ARP response đi chăng nữa thì gói đó chắc chắn vẫn đến sau gói giả mạo của Attacker. Tới đây có thể nói rằng Attacker đã giả mạo dược Sallỵ
Giả sử Sally là tổng đài Proxy và Sam là thuê bao VoIP, sau khi quá trình ARP kết thúc, Sam sẽ bắt đầu thiết lập kết nối VoIP với địa chỉ đích đến là Attacker, nhờ có các thông tin mà SAM gửi tới, Attacker dễ dàng giả mạo được các bản tin khởi tạo cuộc gọi tới proxy, các thông tin này hoàn toàn hợp pháp và sẽ được proxy chấp nhận, cuộc gọi được tiến hành bình thường và toàn bộ thông tin
đều đi qua Attacker. Ngoài việc sử dụng ARP Spoofing, đối với SIP, attacker cũng
có thể trở thành “man in the miđle” với cách tấn công đầu độc DNS hay DNS Poisoning, phần tiếp theo sẽ trình bày về vấn đề nàỵ
3.1.4.3 DNS Poisoning
Một hồ sơ DNS A được sử dụng cho việc chứa các domain hay host name ánh xạ thành địa chỉ IP. SIP sử dụng rộng rãi hồ sơ SRV để xác định các dịch vụ
SIP ví dụnhưủy quyền và đăng nhập. Các hồsơ SRV thường bắt đầu với gạch dưới (_sip.tcpserver.udp.domain.com) chứa thông tin về việc miêu tả dịch vụ, vận chuyển, host, và thông tin khác. Các hồ sơ SRV cho phép người quản lý sử dụng
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER
một vài user cho một domain, để di chuyển dịch vụ từ host đến host với một ít sự thay đổi, và để bổ nhiệm một vài host như là các server chính cho các dịch vụ.
Một người có mục đích tấn công, sẽ cố gắng đầu độc DNS hay tấn công giả
mạo, thay thế giá trị lưu trữ hồ sơ DNS A thành các bản tin chỉ đến các server của
người tấn công. Điều này có thể được hoàn thành bằng yêu cầu server DNS nạn nhân phân tích các thiết bị mạng trong domain của Attacker. Server DNS nạn nhân không những chấp nhận yêu cầu này mà còn chấp nhận và chứa bất cứ thông tin gì về DNS mà server tấn công có.
Vì vậy các thông tin về www.yourbank.com có sẽđược gán cho thông tin giả
về www.Attacker.com. Nạn nhận vô tội sẽ bị chuyển hướng đến www.Attacker.com bất kỳ thời điểm nào truy cập vào www.yourbank.com. SIP URL thay thế cho địa chỉ website, và vấn đềtương tự cũng gặp phải trong môi trường VoIP. Trong trường hợp này, Attacker đã đóng giảđược proxỵ
Các loại đe doạ này dựa vào sự vắng mặt của các cơ chế bảo mật và nhận thực. Các tấn công trong loại này cố gắng tìm kiếm và phá hoại tính toàn vẹn của dữ
liệu đàm thoạị Việc này chỉ ra rằng cần thiết phải có các dịch vụ bảo mật có đủ khả năng nhận thực để tạo ra yêu cầu và kiểm tra nội dung của thông điệp cũng như các luồng thông tin không bị biến đổi trong quá trình truyền.
3.2 Các nguy cơ tấn công đối với hệ thống Call Center theo quan điểm giao thức SIP thức SIP
3.2.1 Tổng quan về bảo mật SIP hiện nay
Các biện pháp bảo mật của SIP chủ yếu dựa trên các cơ chế bảo mật của
HTTP và SMTP. Trong đó, TLS, IPSec được khuyến cáo sử dụng cho các tuyến báo hiệu, S/MIME dùng để bảo vệ tính toàn vẹn và bí mật của bản tin SIP. Hiện nay, TLS và chứng thực HTTP là bắt buộc tại tất cả cá SIP proxy, redirect server và registration server. Tuy nhiên, các UAs chỉ yêu cầu biện pháp bảo mật là chứng thực HTTP. Hình sau là một ví dụ về sử dụng phương pháp nàỵ
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER Hình 3. 39: Chứng thực giữa Proxy Server là Uas
Khi một SIP server nhận một bản tin SIP request (ví dụ INVITE, REGISTER, BYE), SIP server sẽ yêu cầu bên gửi bản tin request (UAC) chứng thực bằng cách gửi bản tin 401 unauthorized hoặc 407 proxy-authencation. Khi nhận được yêu cầu này (401 hoặc 407), UAC sẽ phải sử dụng các biện pháp mật mã hóa (ví dụ MD5) để mã hóa một số trường (request-URI, username, password, realm, nonce) trong bản tin SIP. Sau đó UAC gửi lại bản tin SIP request với các giá trịđã được mã hóa để chứng thực với SIP server.
Tuy nhiên, những biện pháp bảo mật hiện nay vẫn tồn tại nhiều điểm yếu: Chỉ áp dụng cho một số bản tin (ví dụ: INVITE, BYE, REGISTER) mà bỏ qua
một số bản tin quan trọng khác (ví dụ TRYING, RINGING, 200 OK, ACK, BUSY).
Đối với các bản tin được bảo mật, cũng chỉ có một số trường trong bản tin
được bảo mật (ví dụ request-URI, username, realm), nhưng bỏ qua nhiều
trường quan trọng khác (vd: SDP, From, To).
Chỉ áp dụng cho các bản tin gửi từ UAC tới SIP server, bỏ qua những bản tin gửi theo chiều ngược lại – từ SIP server về UAC.
Tại UAs không yêu cầu bất kì biện pháp mã hóa đường truyền nào (link
level encryption) như TLS, IPsec, vậy nên các bản tin SIP được trao đổi giữa SIP
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER
thế, tất cả các kiểu tấn công man in the miđle (MITM) giữa SIP verver và SIP UA
đều có thể dễ dàng chỉnh sửa lại các trường không được mã hóa trong bản tin SIP – các bản tin được truyền từ UAs tới SIP server. Nghiêm trọng hơn, kẻ tấn công có thể lấy được và đánh tráo bất cứ thông tin nào trong các bản tin SIP được gửi từ bất kì SIP server tới UAs bởi vì chúng không có bất cứ một cơ chế bảo vệ nàọ Những
điểm yếu trên làm cho việc đánh tráo gói tin là hoàn toàn có thể xảy ra, một khi gói
tin đã bị đánh cắp thì rất nhiều thông tin sẽ bị lộ, và mục tiêu chính của kẻ tấn công thì thường là vấn đề cước phí. Phần tiếp theo sẽ trình bày một số phương pháp tấn
công vào cước phí dựa trên các điểm yếu đã nêu trên của SIP.
3.2.2 Tấn công vào cước phí (Billing Attack)
Các nhà cung cấp dịch vụVoIP thường chỉ sử dụng một vài server cho việc
đăng kí, thiết lập cuộc gọị Trong khi đó, rất nhiều thuê bao VoIP ở xa hàng trăm
thậm chí hàng ngàn km so với server của nhà cung cấp dịch vụ. Điều đó có nghĩa là,
để đi tới được đích thì tín hiệu báo hiệu phải đi qua nhiều điểm trung chuyển trên mạng, tạo ra cơ hội thuận lợi cho các tấn công kiểu MITM (man in the miđle). Ba
phương pháp tấn công vào cước phí sau đều dựa trên tấn công MITM.
3.2.2.1 InviteReplay Billing Attact
InviteReplay Billing Attact – gửi lại gói INVITE để tấn công cước phí, ý
tưởng là đánh cắp được bản tin INVITE, rồi từ đó lấy được các thông tin cần thiết
để thiết lập cuộc gọi, từ đó kẻ tấn công có thể thoải mái thực hiện cuộc gọi nhưng
đối tượng trả tiền chính là người bị tấn công. Kiểu tấn công này nhắm vào các bản tin INVITE, nó vẫn hoạt động được ngay cả khi bản tin INVITE bị yêu cầu chứng thực.
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER
Ví dụnhư hình vẽ trên, một SIP phone thực hiện cuộc gọi ra một thuê bao ở
ngoài mạng VoIP, nó gửi bản tin INVITE đến Proxy server. Quá trình thiết lập cuộc gọi diễn ra bình thường, bao gồm các thông tin mã hóa và không mã hóạ Tuy nhiên
ở giữa SIP Phone và Proxy Servers là kẻ tấn công MITM. Tất cảcác thông tin đã bị
lấy và sao lưu lạị MITM gửi bản tin mà nó bắt được cho kẻ tấn công (Active Attacker). Kẻ tấn công sửa đổi lại bản tin INVITE này để các giá trị phù hợp với địa chỉ của nó (như địa chỉ IP, port…), việc tính toán đoạn mã MD5 không bao gồm các giá trị này, nên việc thay đổi không ảnh hưởng đến tính xác thực của bản tin, bản tin INVITE bị sửa đổi vẫn hợp lệ và được server chấp nhận, kẻ tấn công hoàn toàn có thể thực hiện được các dịch vụdưới tài khoản của SIP Phonẹ
Phương pháp bảo mật của gói INVITE là các biện pháp mã hóa 1 chiều như
mã MD5 chẳng hạn, sử dụng hàm băm (hash algorithm) đế mã hóa, vấn để là ở chỗ,
hàm băm chủ yếu được dùng để đảm bảo tính toàn vẹn của dữ liệu chứ không phải
để giữ bí mật dữ liệụ Kẻ tấn công hoàn toàn có thể lấy được thông tin cần thiết để đăng kí với Server và hiển nhiên Server chấp nhận bản tin giả mạo này vì nó có các thông tin mã hóa chính xác về SIP Phonẹ Với cách làm tương tự MITM cũng có
thể lấy được các thông tin trong gói REGISTER và giả dạng được gói nàỵ
3.2.2.2 Giả dạng gói Busy
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER
Hình trên mô tả một cuộc tấn công giả dạng gói Busy, để đơn giản, ta lược bỏ bớt các bản tin trao đổi giữa 2 Server. Quá trình tấn công như sau:
MITM1 lấy được gói tin INVITE từ Vonage Phone, đây là bản tin gửi theo yêu cầu xác thực của Vonage Server. (Bước 4)
MITM1 sửa đổi lại bản tin này, thay thế địa chỉ trong phần người gọi thành
địa chỉ của MITM1 (bước 5), đồng thời phát bản tin busy cho Vonage Phone
(bước 6). Sau khi nhận được bản tin busy, người sử dụng Vonage Phone sẽ nghe được âm báo bận và nghĩ rằng đầu dây bên kia đang bận, nhưng thực ra, cuộc gọi vẫn tiếp tục được tiến hành bởi MITM1(các bước tiếp theo). Cuộc gọi được ATTServer chuyển tới ATT phone, nhưng bị MITM2 bắt lại
và không có gói tin nào được chuyển tới cho ATT phonẹ
Như vậy, cuộc gọi từ Vonage Phone tới ATT Phone đã được chuyển thành cuộc gọi từ MITM1 tới MITM2 và cước phí của cuộc gọi này thì lại được tính về cho thuê bao Vonage Phonẹ
3.2.2.3 ByeDelay Billing Attack
Hình thức tấn công này kéo dài thời gian thực hiện cuộc gọi của thuê bao VoIP. Ví dụ cụ thểđược thể hiện trong hình sau:
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER
Các bước 1-9 và 1’-6’ được thực hiện nhưđối với cuộc gọi thông thường. Ngay sau khi thuê bao VoIP gác máy, bản tin BYE được gửi lên cho Vonage
Server. (Bước 10). MITM1 sẽ bắt lấy gói này và trả về bản tin 200OK cho
Vonage Phonẹ (Bước 11). Cùng lúc đó ATT Phone cũng sẽ gác máy, bản tin BYE cũng bị bắt lại (bước 7’) và trả về200OK bước(8’). Nếu thuê bao ATT Phone không gác máy thì MITM2 sẽ chủđộng gửi bản tin BYE xuống để kết thúc cuộc gọị
Cuộc gọi giữa Vonage Phone và ATT Phone đã kết thúc nhưng chỉ là một phần. Hai server không nhận được thông báo kết thúc cuộc gọi nên vẫn sẽ dành đường truyền cho cuộc gọi trên, đến lúc này thì cuộc gọi đã được chuyển về thành cuộc gọi giữa MITM1 và MITM2.
Ba trường hợp trên đã chứng minh, những kẻ tấn công khi trở thành MITM giữa thuê bao và server VoIP hoàn toàn có thể thực hiện tấn công vào vấn đề cước phí mà không cần biết đến mật mã của thuê baọ Các trường hợp tấn
công trên đã được thử nghiệm thực tế trên mạng các mạng 2 mạng VoIP của Vonage và AT&T tại Hoa Kỳ.
3.2.3 Tấn công nghe lén cuộc gọi
Đây là một kiểu tấn công rất dễ thực hiện, kẻ tấn công chỉ cần thu thập các gói tin trong quá trình đàm thoại là có thể nghe lại được toàn bộ cuộc nói chuyện.
Đối với các cuộc đàm thoại không mã hóa, attacker hoàn toàn có thểphân tích lưu lượng từ các gói tin, thu thập thông tin từcác trường không được mã hóa trong các bản tin báo hiệu và biết được cuộc gọi được thực hiện như thế nào, do ai thực hiện,
các bước ra sao cùng với việc thu thập được các gói tin RTP, attacker có thể nghe lại toàn bộ cuộc gọị
Tấn công nghe lén có thể được thực hiện theo nhiều cách. Kẻ tấn công lợi dụng các điểm yếu sẵn có của thiết bị VoIP, xen ngang vào phiên truyền và lấy
được các gói tin cần thiết. Thực tếđã có nhiều công cụ hỗ trợ cho việc tấn công này,
sau đây em xin giới thiệu 2 công cụ phổ biến
3.2.3.1 Nghe trộm cuộc gọi bằng cách sử dụng Wireshark
Wireshark là phần mềm được sử dụng phổ biến trong việc phân tích lưu lượng mạng, nó có khảnăng phân tích nhiều gói tin trong đó có cả các gói tin quen thuộc của VoIP như SIP, H.323 và RTP. Khi các gói tin đi qua card mạng mà
Wireshark đang “lắng nghe”, chúng sẽ bị sao chép lại và attacker có thể sử dụng các công cụ sẵn có của Wireshark để phân tích gói và nghe trộm cuộc gọị
3.2.3.2 Nghe trộm cuộc gọi bằng cách sử dụng Cain & Able
Đây là một công cụ có khảnăng đầu độc ARP để thực hiện tấn công MITM, tiếp nhận và chuyển phát lại các gói tin SIP và RTP. Thực tế thì chỉ cần thu thập đủ các gói tin RTP là đã có thểnghe lén được cuộc gọị
Cách thức tấn công cụ thể của từng loại công cụ sẽ được trình bày cụ thể
CHƯƠNG 3: CÁC NGUY CƠ TẤN CÔNG HỆ THỐNG CALL CENTER 3.3 Tấn công cơ sở dữ liệu Mysql của hệ thống