VoIP a bezpečnost

1. 7. 2006

Sdílet

Rizika internetové telefonie cd/dvd Předpovídání budoucích trendů v oblasti informačních technologií se svou ...


Rizika internetové telefonie cd/dvd


Předpovídání budoucích trendů v oblasti informačních technologií se svou spolehlivostí rovná věštění z křišťálové koule, z karet nebo zvířecích vnitřností. Pojďme se nicméně podívat na současný stav v oblasti bezpečnosti internetové telefonie a na její výhledy už jen proto, že se týká stále většího počtu uživatelů informačních technologií.
Těžko bychom hledali dynamičtěji se rozvíjející obor v oblasti ICT, než je právě VoIP, alias internetová telefonie.

Bezpečný či nebezpečný VoIP?

Podle americké konzultační skupiny Osterman Research měla počátkem roku 2006 pouze desetina firem ve Spojených státech implementovanou nějakou formu VoIP, koncem roku 2007 už to ale má být přes 45 procent! Pochopitelně, že různé konzultační společnosti dodávají různá čísla a odhady, nicméně shodují se v jednom: VoIP dramaticky roste.
Je to pochopitelné, protože internetová telefonie má oproti klasické nejednu výhodu. Je flexibilnější (zapojení či přeložení VoIP je nesrovnatelně jednodušší než instalace klasické telefonní linky či infrastruktury), jednodušší, umožňuje nabízet nové služby (videohovory, konferenční hovory apod.) a především je levnější. A právě cena bývá hlavním (bohužel někdy i jediným) argumentem pro přechod na VoIP.
V souvislosti s masovým rozšířením internetové telefonie se ovšem objevuje základní otázka: jak je na tom z hlediska bezpečnosti? Na tuto otázku neexistuje jednoznačná odpověď a vedou se o ni nekonečné spory. Co člověk, to názor. Někdo ji označuje za bezpečnou, někdo jiný za nebezpečnou. Někdo za "bezpečnou, ale...", jiný za "nebezpečnou, ale..."
Zajímavé přitom je, že zastánci všech názorů se vzácně shodují. Liší se jen ve výkladu. Jaký je tedy současný stav na poli bezpečnosti VoIP alias internetové telefonie?
Faktem je, že přímé útoky proti VoIP infrastruktuře a souvisejícím službám jsou vzácné, ale vyskytují se. V současné době nepředstavují žádný zásadní nebo neřešitelný problém, nejasnosti panují jen ohledně budoucího vývoje.
Velice střízlivě to vyjádřila přední americká bezpečnostní firma RSA, která upozornila, že navzdory všem varováním a katastrofickým scénářům ohledně zranitelnosti VoIP představují největší nebezpečí pro internetovou telefonii "běžné" síťové slabiny. Tedy nedostatky v klasických sítích, zranitelnosti v použitých operačních systémech apod. Je to pravda: nedávno se např. vyskytla chyba v operačním systému Windows, která umožňovala napadnout VoIP program Nortel.
Administrátoři sítí se zpravidla mylně domnívají, že pokud digitalizovaný hlas putuje po síti v paketech, prostě jen připojí komponenty VoIP do již hotové sítě a vše bude fungovat. A pokud je tato síť zabezpečena, pak bude i internetová telefonie bezpečná. Tak jednoduché to ale není ochrana VoIP vyžaduje úplně jiný přístup než zabezpečení e-mailu či internetového provozu.
Vezměme si klasický firewall: kontroluje procházející data, přičemž má určitou propustnost. Je-li datový provoz vyšší, jsou data uložena do fronty, v níž čekají na prověření. V praxi se jedná o prodlevy naprosto minimální a neznatelné: u běžného využívání internetu nehraje doručení či odeslání e-mailu o několik desetin sekundy dříve či později zásadní roli. Jenomže u internetové telefonie je to něco docela jiného: ukládání paketů na firewallu a jejich nepravidelné odesílání dovnitř i ven má za následek dramatické zhoršení kvality přenášeného hlasu, vznik hluchých míst či výpadků dat. Čili běžný firewall zde nestačí, je zapotřebí používat firewall s podporou technologií VoIP (kde se příslušné pakety "odbavují" přednostně, aby nebyla narušena kontinuita datového toku).
"Mnoho společností přechází na telefonii založenou na IP," vysvětluje Richard Zimmerman z Forsythe Solutions Group. "Je to prostě moderní. Ale po prvotním nadšení často přichází zklamání nebo rovnou rozčarování." Mnoho zákazníků je podle něj naivních, protože čistě datové aplikace nejsou tak náročné na data jako hlasové. Zimmerman ovšem upozorňuje na to, že nejde o otázku technologie, ale o otázku návrhu a struktury sítě. Až do tohoto bodu se specialisté na VoIP ohledně bezpečnosti shodují. Jak už jsme uvedli výše, rozchází se ve výkladech současného stavu. Jako prvního nechme promluvit pana Scotta Fergusona, viceprezidenta společnosti CheckPoint pro asijský region: "Útoky proti datovým sítím dlouhodobě narůstají, je jen otázkou času, kdy mohou masově postihnout i VoIP. Je to čím dál tím zajímavější a stále zranitelnější cíl."
Na stejnou notu je naladěna i zpráva amerického Národního institutu pro standardy a technologie (National Institute of Standards and Technology), v níž se praví: "Při pohledu na historii útoků na různé internetové služby a záležitosti, jichž jsme dosud byli svědky, je nevyhnutelnost příchodu útoků na VoIP sítě jasná." A zpráva dále pokračuje: "Základní telefonní služby, pokud nejsou pečlivě plánované, nasazené a udržované, jsou riskantnější, pokud jsou založené na VoIP."
Firma MessageLabs zase předpovídá dramatický nárůst útoků koncem roku 2006, nejpozději počátkem roku příštího.
Naproti tomu třeba Rohan Mahy (nezávislý konzultant v oblasti VoIP) upozorňuje, že pokud jsme dosud nezaznamenali žádné vážnější útoky, znamená to, že se internetová telefonie v dohledné době ani jejich cílem nestane. "O spamu v rámci VoIP se hodně mluví, ale proč ještě nepředstavuje reálný problém?" pokládá si řečnickou otázku Rohan Mahy. Podle něj je možné bezpečnost VoIP zajistit už pomocí dnes dostupných prostředků, není tedy důvod k budoucím obavám.
Na tomto místě si neodpustíme citát z jednoho internetového diskusního fóra, kde pisatel vyjadřuje svoji maximální spokojenost s nasazením VoIP v podnikové síti a dodává: "Je to skvělá technologie! Spadne jen zřídkakdy!" Tento citát je jasným dokladem toho, že na počítačové služby jsme si navykli pohlížet poněkud jiným pohledem, než na služby řekněme "klasické" (viz třeba celá řada vtipů na téma "jak by to vypadalo, kdyby Microsoft vyráběl automobily").
Faktem každopádně je, že bezpečné VoIP v nebezpečném prostředí asi nemůžeme očekávat. Internet nebezpečným prostředím bez jakékoliv diskuse je, musíme si tedy bezpečné prostředí vytvořit.

Varování nebo strašení?

I pokud budeme souhlasit s názorem, že VoIP je (nebo může být) skutečně bezpečnou technologií, musíme si uvědomit, že se velmi rychle stane cílem hackerů. Důvod je naprosto prozaický: peníze.
V oblasti VoIP totiž dochází k reálným finančním transakcím. Každý hovor je v podstatě převodem finančních prostředků k operátorovi (teď nemáme na mysli různé VoIP zdarma, na nichž si ale žádná střední či velká firma nemůže dovolit postavit svůj byznys). Ostatně něco podobného si uvědomili už tvůrci dialerů programů, které měnily číslo vytáčeného připojení k internetu na číslo tarifikované velmi vysokými částkami. Když agresoři dokázali do počítačů dialer instalovat (ve formě viru či jiného škodlivého kódu), mohli následně jen počítat peníze za provize.
Podobně na tom jsou i pokusy o "vykrádání" finančních prostředků z mobilních telefonů. Třeba na jaře 2004 se na internetu objevila hra Mosquitos, která byla určena pro mobilní telefony a byla zdarma. Tedy skoro zdarma: bez vědomí uživatele při každém spuštění odeslala SMS zprávu na vysoce zpoplatněné číslo.
Tyto příklady nám měly pouze vysvětlit, proč se VoIP dříve či později stane cílem útoků hackerů otázkou je jen to, zda budou úspěšné. Atraktivní ale budou každopádně.
Ovšem vlastní "krádež" finančních prostředků pomocí VoIP není jedinou hrozbou. Německý Federální úřad pro bezpečnost informačních technologií ve své zprávě vyjmenovává devatenáct různých nebezpečí, jež z používání internetové telefonie plynou. Jedná se např. o možnost odcizení identity, manipulaci s daty, chyby přenosu nebo právě špatné účtování.
V souvislosti s bezpečností VoIP se také upozorňuje na jednu ne nepodstatnou záležitost: pozor na cenu této služby! Většina společností operuje především s cenami za minutu připojení, absencí paušálů apod. Ovšem pozor: nezapomeňte započítat i další náklady, které vznikají. Třeba náklady na přechod, nasazení nebo údržbu této technologie. Bude stačit datová kapacita vaší linky? Co školení zaměstnanců? Jaká bude spolehlivost a dostupnost služby? A především: jak vzrostou náklady na zajištění bezpečnosti? Zvláště tato položka může být velmi bolestivá třeba pokud váš stávající firewall nepodporuje technologii VoIP (viz výše).
Třeba právě dostupnost služby (která do oblasti bezpečnosti patří) vedla americké město Herndon ve Virginii k tomu, že při přechodu všech ostatních linek na VoIP ponechala na klasické analogové síti tísňová volání. To o něčem svědčí. (V rámci objektivity dodáváme, že hlavní důvody byly dva: tím druhým byla problematická identifikace volajícího, což je u tísňových linek velmi důležité.)
V této souvislosti vyzvala už v červnu 2005 americká Federální komunikační komise (Federal Communications Commission) v pravidlech pro poskytovatele VoIP, aby varovali uživatele, že může být problém právě s dostupností tísňového volání. Ne proto, že by americké úřady odmítaly volání z internetu přijímat, ale prostě proto, že internetová telefonie obecně trpí většími výpadky v provozu. Ostatně jaké garance dostupnosti poskytují jednotliví VoIP operátoři?
Již výše uvedený Richard Zimmerman proto doporučuje s VoIP nespěchat: "Na cestě jsou kvalitnější služby i bezpečnější protokoly. Dnešní investice by se tak mohla ukázat jako předčasná."

Hrozby a rizika

Některé z VoIP telefonů obsahují zajímavou vlastnost: zachytávání paketů. Je to užitečné právě při sledování paketů nebo při analýze výkonu sítě. Ale na druhé straně to může být nesmírně cenný zdroj informací o síťovém provozu pro potenciálního útočníka (existují zde i možnosti "odposlechu" hesel). Z podobné kategorie je nebezpečí, na které upozorňuje David Endler z VoIP Security Alliance. Podle něj v internetové telefonii často používaný protokol TFTP nevyžaduje autentizaci. Hacker tak může s jeho pomocí sbírat informace o síti. Když už nic jiného, získává podklady pro skutečný útok.
Další nebezpečí znamená možnost poslat škodlivé pakety maskované jako VoIP provoz. Pokud je totiž komunikace šifrovaná, je její obsah na úrovni firewallu prakticky neodhalitelný a VoIP paket je nutné považovat za povolený a bezpečný. Je pravdou, že vlastní hlasová data nepředstavují nebezpečí, ale na druhé straně si musíme uvědomit, že software zpracovávající tato data může obsahovat chyby (které umožňují právě data nekorektním způsobem spustit). Podotýkám, že zde nejde o akademickou otázku, protože k něčemu podobnému už opakovaně došlo!
Mimochodem právě kvůli nekontrolovatelnému provozu přes firewall (a kvůli používání přenosového pásma pro vlastní účely byť uvedeného ve smluvních podmínkách) mnoho organizací vysloveně zakazuje používat Skype a některé bezpečnostní programy tuto populární aplikaci dokonce detekují v kategorii "potenciálně nebezpečný program!"
Nebezpečné jsou také proprietární protokoly, protože bezpečnostní software je obtížně kontroluje a díky absenci nezávislé oponentury mohou obsahovat mnohé nepříjemné "vlastnosti". Každá objevená chyba pak představuje výrazně větší nebezpečí než chyba v otevřeném standardu. Je pochopitelné, že snem každého výrobce softwaru VoIP je vytvořit vlastní "světový" standard, který se následně rozšíří a který mu zajistí věčnou slávu a stálý zdroj příjmů, ale z hlediska bezpečnosti jde o katastrofu.
Hrozbou pro internetovou telefonii je také třeba možnost vstupu do VoIP sítě a realizace placených hovorů na cizí účet. Nebo odcizení/zneužití hlasových služeb.
A můžeme pokračovat dále: dnešní sítě zneužitých počítačů (tzv. zombie) jsou většinou řízené přes Instant Messaging. Do budoucna by tuto roli ovšem mohly převzít právě VoIP programy, jak varuje Jon Crowcroft (profesor komunikačních systémů na Cambridge University). Znamenalo by to mnohem horší odhalování útočníků i vlastních obětí! Právě útočník by měl možnost kontrolovat napadené počítače a předávat jim informace z jakéhokoliv zcela anonymního zdroje: přes veřejnou telefonní stanici, z mobilu s předplacenou kartou apod. I když dosud využíval třeba služeb internetové kavárny, byl na základě přihlašování a dalších atributů alespoň teoreticky vystopovatelný.
A to už vůbec nehovoříme o problematice spitu (SPam for Internet Telephony, nevyžádané zprávy v oblasti internetové telefonie). Kdyby se spit stal podobně rozšířeným jako stávající spam, má potenciál zruinovat celou oblast VoIP. Nikdo si totiž nebude instalovat systém, pokud mu denně přijdou desítky hovorů od automatů. Nebo bude muset přinejmenším spoléhat na whitelist seznam těch, od nichž chce přijímat hovor. Což je ale pro mnohé organizace (např. čekající na zavolání od neznámých zákazníků) pochopitelně nepřijatelné.

Reálné problémy

Abychom ale pouze nerozebírali teoretické problémy, pojďme se nyní podívat na reálné zranitelnosti a potíže, se kterými jsme se v oblasti VoIP bezpečnosti už měli tu čest setkat.
Třeba již výše zmíněný populární program Skype několikrát vyzval uživatele k přechodu na vyšší verzi, protože se objevila nějaká zranitelnost. Naposledy se tak stalo v květnu 2006, kdy se objevila chyba umožňující provést přenos souborů ze zasaženého systému. (Tato informace není nijak namířena proti Skype: prostě jde o aplikaci jako každou jinou, která není dokonalá, má své zranitelnosti a jako s takovou s ní musíme nakládat.)
Skutečnosti, že aplikace obsahují chyby, zneužívala jedna z verzí trojského koně IRCbot, která se snažila po příchodu e-mailem vydávat za nejnovější (bezpečnou) verzi programu Skype VoIP 1.4. V předmětu zprávy byl text: "Hello. Were Skype and weve got something we would like to share with." nebo "Skype for Windows 1.4 Have you got the new Skype?" Nešlo tedy o klasický útok proti internetové telefonii, ale o fakt, že Skype a VoIP vůbec jsou čím dále tím populárnější, proto upoutaly pozornost útočníků, kteří je využili v útoku pomocí sociálního inženýrství.
Zranitelnost potkala i VoIP aplikaci IOS Telephony Service od Cisca. Její služby CallManager Express a Survivable Remote Site Telephony totiž mohou být zranitelné, což v konečném důsledku vede k restartování aplikace. Pokud útočník dokáže vyprodukovat dostatečný počet škodlivých paketů, program padá do nekonečné smyčky restartů a stává se zcela nepoužitelným. Dochází tedy ke stavu DoS (Denial of Service), odepření služby. Právě DoS útoky jsou obecně považovány za největší riziko současné internetové telefonie.
Jistý pan Grugq, jinak konzultant internetové telefonie na volné noze, už na několika konferencích v Evropě i ve Spojených státech předvedl, jak snadno se dá VoIP napadnout. Důrazně přitom upozornil, že problém se táhne napříč celým spektrem aplikací a dodavatelů, netýká se tedy pouze někoho. Názorně to ilustroval na skutečnosti, kdy předvedl problémy různých VoIP protokolů: H.323, Session Initiation Protocol (SIP), Megaco či Media Gateway Control Protocol.
Jeden z nejrozšířenějších je SIP, který ovšem zpravidla není šifrovaný a předává tak informace v otevřené podobě. Jeho prostým zachycením (při ustanovování komunikace) je tak možné nesmírně snadno "odposlechnout" identifikaci komunikující strany nebo její heslo.
Paket SIP lze rovněž nesmírně snadno podvrhnout. Výhoda? Třeba uskutečnění volání zdarma (pod pojmem "zdarma" rozumějte "na účet někoho jiného"). SIP paket má dvě základní hodnoty: Uniform Resource Identifiers (URI), které určují, odkud hovor je (From) a kdo za něj bude platit (Contact). Dnešní systémy přitom zcela automaticky předpokládají, že obě hodnoty jsou stejné. Takže tyto URI nejsou navzájem kontrolované. "Společnosti poskytující internetovou telefonii kontrolují pouze Contact, takže lze paket jednoduše upravit, aby za váš hovor platil někdo jiný," vysvětluje Grugq. Vzhledem k tomu, že na Floridě se třeba účet za plyn platí přes telefon, lze podle Grugqa pomocí jednoduché manipulace přičíst váš dluh k tíži někoho jiného. (Pomiňme nyní fakt, že v daném případě můžete být snadno odhalen důležité je, že něco podobného vůbec jde!)
Pan Grugq předvádí i možnost, jak ukončit jednu stranu hovoru a pomocí podvrženého SIP paketu přesměrovat druhou (neukončenou) k útočníkovi. Možnosti využití? Někdo chce využít bankovnictví přes VoIP a zavolá do banky. Následně je banka odpojena a komunikaci převezme útočník. Ten si pak vyžádá osobní informace, hesla apod. Následně sám zavolá do banky a získané informace zneužije.
A od konceptů zpět k realitě: firma Merrill Lynch připouští, že internetoví červi Sasser nebo CodeRed zapříčinili pád její infrastruktury VoIP. Nicméně ani tyto incidenty ji od internetové telefonie neodradily a chce její nasazení ještě rozšířit. Ovšem s větším důrazem právě na bezpečnost, protože kritický obchodní proces je nutné postavit na kvalitních základech.

Poučení na závěr

Verdikt ohledně (ne)bezpečnosti VoIP není jak už asi tušíte jednoznačný. Současná situace je sice poměrně stabilní, ale to se může velmi snadno mávnutím kouzelného proutku změnit (i když si odmyslíme ekonomická hlediska, pak rozšíření aplikací VoIP představují pro hackery prostě výzvu). Přehlížení včasných varování se každopádně už nejednou vymstilo.
Jak dodává výše zmíněný pan Grugq: "Internetová telefonie je ještě [z bezpečnostního hlediska] nezralá a ne zcela bezpečná technologie. Bezpečnější bude ve chvíli, kdy dojde k zásadním změnám na úrovni protokolů." Ty totiž byly primárně navrhované s ohledem na rychlost a dostupnost, nikoliv bezpečnost.

Jak se zabezpečit?

Už v hlavním textu jsme uvedli, že v oblasti VoIP stávající bezpečnostní opatření nefungují zcela stoprocentně. Naopak, některá jsou kontraproduktivní.
Bezpečnostní problémy se v zásadě dají rozdělit do tří oblastí: selhání autentizace (např. neoprávněný útočník nakládá s daty/informacemi, k nimž by neměl mít přístup), selhání integrity (výpadky spojení apod.) a selhání soukromí (odposlech aj.). Každá z těchto oblastí přitom musí být při návrhu architektury posuzována samostatně ovšem stejně tak musí být posuzovány všechny společně, v celkovém bezpečnostním kontextu.
Klíčem k bezpečnému VoIP je každopádně správný návrh sítě a její celková architektura. Je to problém nejen bezpečnosti, ale i kvality služby (potíže s těmito ukazateli pochopitelně odrazují lidi od VoIP vůbec). Každopádně nejde jen o to, internetovou telefonii nasadit, ale nasadit ji bezpečně. I operační systém (jakýkoliv!) lze nasadit, nebo nasadit bezpečně. Jistý americký bezpečnostní specialista jednou předvedl, jak za půl hodiny naučil svoji osmdesátiletou babičku (jinak naprosto běžnou uživatelku počítačů bez hlubších znalostí) hacknout základní konfigurace Windows nebo Linuxu!
Pokud je to jen trochu možné, oddělte datové a hlasové přenosy. Pochopitelně, že to vyžaduje nemalé náklady, ale na druhé straně je to jediná cesta k zajištění dostupnosti VoIP. Právě na tyto skryté náklady při pořizování internetové telefonie si dejte pozor! O tom, že oddělení dat a hlasových přenosů přináší ovoce, svědčí i případ z roku 2004, kdy virus napadl síť americké univerzity Worcester Polytechnic Institute. Datová síť se zhroutila, ale VoIP díky oddělení sítí bez potíží dále fungovalo.

K bezpečnostním opatřením patří:

Šifrujte hlasovou komunikaci.
Vyžadujte autentizaci.
Používejte VoIP kompatibilní firewally.
Oddělte datový a hlasový přenos.
Záplatujte pravidelně aplikaci i operační systém.
Nepoužívejte základní hesla.
Kontrolujte, zda dodržujete poskytovatelem nebo výrobcem dodaný seznam bezpečnostních opatření (event. zda jej vyžadujte).
Používejte systém prevence průniku.