“Chúng tôi an toàn hơn đường dây điện thoại thường”.
Dịch vụ gọi điện thoại qua mạng (VoiIP) ngày càng phổ biến hơn. Thực tế nhiều hãng truyền thông đã bắt đầu quan tâm ứng dụng các dịch vụ VoiIP. Và hiện nay cũng mới nổi lên một số nhà cung cấp dịch vụ VoiIP . Nhưng còn nhiều vấn đề nảy sinh như chất lượng dịch vụ, khía cạnh bảo mật hay sự thiếu thực tế khiến các nhà cung cấp dịch vụ đau đầu.
Mục đích của bài này là thảo luận hai cách thức tấn công hệ thống VoiIP phổ biến nhất hiện nay. Kiểu đầu tiên biểu thị khả năng chiếm quyền điều khiển VoiIP Subscription của người dùng và các hoạt động truyền thông tiếp sau. Kiểu thứ hai liên quan đến khả năng nghe trộm các cuộc gọi VoiIP. Mặc dù VoiIP được thực thi với nhiều giao thức đơn khác nhau, nhưng trong bài này chúng tôi chỉ xin tập trung vào giao thức SIP (Session Initiation Protocol), một tiêu chuẩn IETF (RFC 3261). Hai kiểu tấn công này đã được viết trong nhiều bài nghiên cứu khác nhau, nhưng đến nay chúng vẫn chưa được nhận thức là đúng mức độ nguy hiểm của mình.
Các chuyên gia công nghệ tin tưởng rằng hai hình thức tấn công trên chắc chắn sẽ nguy hiểm hơn nhiều với sự phát triển ngày càng rộng của VoiIP. Phần tiếp theo chúng tôi cung cấp nội dung ngắn gọn về giao thức SIP, dùng để cài đặt và phân tách các session Internet đa phương tiện (gồm cả VoiIP). Sau đó chúng tôi tập trung chủ yếu vào hoạt động đăng ký người dùng và chiếm quyền điều khiển session.
Giới thiệu tóm tắt về SIP
Session Initiation Protocol (IETF 3261) là tiêu chuẩn được áp dụng phổ biến trong hoạt động truyền thông VoiIP. Giao thức này chủ yếu dùng để thiết lập và phân tách các cuộc gọi điện thoai.
Hình 1 mô tả (ở mức cao) các tin nhắn SIP được thay đổi trong một cuộc gọi:
 |
|
Hình 1: Cài đặt và phân tách cuộc gọi SIP
|
Trong bước 1, thiết bị của người dùng (trong thuật ngữ của SIP gọi là một User Agent) đăng ký với tổ chức cấp phát và quản lý tên miền. Các tổ chức này có trách nhiệm duy trì cơ sở dữ liệu của thông tin đăng ký tương ứng của từng domain. Phần đăng ký người dùng trong VoiIP là cần thiết vì nó cung cấp phương tiện định vị và liên hệ với nhóm từ xa. Chẳng hạn khi A muốn liên lạc với B anh ta sẽ gửi yêu cầu INVITE tới một proxy server. Proxy server này có trách nhiệm định hướng cho các tin nhắn SIP và cấp phát các đăng ký. Khi proxy server nhận một yêu cầu INVITE, nó cố gắng xác định vị trí nhóm gọi và sắp đặt chương trình cho người gọi. Nó sẽ thực hiện một số bước như tìm kiếm tên miền DNS và định hướng các tin SIP khác nhau (tạm thời và mang tính chất thông tin). Đây là bước sẽ bị khai thác bởi kiểu tấn công chiếm quyền điều khiển đăng ký, như chúng ta đã nhìn thấy sơ lược trong phần đăng ký thiết bị ở bước một của hình minh hoạ.
Chiếm quyền điều khiển đăng ký.
Hình 2 mô tả thông tin đăng ký hợp lệ và trả lời từ nhà quản lý SIP, được dùng để thông báo trong một điểm liên hệ của người dùng. Điều này chỉ ra rằng thiết bị của người dùng đã chấp nhận cuộc gọi.
 |
|
Hình 2: Yêu cầu REGISTER (đăng ký)
|
Yêu cầu REGISTER (đăng ký) bao gồm các Contact: header với điạ chỉ IP của thiết bị người dùng (hoặc một tệp VoiIP hay điện thoại khác). Khi proxy nhận yêu cầu thực hiện một lời gọi đến (một INVITE), nó sẽ tra tìm để xác định từng người dùng có thể liên hệ được. Trong trường hợp trên, người dùng có số điện thoại 201-853-0102 có thể liên hệ với điạ chỉ IP 192.168.94.70. Proxy sẽ gửi yêu cầu INVITE cho điạ chỉ IP đó. Các bạn cũng nên chú ý đến cổng được thông báo là 5061. Cổng này dự trữ cho các SIPS, và thường nó vi phạm tiêu chuẩn RFC 3261.
Hình 3 thể hiện một yêu cầu REGISTER đã bị hacker chỉnh sửa:
 |
|
Hình 3: Yêu cầu REGISTER đã bị chỉnh sửa
|
Trong yêu cầu này tất cả header và tham số của tin nhắn đều giống nhau, ngoại trừ tham số trong header Contact. Thông tin đã được thay đổi trong header Contact có điạ chỉ IP (192.168.1.3), trỏ tới thiết bị của kẻ tấn công. Yêu cầu REGISTER được gửi tới hãng cung cấp và quản lý SIP tại điạ chỉ 192.168.1.2. Công cụ dùng để sinh ra yêu cầu này là SiVuS, được mô tả trong hình 4.
 |
|
Hình 4: Lừa đảo đăng ký SIP sử dụng bộ sinh tin nhắn SiVuS
|
Các bước tấn công chiếm quyền điều khiển diễn ra như sau:
1. Vô hiệu hoá đăng ký hợp pháp của người dùng. Điều này thực hiện bằng cách:
-
sử dụng một cuộc tấn công DoS lên thiết bị người dùng
-
đăng ký lại thông tin người dùng (không đưa ra các kiểu tấn công khác)
-
tạo một đăng ký race-condition trong đó kẻ tấn công gửi các yêu cầu REGISTER lặp đi lặp lại trong khung thời gian ngắn hơn (như 15 giây/lần) để ghi đè lên yêu cầu đăng ký hợp pháp của người dùng.
2. Gửi yêu cầu REGISTER với điạ chỉ IP của kẻ tấn công thay vì điạ chỉ người dùng.
Hình 5 mô tả phương thức tấn công:
 |
|
Hình 5: Tổng quan của một cuộc tấn công chiếm quyền đăng ký
|
Kiểu tấn công này có thể thành công bởi:
-
Các tin nhắn đơn được gửi rõ ràng, cho phép kẻ tấn công tập hợp, chỉnh sửa và viết lại nội dung như chúng muốn.
-
Sự thực thi hiện thời của các tin nhắn SIP Signaling không hỗ trợ tính toàn vẹn nội dung, và do đó không thể dò ra được các cuộc tấn công chỉnh sửa và viết lại.
Kiểu tấn công này có thể thành công ngay cả khi proxy server SIP từ xa đòi hỏi thẩm định đăng ký người dùng. Vì các tin nhắn SIP được truyền rõ ràng và có thể đóng gói, chỉnh sửa hoặc viết lại. Kiểu tấn công này có thể nhắm vào cả doanh nghiệp và người dùng tại nhà. Một mạng gia đình sử dụng điểm truy cập không dây được cấu hình nghèo nàn rất dễ bị phá hoại bởi hacker. Chúng sẽ chặn và viết lại yêu cầu đăng ký. Các cấu hình đó có thể gồm cả WEP (Wired Equivalent Privacy) hoặc WPA (Wi-Fi protected access). Nhiều lỗ hổng đã được phát hiện, cho phép kẻ tấn công có được quyền truy cập không bị thẩm định. Chúng có nhiều thức triển khai khác nhau như thực hiện các cuộc gọi lừa đảo hay đổi điạ chỉ của các hoạt động truyền thông. Trong môi trường doanh nghiệp kẻ tấn công có thể làm trệch hướng cuộc gọi sang các nhóm trái phép. Ví dụ các cuộc gọi từ cổ đông có thể bị chuyển sang một đại lý trái phép để điều khiển giao dịch thương mại với khách hàng. Trong một số trường hợp kiểu tấn công này còn được xem như là một “bộ phận” cho các nhân viên không thích bị làm phiền.
Có thể ngăn chặn chúng bằng cách thực thi SIPS (SIP trên TLS), thẩm định yêu cầu SIP và thẩm định các trả lời (có thể gồm cả việc bảo vệ tính toàn vẹn). Thực tế sử dụng SIPS và chế độ thẩm định trả lời còn ngăn chặn được nhiều kiểu tấn công kết hợp khác, gồm cả nghe lén và mạo danh người dùng, mạo danh tin nhắn.
Nghe lén
Nghe lén trong VoiIP hơi khác so với các kiểu nghe lén truyền thống trong mạng dữ liệu nhưng khái niệm chung thì giống nhau. Nghe lén trong VoiIP đòi hỏi phải chặn các dòng phương tiện tín hiệu, phương tiện kết hợp của cuộc hội thoại. Các tin nhắn sử dụng giao thức mạng phân tách (như UDP hay TCP) và cổng của chính các phương tiện truyền thông. Các dòng phương tiện chủ yếu được chuyển qua UDP, sử dụng giao thức RTP (Real Time Protocol).
Hình 6 mô tả các bước yêu cầu một gói phương tiện, sử dụng Ethereal.
 |
|
Hình 6: Các bước gói dòng phương tiện truyền thông VoiIP, sử dụng Ethereal
|
Các bước đóng gói và giải mã gói âm thanh bao gồm:
• Capture and Decode RTP packets: đóng gói gói tin và sử dụng tuỳ chọn Analyze -> RTP-> Show all streams từ giao diện ethereal.
• Analyze Session: chọn một dòng để phân tích và tập hợp lại.
• Publish: mở một file để ghi các audio chứa phần âm thanh đã đóng gói.
Có nhiều tranh cãi cho rằng kiểu tấn công nghe lén có thể được ngăn chặn trong các mạng IP cơ sở bằng cách dùng switch Ethernet; giới hạn việc quảng bá lưu lượng cho toàn bộ mạng, và do đó giới hạn cả người truy cập lưu lượng.
Các tranh cãi này chấm dứt khi kiểu lừa đảo ARP được giới thiệu. Đó là cơ chế cho hình thức tấn công man-in-the-middle (sử dụng con người làm trung gian). Hiện chúng tôi chưa đề cập đến kiểu lừa đảo ARP trong bài này. Nhưng các bạn có thể hiểu về cơ bản là kẻ tấn công sẽ quảng bá các quảng cáo lừa đảo của địa chỉ MAC, ép các gói IP tiếp sau tràn qua host của chúng. Bằng cách đó, nó cho phép nghe lén cuộc hội thoại giữa hai người dùng.
Hình 7 sau tóm tắt kiểu tấn công lừa đảo ARP.
 |
|
Hình 7: Kiểu tấn công lừa đảo ARP
|
Sử dụng kiểu lừa đảo ARP, kẻ tấn công có thể đóng gói, phân tích và nghe lén các hoạt động truyền thông VoiIP.
Hình 8 dưới đây mô tả cách dùng chức năng Cain, cung cấp khả năng thể hiện kiểu tấn công man-in-the-middle (con người là trung gian) và đóng gói lưu lượng VoiIP.
 |
|
Hình 8: Sủ dụng Cain để thể hiện cuộc tấn công man-in-the-middle
|
Kết luận
Bài này phác ra hai trong nhiều kiểu tấn công nhắm vào các mạng VoiIP đang phổ biến trong thời điểm hiện nay. Cư dân mạng truyền thống thường tin tưởng chế độ bảo mật của mạng PSTN (Public Switch Telephone Network) hoặc các mạng điện thoại di động. Nhưng thực tế PSTN không cung cấp bất kỳ kiểu mã hoá nào để bảo vệ các cuộc nói chuyện điện thoại.
Trước đây như thế là đủ. Nhưng với các quyền truy cập mới cho hoạt động truyền thông mức trung bình, như các mạng IP cơ sở thì không thể điểu khiển được (trong khi quyền truy cập PSTN bị giới hạn). Các lỗ hổng có thể bị khai thác bởi một số lượng lớn hacker. Nguy cơ từ các cuộc tấn công tăng đột biến. Điều này làm giảm sự tin tưởng đến mức nhỏ nhất. Mà điểm khác nhau là từ phương thức truy cập mạng.
Tất nhiên không có ai tranh cãi rằng kẻ tấn công không thể truy cập và cài đặt một thiết bị nghe trộm lên cặp đôi điện thoại bên ngoài nhà bạn, nhưng điều quá lộ liễu và còn vướng phải một số luật cấm nghe lén. Mặt khác, nghe lén IP có thể dễ dàng được khai thác từ chiếc laptop của bạn chừng nào bạn còn hớ hênh để lại các sơ hở cho kẻ tấn công lợi dụng.
Việc các công ty đầu tư vào sản phẩm và nghiên cứu, gia tăng triển khai dịch vụ VoiIP ba năm qua cho thấy dịch vụ này ngày càng có tính ứng dụng rộng rãi. Cùng thời gian đó các vấn đề bảo mật cũng trở nên nhiều hơn. IETE đã có một số cải tiến, nâng cao tính an toàn cho thông tin và dòng phương tiện VoiIP. Biện pháp hữu hiệu nhất là dùng TLS để bảo vệ tín hiệu SIP và dùng SRTP (Secure Real Time Protocol) để bảo vệ dòng phương tiện. Có một vấn đề là các hãng duy trì tốc độ nhận và thực thi các giao thức này rất chậm. Một số nhà cung cấp dịch vụ VoiIP thậm chí còn nhầm lẫn các phương tiện bảo mật trong truyền thông gói cơ sở. Điển hình là vụ của hãng cung cấp nổi tiếng North America khẳng định “Chúng tôi an toàn hơn đường dây điện thoại thường”. Đó là trả lời gần đây từ khi hãng cung cấp sự tương tác giữa một trong hàng triệu bản đăng ký VoiIP của mình với phần hỗ trợ kỹ thuật 2 tầng, sau khi mô tả khi tiết các vấn đề này.