Sascha Mucke: Sicherheit von Kommunikationsanlagen1/ 28
Sicherheit von langlebigen Systemen inBezug auf Kommunikationsanlagen
Sascha Mucke
Fakultat fur InformatikTU Dortmund
31. Juli 2015
Sascha Mucke: Sicherheit von Kommunikationsanlagen2/ 28
Inhalt
1 Einleitung
2 Angriffe auf Telefonsysteme
3 Schwachstellen von Protokollen
4 Telefonsoftwaresysteme
5 Zusammenfassung
Sascha Mucke: Sicherheit von KommunikationsanlagenEinleitung 3/ 28
Einleitung
Definition: Kommunikationsanlage
Technische Einrichtungen oder Systeme, die als Nachrichtenidentifizierbare elektromagnetische oder optische Signale senden,ubertragen, vermitteln, empfangen, steuern oder kontrollierenkonnen (TKG §3 23.)
Hier interessant: Telefonanlagen
Oft langlebige Systeme (> 10 Jahre Betrieb)
Sicherheit wichtiger Aspekt
Sascha Mucke: Sicherheit von KommunikationsanlagenEinleitung 3/ 28
Einleitung
Definition: Kommunikationsanlage
Technische Einrichtungen oder Systeme, die als Nachrichtenidentifizierbare elektromagnetische oder optische Signale senden,ubertragen, vermitteln, empfangen, steuern oder kontrollierenkonnen (TKG §3 23.)
Hier interessant: Telefonanlagen
Oft langlebige Systeme (> 10 Jahre Betrieb)
Sicherheit wichtiger Aspekt
Sascha Mucke: Sicherheit von KommunikationsanlagenEinleitung 4/ 28
Anforderungen
Allgemeine Anforderungen:
Einfach zu bedienen
Zuverlassig
Sicherheit:
Vertrauliche Kommunikation
Verhinderung von Missbrauch
Sascha Mucke: Sicherheit von KommunikationsanlagenEinleitung 4/ 28
Anforderungen
Allgemeine Anforderungen:
Einfach zu bedienen
Zuverlassig
Sicherheit:
Vertrauliche Kommunikation
Verhinderung von Missbrauch
Sascha Mucke: Sicherheit von KommunikationsanlagenEinleitung 5/ 28
Geschichte
Telefonbetrug seitden 60er Jahren
Manipulation vonTelefonapparaten
Erschleichenkostenloser Anrufedurch spezielle Tone
Quelle: http://www.funkyspacemonkey.com
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 6/ 28
1 Einleitung
2 Angriffe auf Telefonsysteme
3 Schwachstellen von Protokollen
4 Telefonsoftwaresysteme
5 Zusammenfassung
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 7/ 28
Typische Angriffe
Denial of Service (DoS)
Uberlastung des SystemsAusfall der Telefonanlage
SpoofingVerhullen oder Falschen der IdentitatAuthentifizierung unterwandern
SniffingAbfangen von drahtlosem DatenverkehrEntschlusselnAbhoren von Gesprachen
SPIT
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 7/ 28
Typische Angriffe
Denial of Service (DoS)
Uberlastung des SystemsAusfall der Telefonanlage
SpoofingVerhullen oder Falschen der IdentitatAuthentifizierung unterwandern
SniffingAbfangen von drahtlosem DatenverkehrEntschlusselnAbhoren von Gesprachen
SPIT
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 7/ 28
Typische Angriffe
Denial of Service (DoS)
Uberlastung des SystemsAusfall der Telefonanlage
SpoofingVerhullen oder Falschen der IdentitatAuthentifizierung unterwandern
SniffingAbfangen von drahtlosem DatenverkehrEntschlusselnAbhoren von Gesprachen
SPIT
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 7/ 28
Typische Angriffe
Denial of Service (DoS)
Uberlastung des SystemsAusfall der Telefonanlage
SpoofingVerhullen oder Falschen der IdentitatAuthentifizierung unterwandern
SniffingAbfangen von drahtlosem DatenverkehrEntschlusselnAbhoren von Gesprachen
SPIT
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 8/ 28
Passwortschutz
Passworter des Auslieferungszustands werden manchmal nichtgeandert
Listen von Standard-Passwortern fur die allermeistengebrauchlichen Systeme sind online frei verfugbar
Mit ein wenig Gluck . . .
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 9/ 28
Passwortschutz
. . . ist das richtige dabei!
Quelle: http://www.phenoelit.org/dpl/dpl.html
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 10/ 28
Fernwartungszugange
Sinn und Zweck:
Zugang zu Software-Systemen von außen
Wartung und Instandhaltung durch autorisierte Personen
Hilfreich z.B. fur Unternehmen mit internen IT-Systemen:Der Techniker muss nicht mehr (physisch) kommen
Sicherheitsrisiko
Verwundbare Stelle im System
Potenzielles Ziel fur Angriffe
Vollzugriff aufs System, schlimmstenfalls als superuser
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 10/ 28
Fernwartungszugange
Sinn und Zweck:
Zugang zu Software-Systemen von außen
Wartung und Instandhaltung durch autorisierte Personen
Hilfreich z.B. fur Unternehmen mit internen IT-Systemen:Der Techniker muss nicht mehr (physisch) kommen
Sicherheitsrisiko
Verwundbare Stelle im System
Potenzielles Ziel fur Angriffe
Vollzugriff aufs System, schlimmstenfalls als superuser
Sascha Mucke: Sicherheit von KommunikationsanlagenAngriffe auf Telefonsysteme 11/ 28
Fernwartungszugange
Notwandige Sicherheitsmaßnahmen (→ BSI):
Verschlusselte Verbindung
Isolation vom Gesamtnetz
Durchgehende Protokollierung
Minimale Rechte
. . .
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 12/ 28
1 Einleitung
2 Angriffe auf Telefonsysteme
3 Schwachstellen von Protokollen
4 Telefonsoftwaresysteme
5 Zusammenfassung
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 13/ 28
DECT
Digital Enhanced Cordless Telecommunications
Standard fur schnurloses Telefonieren
Erstmals 1993 vorgestellt
Reichweite von ca. 50 Metern innerhalb von Gebauden
Auch heutzutage noch haufig in Gebrauch
Ernsthafte Sicherheitsmangel: DECT ist abhorbar!
Gunstige Laptop-Karte lasst sich zu Sniffer umbauen
Verschlusselung nicht mehr modern, haufig nicht einmalaktiviert
Abgefangene Daten lassen sich mit frei erhaltlicher Softwareentschlusseln
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 13/ 28
DECT
Digital Enhanced Cordless Telecommunications
Standard fur schnurloses Telefonieren
Erstmals 1993 vorgestellt
Reichweite von ca. 50 Metern innerhalb von Gebauden
Auch heutzutage noch haufig in Gebrauch
Ernsthafte Sicherheitsmangel: DECT ist abhorbar!
Gunstige Laptop-Karte lasst sich zu Sniffer umbauen
Verschlusselung nicht mehr modern, haufig nicht einmalaktiviert
Abgefangene Daten lassen sich mit frei erhaltlicher Softwareentschlusseln
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 14/ 28
DECT
Video
https://youtu.be/DrJM-DzhtqI
(Ausschnitt)
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 15/ 28
SS7
Signalling System 7
Reihe von Protokollen undMethoden fur die Signalisierung
Wird im Fest- und Mobilfunknetzsowie bei VoIP verwendet
Besteht aus verschiedenen Partsfur verschiedene Bereiche derTelekommunikation
Hier besonders interessant: MobileApplication Part (MAP) fur dieKommunikation innerhalb desMobilfunknetzes
Quelle: http://www.dialogic.com
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 15/ 28
SS7
Signalling System 7
Reihe von Protokollen undMethoden fur die Signalisierung
Wird im Fest- und Mobilfunknetzsowie bei VoIP verwendet
Besteht aus verschiedenen Partsfur verschiedene Bereiche derTelekommunikation
Hier besonders interessant: MobileApplication Part (MAP) fur dieKommunikation innerhalb desMobilfunknetzes
Quelle: http://www.dialogic.com
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 16/ 28
SS7
Home Location Register (HLR)
Dezentrale Datenbank mit Mobilfunknutzerinformationen, u.a.
Mobiltelefonnummer
Guthaben
Momentaner Standort
Auf dem 31. CCC wurde gezeigt:
Authentifizierung unzureichend
Benutzerdaten sind leicht zuganglich (anyTimeInterrogation)
Standorte von Benutzern konnen ermittelt werden
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 16/ 28
SS7
Home Location Register (HLR)
Dezentrale Datenbank mit Mobilfunknutzerinformationen, u.a.
Mobiltelefonnummer
Guthaben
Momentaner Standort
Auf dem 31. CCC wurde gezeigt:
Authentifizierung unzureichend
Benutzerdaten sind leicht zuganglich (anyTimeInterrogation)
Standorte von Benutzern konnen ermittelt werden
Sascha Mucke: Sicherheit von KommunikationsanlagenSchwachstellen von Protokollen 17/ 28
SS7: AnyTimeInterrogation
Angreifer HLR MSC Mobiltelefon
AnyTimeInterrogation
provideSubscriberInfo
Paging Request
Paging Response
provideSubscriberInfo
anyTimeInterrogation
Ablauf einer AnyTimeInterrogation
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 18/ 28
1 Einleitung
2 Angriffe auf Telefonsysteme
3 Schwachstellen von Protokollen
4 Telefonsoftwaresysteme
5 Zusammenfassung
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 19/ 28
Telefonsoftwaresysteme: Asterisk
Open Source
unterstutzt Protokolle wieu.a. IP PBX und VoIP
weltweit in uber 170Landern im Einsatz
unterstutzt Verschlusselung
Endgerate aber hauft nicht
unverschlusselteUbertragungen moglich
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 19/ 28
Telefonsoftwaresysteme: Asterisk
Open Source
unterstutzt Protokolle wieu.a. IP PBX und VoIP
weltweit in uber 170Landern im Einsatz
unterstutzt Verschlusselung
Endgerate aber hauft nicht
unverschlusselteUbertragungen moglich
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 20/ 28
Telefonsoftwaresysteme: Asterisk
Die Datenbank Common Vulnerabilities and Exposures (CVE)sammelt seit 1999 bekannte Sicherheitslucken in Softwaresystemen
CVE-2015-3008
Asterisk Open Source [...], when registering a SIP TLS device, doesnot properly handle a null byte in a domain name in the subject’sCommon Name (CN) field of an X.509 certificate, which allowsman-in-the-middle attackers to spoof arbitrary SSL servers via acrafted certificate issued by a legitimate Certification Authority1.
Asterisk erwartet www.paypal.de
Asterisk akzeptiert www.paypal.de\x00foobar.com
1Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3008
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 20/ 28
Telefonsoftwaresysteme: Asterisk
Die Datenbank Common Vulnerabilities and Exposures (CVE)sammelt seit 1999 bekannte Sicherheitslucken in Softwaresystemen
CVE-2015-3008
Asterisk Open Source [...], when registering a SIP TLS device, doesnot properly handle a null byte in a domain name in the subject’sCommon Name (CN) field of an X.509 certificate, which allowsman-in-the-middle attackers to spoof arbitrary SSL servers via acrafted certificate issued by a legitimate Certification Authority1.
Asterisk erwartet www.paypal.de
Asterisk akzeptiert www.paypal.de\x00foobar.com
1Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3008
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 21/ 28
Telefonsoftwaresysteme: Asterisk
Fazit zu Asterisk:
(+) kostenlos
(+) Open-Source
(−) inkonsequente Verschlusselung
(−) immer wieder neue Sicherheitslucken
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 21/ 28
Telefonsoftwaresysteme: Asterisk
Fazit zu Asterisk:
(+) kostenlos
(+) Open-Source
(−) inkonsequente Verschlusselung
(−) immer wieder neue Sicherheitslucken
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 22/ 28
Telefonsoftwaresysteme: CUCM
Cisco Unified Communications Manager
etwickelt von Cisco Systems
kostenpflichtige Software
verwendet abgesicherteProtokolle wie TLS undSRTP
Austausch von Zertifikatenbeim Verbindungsaufbau
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 22/ 28
Telefonsoftwaresysteme: CUCM
Cisco Unified Communications Manager
etwickelt von Cisco Systems
kostenpflichtige Software
verwendet abgesicherteProtokolle wie TLS undSRTP
Austausch von Zertifikatenbeim Verbindungsaufbau
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 23/ 28
Telefonsoftwaresysteme: CUCM
CVE-2015-0715
SQL injection vulnerability in the administrative web interface inCisco Unified Communications Manager 11.0(0.98000.225) allowsremote authenticated users to execute arbitrary SQL commands viaunspecified vectors, aka Bug IDs CSCut33447 and CSCut336082.
2Quelle: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-0715
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 24/ 28
Exkurs: SQL-Injektion
bewusste Modifikation von verborgenen SQL-Anfragen
Eingabe ingo und pw123:
SELECT * FROM Users
WHERE username=’ingo’
AND password=’pw12345’
Eingabe admin und x’ OR 1=1:
SELECT * FROM Users
WHERE username=’admin’
AND password=’x’ OR 1=1
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 24/ 28
Exkurs: SQL-Injektion
bewusste Modifikation von verborgenen SQL-Anfragen
Eingabe ingo und pw123:
SELECT * FROM Users
WHERE username=’ingo’
AND password=’pw12345’
Eingabe admin und x’ OR 1=1:
SELECT * FROM Users
WHERE username=’admin’
AND password=’x’ OR 1=1
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 25/ 28
Exkurs: SQL-Injektion
Passworteingabe ’; DROP TABLE Users:
SELECT * FROM Users
WHERE username=’trololo’
AND password=’’; DROP TABLE Users
Sicherheitsvorkehrungen:
Sonderzeichen verbieten
SQL-Syntax erkennen
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 25/ 28
Exkurs: SQL-Injektion
Passworteingabe ’; DROP TABLE Users:
SELECT * FROM Users
WHERE username=’trololo’
AND password=’’; DROP TABLE Users
Sicherheitsvorkehrungen:
Sonderzeichen verbieten
SQL-Syntax erkennen
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 26/ 28
Telefonsoftwaresysteme: CUCM
Fazit zu CUCM:
(+) hohe Sicherheitsstandards
(+) konsequente Verschlusselung
(−) kostenpflichtig
Sascha Mucke: Sicherheit von KommunikationsanlagenTelefonsoftwaresysteme 26/ 28
Telefonsoftwaresysteme: CUCM
Fazit zu CUCM:
(+) hohe Sicherheitsstandards
(+) konsequente Verschlusselung
(−) kostenpflichtig
Sascha Mucke: Sicherheit von KommunikationsanlagenZusammenfassung 27/ 28
Zusammenfassung
Telefonsysteme sind langlebige Systeme
Hohe Sicherheitsanforderungen
Anfallig fur Netzwerkangriffe
Passwortschutz und Fernwartungszugange
DECT
SS7
Asterisk und Cisco
SQL-Injektion
Sascha Mucke: Sicherheit von KommunikationsanlagenZusammenfassung 27/ 28
Zusammenfassung
Telefonsysteme sind langlebige Systeme
Hohe Sicherheitsanforderungen
Anfallig fur Netzwerkangriffe
Passwortschutz und Fernwartungszugange
DECT
SS7
Asterisk und Cisco
SQL-Injektion
Sascha Mucke: Sicherheit von KommunikationsanlagenZusammenfassung 27/ 28
Zusammenfassung
Telefonsysteme sind langlebige Systeme
Hohe Sicherheitsanforderungen
Anfallig fur Netzwerkangriffe
Passwortschutz und Fernwartungszugange
DECT
SS7
Asterisk und Cisco
SQL-Injektion
Sascha Mucke: Sicherheit von KommunikationsanlagenZusammenfassung 28/ 28