VoIP/UC Güvenliği Melih TAŞ

Netaş Siber Güvenlik ArGe Uzman Mühendis

SAU Siber Güvenlik Etkinliği 2015

Sakarya Üniversitesi

Hakkımda

• İş Hayatı • Netaş Siber Güvenlik Ar-Ge, Uzman Mühendis

• Güvenlik Araştırmacısı ve Eğitmen

• Eğitim Hayatı • Marmara Üniversitesi – Bilgisayar (Lisans + Yüksek Lisans)

• Bahçeşehir Üniversitesi – Bilgisayar Müh. + Siber Güvenlik (Doktora)

Neden VoIP Güvenliği

• Maliyet avantajı, işletim kolaylığı, esnek ve zengin tümleşik servisler sunması sebebiyle iletişim dünyasında VoIP trendinde artış görülmekte

• Avrupa’daki en büyük NGN (Yeni Nesil Ağlar) projesi Türkiye’de gerçekleşti • Global VoIP ve IMS marketindeki servis sağlayıcılarda 2013 3Q’dan 2014 3Q’a %5 büyüme

gerçekleşti

• VoIP internete açık doğası gereği güvenlik saldırılarına açık ve korumasız durumda • 2013 yılı CFCA Global Telekom Fraud raporuna göre raporlanan kayıp 46,3 milyar $ • 2009-2010 yılları arasında UC sunucu hedefli yapılan saldırılar %50 arttı. (VIPER Lab honeypots) • Internet üzerinden tüm hacking saldırılarının %25’ine kadarı ses ve UC vektörlerine yönelik,

önceki yıllarda tek haneli yüzdelerde idi (diğer saldırılar klasik database ve network katmanı saldırıları)

• Her 2,5 dakikalık periyotta VoIP’e yönelik bir saldırı gerçekleşiyor. (VIPER Lab) • VoIP ve UC’ye yönelik 20,000’den fazla exploit ve tehdit tanımlandı.

Global VoIP Trafik Kullanımı

Stattistica 2014, http://www.statista.com/statistics/267183/forecast-for-the-worldwide-voip-traffic/ http://sipnology.com/company/20-voip-growing-statistics

**The countries of the EU mobile VoIP account for US$7.3 billion in revenues by 2012 compared with US$6.9 billion from fixed VoIP.

PSTN+GSM Sabit + Mobil VoIP

PSTN’den VoIP’e Geçiş

TeleGeography Raporu - 22 Ekim 2014, tüm sabit telefonların %20 si VoIP

%250 artışla VoIP kullanıcı oranı %34

*TransNexus Report, 2014 http://transnexus.com/voip-connections-compose-20-of-fixed-lines-worldwide/

2013 Fraud Kaybı

•Communications Fraud Control Association (CFCA Raporu) 2013, http://cfca.org/pdf/survey/Global%20Fraud_Loss_Survey2013.pdf

Total: 46.3B $

VoIP/UC Güvenlik Saldırıları

Service Theft

Registration Hijacking

SPIT, Malware

Denial of Service

VoIP Traffic Rerouting

Voice Quality Disruption

Confidential Info Theft

Eavesdropping

VoIP Güvenlik Saldırı Raporu • Rusya’da Siyasi Seçimlerde İlginç Telefon Hackleme Olayı, 9 Aralık 2011

• En ilginç hacking olaylarından biri Rusya seçimlerinden sonraki protestolarda gerçekleşti. Tüm telefon hatları Putin övgülü bayan sesli bir anons ile tekrar tekrar meşgul edildi. “Putin is very good. Putin loves you. Putin makes your life happy. Love Putin and your life will fill with meaning. Putin does everything for you. Remember, Putin does everything just for you. Putin is life. Putin is light. Without Putin, life has no meaning. Putin is your protector. Putin is your saviour.”

• Filipin Polisi ve FBI Terörist Ceteyi Yakaladı, 28 Kasım 2011 • A&T’nin müşterilerini hedef alan ve elde ettiği geliri Suudi terörist gruplarının banka

hesaplarına aktaran bir çeteyi yakaladı. AT&T’nin kaybı 2 milyon $ kadar. Hacker’lar, AT&T müşterilerinin sistemlerine sızıp, ödemeleri divert edilebilen uluslararası premium-rate servislere çağrı yapmışlar

VoIP Güvenlik Saldırı Raporu

• Milyon Dolarlık Hacking Olayı, 9 Haziran 2012 • AT&T ile küçük bir işletme arasında geçen bir olay

• PABX sistemi hacklenmiş ve Somali’ye 1 milyon $ kadar ücretlendirilmiş illegal çağrılar yapılmış

• Önce şirkete fatura 260 bin $ kesilmiş ve AT&T müşterinin sistemini uluslararası çağrılara kapatmış

• Hacker’lar dakikası 22$ kadar ücretlendirilecek şekilde 4 gün daha Somali’ye çağrı sonlandırmaya devam edebilmişler

Netaş VZA ve VGD Projeleri

• VoIP/SIP Zafiyet Analiz Aracı (VZA) • İlk ulusal VoIP zafiyet analiz aracı • Modüler yapı içerisinde otomatize saldırı araçları ile güvenlik denetimi

• Network Scanner • DDoS Attack Simulator • Fuzzing Attack Simulator • Network Based Attack Simulator • SIP Traffic Generator • Automated Attacks

• Güvenlik tedbirlerini içeren sistem karnesi • Uzman sistem kural algoritması kullanır

• Protokol uyumluluğu ve stres testleri • Sızma test hizmetleri için kullanılmak üzere geliştirildi

Netaş VZA ve VGD Projeleri

• VoIP/SIP Güvenlik Duvarı (VGD) • İlk ulusal uygulama katmanı seviyesi firewall • Uygulama katmanı seviyesine saldırı tespiti ve önleme

• DoS/DDoS Attack Control • Fuzzing Control • Statistical Analysis • SIP Protocol & Stack Control

• Derinlemesine anlık veri analizi • Dinamik kural güncelleme • Gerçek zamanlı anomali motoru

• Sistem modelleme - kritik çağrı parametreleri • Makine öğrenmesi • İstatistiksel veri işleme • Karar verme motoru • Politika ve Kural editörü

Demo Zamanı (VZA vs. VGD)

• VZA ile Hedef Ağda SIP Cihaz Keşfi

• VZA ile DoS ve DDoS Saldırıları

• VZA ile DDoS Saldırısına Karşı -> IP Firewall vs. VGD

• VZA ile Kullanıcı Tespiti ve Kayıt Çalma Saldırısı

• VZA ile Araya Girme ve Çağrı Dinleme Saldırısı

Sonuçlar & Tavsiyeler

• Tüm VoIP/UC altyapısı için düzenli olarak Zafiyet Analizi ve Sızma Testleri yapılması gereklidir

• VoIP altyapısını korumak için IP firewall’lar gerekli ancak yeterli değildir, VoIP Firewall kullanımı gereklidir