Wednesday, July 2, 2014

Ayın fıkrası: Santralimiz Hacklenmez

İşim gereği son zamanlarda santral projeleri ve santral üreticiyle yakın çalışma fırsatım oldu. Bütün bu görüşmelerde santral üreticisinin “sistemimiz hacklenmeye karşı korumalıdır” sözü ile Kurum Bilgi İşlem yetkilisinin “biz bu işleri çok iyi bildiğimizden gerekli önlemleri zaten alıyoruz, bizi hackleyemezler” iddiaları arasında gülmemek için kendimi zor tutuyorum. Eğlenceli oluyor olmasına ama bir yandan da Ülkemin güvenlik konusunda daha ne kadar yol alması gerektiğini görmek beni üzüyor.  

Benim gibiler için telefon sistemlerine yönelik yapılan saldırıların bir de tarihi anlamı var. Bir çoğumuza ilham kaynağı olan Captain Crunch ve Kevin Mitnick gibi isimlerin ilk "ilgi alanlarının" telefon sistemleri olduğunu hatırlatmaya gerek bile yok. Steve Jobs ve Steve Wozniack'ın Apple'dan önce ücretsiz telefon görüşmeleri yapmayı sağlayan "Bluebox" kutuları üretip sattıklarını bilmek ise, benim için olaya neredeyse nostaljik bir boyut katıyor.


Resim 1: Bluebox (Kaynak: http://en.wikipedia.org/wiki/Blue_box)


İnternet üzerinden yapılan görüşmelerin güvenliği konusu çok dallı budaklı ve uzmanlık isteyen bir konu olduğu için bu yazıda ancak yüzeyin ufak bir kısmını kazıdığımı belirtmem lazım. VoIP güvenliği konusunda yol almak isteyenlerin yakın durması gereken bir isim, Dünya’da da bu konuda otorite olarak kabul gören Fatih Özavcı’ya (Twitter: fozavci) saygılarımı da ileterek konuya gireyim.

Herhangi bir kurumun VoIP altyapısına karşı yapılan saldırılara bakınca, çoğunda karşımıza aşağıdaki saldırı türleri çıkmaktadır.
Hizmet dışı bırakma saldırıları
İzinsiz dinleme
İzinsiz çağrı açma
Giden çağrıları yönlendirme
Uluslararası görüşme trafiğinin kurum santrali üzerinden geçirilmesi

Son kalemde sadece geçtiğimiz ay ve Ankara’da duyduğum örnekler 200.000 TL’den fazla bir maddi zarara yol açmıştır. Bu saldırı türünde görüşmeler fiilen santral üzerinden geçtiği için operatörün ilgili birimleri tarafından zamanında fark edilip “fraud” (dolandırıcılık) olarak belirlenmezse kurum bu ücreti ödemek zorunda kalacaktır.

Internet’teki diğer uygulamalara ve sunuculara karşı yapılan hizmet dışı bırakma saldırılarında olduğu gibi, yapması kolay, önlemesi zor saldırılardır. 2009 yılında Amerika Birleşik Devletleri’ndeki bir operatöre karşı yapılan saldırı şu meale gelecek sözlerle özetlenmiştir: “normal şartlarda 32 milyon çağrı aldığımız bir anda 69 milyon çağrı geldi, ne yapacağımızı bilemedik”.

Son zamanlarda daha sık görmeye başladığımız “mega DDoS” saldırılarının VoIP sistemlerinin aksamasına yol açtığını biliyoruz. Bazı olaylar basına yansısa bile genel kanı VoIP sistemlerine yöneltilen ve başarılı olan saldırıların sayısının tespit edilmesinin zor olduğu yönündedir. “Mega DDoS” saldırıları DNS ve benzeri, verdiği cevap aldığı paketin boyutundan büyük olan servislerin DDoS saldırısının boyutunu arttırmak için kullanıldığı saldırılardır. Bunu böyle kullananlar var mı bilmiyorum ama ileride Discovery Channel’da bir belgesel yapılsa ismi bu olurdu gibi geldi.

Hizmet dışı bırakma saldırılarını gerçekleştirmenin en kolay yolu hedef sisteme çok sayıda SIP INVITE paketi göndermektir. Bu arada 2009 yılında hedef sistemin tek bir paket (Invite of Death – Ölüm Paketi) gönderilerek de hizmet dışı bırakılabileceği de keşfedilmiştir. Eldeki bilgiler “Ölüm Daveti” (çok uygun bir isimmiş) zafiyetinin çok sınırlı sayıda sistemde görüldüğü yönündedir. “Mega DDoS” denilince aklımıza hemen çağrı merkezlerine veya operatörün omurgasına yönelik yapılan büyük saldırılar gelse de kurumları hedef alan saldırılar daha yaygın olarak görülmektedir. Hem az kaynak gerektirdiği için hem de kurumların çoğunda gerekli güvenlik önlemlerinin alınmamış olması saldırganların iştahını daha da kabartmaktadır.

VoIP altyapısına karşı yapılan saldırılar arasında şüphesiz en “artistik” olanı yapılan görüşmeleri dinlemektir. 2012 yılında ortaya çıkan bir zafiyetin telefon görüşmelerini değil, telefonun bulunduğu odada ortam dinlemesi yapmaya imkan vermesi başlı başına bir olay olmuştu zaten (ayrıntılar: http://events.ccc.de/congress/2012/Fahrplan/events/5400.en.html). Yapılan görüşmelerin dinlenmesi kullanılan şifreleme algoritmasının kırılması ile mümkün olmaktadır. Bunun yanında, KTH Kraliyet Teknoloji Enstitüsü araştırmacısı Vasily Prokopov yaptığı bir çalışmada şifreleme algoritmasını kırmakla uğraşmadan konuşmaların dinlenebildiğini göstermiştir. Hecelerin şifrelenmiş hallerini konuşmadaki seslerle karşılaştıran çalışma %50 ile %90 başarı oranıyla konuşmaların içeriğinin çözülebildiğini göstermiştir (ayrıntılar: http://www.kaspersky.com/images/Vasily%20Prokopov.pdf ).

“Herşey iyi güzel de, bunlar gerçek hayatta ne işimize yarayacak?” dediğinizi duyar gibiyim. Ya da demo yapmak için bahane uydurmak için bu girişi yaptım. Müşterilerimin bir kısmında da yaygın olarak kullanılan Asterisk santral ile basit bir yapı kuruyorum.
Bunun için, kolay kurulum için hazırlanmış AsteriskNOW yazılımı üzerine hazırlanmış ve güvenlik testleri konusunda pratik yapmak için yayınlanmış VulnVoIP sanal makinesini kullanıyorum. VulnVoIP’i bıradan indirabilirsiniz: http://www.rebootuser.com/?page_id=1739

Yazının kalanında Kali Linux üzerinde kurulu gelen bazı araçları kullanacağım ama bu konuda pratik yapacakların Fatih Özavcı’nın Viproy’unu mutlaka indirip kullanmaları gerekmektedir. http://www.viproy.com/

Kurduğum yapı kısaca şöyle:


Resim 2: Buna mı laboratuar diyorum?

Resim 3: VulnVoIP login ekranı

Resim 4: Kali Linux IP ayarları


Göreceğiniz gibi saldırgan olduğum için Asterisk santralin IP adresini henüz bilmiyorum. Asterisk santrali bulmak için kullanabileceğim çeşitli yöntemler arasında ShodanHQ, Google ve port taraması verilebilir. Uluslararası telefon trafiğimi bedava taşıyacak ve yüklü faturayı ödeyecek bir kurban arıyorum, bunu da başka bir ülkede aradığım için tespit edilme korkum yok. O nedenle port taraması ile hızlıca hedef tespiti yapıyorum.

Verdiğim IP aralığında 5060 ve 5061 numaralı portları olan açık makineleri tespit etmek için NMAP kullanacağım. Bunlar SIP protokolü tarafından kullanılan portlar olduğu için bu portlardan hizmet veren makinenin SIP sunucusu olduğunu ve benim için hedef olabileceğini düşünüyorum.
Resim 5: Nmap ile SIP sunucusu aramak


 SIP hedeflerini tespit etmek için SVMAP aracını da kullanabilirim. Bu araç vereceğim IP aralığındaki SIP hizmeti veren makineleri buluyor. Göreceğiniz gibi NMAP’in “port kapalı” dediği makine hakkında ilginç bilgiler toparladı.

Resim 6: SVMAP kullanımı


Resim 7: SVMAP tarama çıktısı


Metasploit’un içerisinde de SIP sunucuları tespit etmemizi sağlayan bir araç var.


Resim 8: Metasploit ile SIP tarama


Resim 9: Metasploit Asterisk'i buldu

Bazı saldırıları gerçekleştirmek için santralin dahili numaralandırma sistemini ve kullanılan dahili numaralara ihtiyacım olabilir. Bunun için numaraları tek tek çevirmek yerine kullanabileceğim araçlar var. Bunlardan bir tanesi SVWAR, benim yerime numaralara INVITE gönderip aldığı cevapları raporluyor. Bu aracın verdiği uyarı “karşı tarafta telefon çalmasına ve insanların gecenin köründe uyanmasına neden olabilirsiniz”...

Resim 10: SVWAR ile dahili numara tespiti

Karşımdaki sistemin tam olarak ne olduğunu anlamak için NMAP ile daha kapsamlı bir port taraması yapıyorum.
NMAP’e fazladan parametre vermeden yaptığım tarama aşağıdaki sonucu veriyor


 Resim 11: NMAP taraması olmadan olmaz

NMAP taramasını bütün portları kapsayacak şekilde genişlettiğimde ise manzara biraz değişiyor

Resim 12: Sürprizlerle dolusun NMAP (ipucu: Port 5038)

Google araması Asterisk sistemlerde 5038 numaralı portun telnet ile ulaşılabilecek bir konfigürasyon arayüzü olduğunu ortaya çıkartıyor.

Aşağıda görüldüğü üzere bu senaryoda Asterisk santrali kuran fabrika çıkışlı kullanıcı adını ve parolasını değiştirmediği için bunlarla sisteme erişebiliyorum.

Resim 13: Telnet ile Asterisk'e erişmek

Resim 14: Telnet ile Asterisk kullanıcıları ve parola bilgilerini çekmek

Şimdi de daha alışık olduğumuz saldırı araçlarından olan Metasploit’u kullanarak komut satırı elde etmeye çalışalım.

Metasploit’un bildiği FreePBX istismarlarını arıyorum.
Resim 15: Metasploit'ta bulunan Asterisk istismarı

Bulduğu istismarı deneyelim

 Resim 16: İstismar parametrelerini ayarlıyorum

 Resim 17: Komut satırı geliyor


Resim 18: Asterisk komut satırı ve IP adresi

Resim 19: Bir amerikan atasözü der ki: "Root is a state of mind"


Bu saldırıların ve zafiyetlerin çoğu gerçekte kullanılan sistemlerde karşımıza çıkmatadır. Bu tür saldırıların önüne geçmek için alınabilecek en temel önlemler şunlardır:

  • Santral üzerinde bulunan ek özellikler ek protokolleri beraberinde getirebilir. Kurum tarafından kullanılmayan özelliklere ilişkin portların kapatıldığından emin olun. 
  • Bilgisayar sistemleri gibi internete değen herşeye saldırılabileceğini unutmayın.
  • VoIP altyapınızı ve ağınızı bilgisayar ağınızdan mutlaka ayırın
  • Mevcutta kullandığınız güvenlik çözümlerinin IP santralinizi de koruduğundan emin olun








2 comments:

  1. Hocam eline sağlık.
    Call Manager için de bir örnek yapabilir misin.

    ReplyDelete
  2. ibretlik bilgiler hocam teşekkürler.

    ReplyDelete

MITRE ATT&CK Gerçek Hayatta Ne İşimize Yarar?

  Rusya kaynaklı siber saldırılar webinarı sırasında üzerinde durduğum önemli bir çalışma vardı. MITRE ATT&CK matrisini ele alıp hangi...