VoIPシステムにおける インプリメンテーションレベルでの脆弱性 Christian Wieser VoIPシステムにおける インプリメンテーションレベルでの脆弱性 c07-sip injRTP

我々の焦点はインプリメンテーションレベルでのセキュリティ問題と ソフトウェアセキュリティ試行である。」 目的 ソフトウェアの弱点を克服: 「脆くて不安定なソフトウェアは複雑なソフトウェアシステムに頼っている現 代社会において大きな脅威になりつつある」 - Anup Ghosh [Risks Digest 21.30] 我々の目的: 「先を見越した上で、インプリメンテーションレベルのセキュリティの 脆弱性を防ぎ、発見し、削除するためにアプリケーションとシステ ムソフトウェアの実行と試行の方法を研究し、評価し、開発するこ と。 我々の焦点はインプリメンテーションレベルでのセキュリティ問題と ソフトウェアセキュリティ試行である。」

主要なセキュリティ問題 ICAT 脆弱性統計より 「入力確認エラー」の重要性 Link: ICAT Metabase. http://icat.nist.gov/icat.cfm?function=statistics

VoIP システム 典型的な SIP VoIPスタック (簡略図) 音声と呼出管理の伝達には別のプロトコルが使われている このプレゼンテーションはSIPとRTPのインプリメンテーションの調 査結果を基に行う

SIP ロバストネス 別名 PROTOS c07-sip

PROTOS プロジェクト プロトコルインプリメンテーションのセキュリティ実験 結果: 引継ぎ: 脆弱性を試す「black box testing」方式が開発される 幾つかの書類や試行プログラムが発行される 引継ぎ: Spin-off company Codenomicon Ltd 公的な研究はOUSPGが続ける

c07-sip デザイン 変化するSIP INVITEがSoftware Under Test (SUT)に 対して模擬攻撃を希望する。 54 試験グループ 4527 試験ケース Java JAR-packageとして利用可能 トランスポート層ではUDPが使われる 以下の物を使って分解 CANCEL/ACK メッセージ 最低限の科学器械研究として確実なケース

c07-sip 結果 SIPの第一線において新しいアプローチ 驚くほどの失敗の確率 “老婆を棒で打つ”? ９つのインプリメンテーションが試された (6つのUA,3つのサーバ ー) 1つは成功 8 つは様々なテストグループにおいて失敗 デモンストレーションの目的に 2 つの働く開発 “老婆を棒で打つ”?

脆弱性プロセス 脆弱性プロセス:段階 発展 プレ公開 公開 試行プログラムの作成とまとめ 利用可能なインプリメンテーションを内部的に試す 中立な第三者の関与(この場合CERT/CC) 発覚した脆弱性をすぐに業者に知らせる 選ばれたプロトコルを実行しつつ試行プログラムを業者に配布 脆弱性と勧告のコーディネーション 猶予期間 公開 一般利用のために試行プログラムの展開 フィードバックの収集 同じ、若しくは次のプロトコルで反復 発展 SiPit11 プレ公開 SiPit12 公開 t 2002-10-01 2002-11-01 2002-12-01 2003-01-01 2003-02-01 2003-03-01

RTP 注入 プロジェクト名: injRtp3

イントロダクション 目的: 実行中のVoIPセッションに 第三者の声を入れる 入り組んだプロトコル: Real Time Protocol (RTP) 音声と映像を伝達するためにSIP とH.323によって使われた 一般的にはUDPにて使われてい る 含まれているヘッダー シーケンス番号 タイムスタンプ 識別名 (SSRC) 典型的な模型 アリスがボブに電話し、イブが介 入する 6種類のインプリメンテーションが 試される InfoSecの含意を確認

試験事例 秘密性 正直さ イブは電話での会話を盗み聞きすることが出来る イブはRTPヘッダーとペイロードを使いつつ自分の声を入れる。 ２つのサンプル：１秒と１０秒 イブの声は試されたインプリメンテーションで認識できるか？ good 006 understandable 005 004 poor 003 002 001 １０秒サンプル 1秒サンプル インプリメンテーション

試験事例 (II) イブはRTPヘッダー値を使わずに攻撃を簡略化する インプリメンテーションはRTPヘッダー値を評価するか？ しない 006 005 004 部分的に する 003 002 001 シーケンス番号 タイムスタンプ SSRC インプリメンテーション 彼女はペイロードの符号化を知る／推測するだけで良い

試験事例 (III) イブがトランスファー層の依存状態を確認する 異なるＵＤＰパラメーターが違う時でも攻撃は有効だろうか？ いいえ 006 はい 005 004 003 002 001 間違ったソースＵＤＰポート 間違ったソースＩＰ ブロードキャスト目的地ＩＰを受け入れる インプリメンテーション

試験事例 (IV) 便利性 イブはＵＤＰ目的地ポートを推測しようとする 固定 (newPort = OldPort) 固定 (32782) 006 newPort = oldPort + 4 固定 (5000) 005 newPort = oldPort + 2 固定 (49152) 004 003 固定 (5004) 002 newPort = oldPort - 2 固定 (49608) 001 次の電話 スタートアップ インプリメンテーション UDPとRTP評価を外す組み合わせによって盗聴することなく攻撃を成功さ せることが出来る。 スパムをＩＰ電話法で散布する新しい方法（ＳＰＩＴ）？ 便利性 イブが勝手に電話をRTPパケットで溢れさせ、継続中の繋がりを遮断 することが出来る。

要約 インプリメンテーションレベルの脆弱性はＶｏＩＰとの関係 性がある c07-sip injRTP 顕著な脆弱性が発見 業者間での認識が均等でない SIPコミュニティにおいて脆弱性プロセスは新しい 正当な量の興味 2005-04現在: 約3000 の試験的ダウンロード 詳しくは: http://www.ee.oulu.fi/research/ouspg/protos/testing/c07/sip/ injRTP RTPにおける電話への音声注入は可能 情報セキュリティは６つ全ての試験事例において見られる