dimanche 1 février 2009

[PENTESTING] VoIP Hacking

La VoIP est depuis quelques années déjà une partie intégrante du SI. Elle est considérée comme un point sensible car les conversations permettent de révéler des informations importantes et surtout, peuvent porter à la vie privée des employés. Nous allons donc voir ici, d'un point de vue technique, quelle est la manière de récupérer des conversations.


1 - Avant-propos

Il est important de noter que le cas présenté ici est simple. En effet, nous considérons que tous les composants de notre attaque (passerelle VoIP + machines victimes + machine d'audit) sont dans le même réseaux ou dans des réseaux non cloisonnés.
Aussi, les flux ne sont pas chiffrés et l'authentification inexistante. Cependant, c'est un cas tout à fait réaliste dans le sens où c'est ce que nous pourrions trouver dans une entreprise qui a laissé les paramétrages par défaut.


2 - Localisation des éléments clés

Notre interception de trafic repose sur le sniff entre la passerelle VoIP et le routeur le plus proche de la machine d'audit (ici). Ensuite, nous devons accompagner ce sniff par une attaque de type Man-in-the-Middle. Nous devrions alors récupérer un tas de choses intéressantes...

2.1 - Localisation du routeur le plus proche

Nous effectuons tout simplement un traceroute pour trouver le routeur en question (ce que nous pourrons vérifier par des moyens simples (ifconfig / requête SNMP / ...) :

L'adresse de notre routeur est donc : 10.xxx.yyy.2.

2.2 - Localisation de notre passerelle VoIP

Nous utilisons l'outil smap qui permet de trouver les éléments actifs sur le port 5060 (SIP).

smap 10.xxx.zzz.0/24

Nous détectons ainsi la passerelle comme le montre le screenshot suivant :

L'adresse de notre passerelle VoIP est donc : 10.xxx.zzz.130.

Pour vérification et avoir plus d'information sur ma machine repérée, nous lançons smap avec l'option -o :

smap -o 10.xxx.zzz.130


3 - Interception du trafic

Nous mettons en œuvre cette fois l'attaque Man-in-the-Middle à l'aide de l'outil Ettercap. Puisque cette attaque est bien connue et déjà expliquée sur ce blog, nous n'entrerons pas dans les détails ici. Sinon, voir [post, point 3.2] [wikipedia].

Nous lançons la commande :

ettercap -Tqi eth0 -M arp /10.xxx.zzz.130/ /10.xxx.yyy.2/


4 - Capture et enregistrement des conversations

Pour réussir cette dernière étape, nous utilisons deux outils disponibles notamment sur la backtrack 3 :
  • voipong
  • voipctl
4.1 - Un peu de configuration

Pour donner l'adresse du réseau audité, aller dans le fichier de configuration voipongnets.

cd /usr/local/etc/voipong
vi voipongnets

Vous trouverez seulement deux lignes. Ici, notamment sur la deuxième ligne, mettez le sous réseau audité. Si ça ne marche pas, faites de même sur la première ligne.


4.2 - Lancement des outils

Tout simplement, nous lançons voipong ...


... puis voipctl


4.3 - Écoutez !

Il ne vous reste plus qu'à récupérer les fichiers audio enregistrés (voir le fichier de configuration de voipong pour connaître le répertoire de destination) et à lancer votre lecteur audio préféré.


Have fun! ;)

6 commentaires:

Anonyme a dit…

Merci pour votre blog que j'ai découvert aujourd'hui même.

Etant encore en formation (Master en securité), il est intéressant de voir la partie pratique ainsi que des méthodologies bien appliquées.

Petite question si pas trop indiscrète, quel est votre cursus scolaire ?

Merci et encore bravo pour ce blog.

Cordialement,

Jérémy RENARD a dit…

C'est en effet le but principal de ce blog : montrer le côté pratique et en français, c'est encore plus rare. Surtout, ce sont des tests vérifiés et rejoués. Cependant, j'en profite pour rappeler que les attaques montrées ne doivent en aucun cas être exécutées sur un environnement qui ne nous appartient pas ou sans autorisation dans le cadre d'un audit !

Concernant ma formation, la question n'est pas spécialement indiscrète mais je te laisse trouver ;)
[Indice] Voir le post du 5 février 2008 de ce blog.

Anonyme a dit…

Je rajoute deux petits liens concernant ces exploits Voip mais en vidéo pour les personnes intéressés :

Voip Sniff avec Wireshark :
http://benjy-blog.blogspot.com/2008/09/voip-sniff-video.html

Voip Sniff avec Voipong :
http://benjy-blog.blogspot.com/2008/11/voipong-video.html

Cordialement,

benjy-blog

Anonyme a dit…

Intéressant...
Attention de ne pas confondre Commutateur et Routeur. Ce n'est pas un commutateur qui répond à ton traceroute mais un routeur.
Ensuite, ton smap est valable si tu as bien une passerelle Voip dans ton subnet. Si tu dois te taper un /8, c'est un peu moins zen qu'un /24...
Et si ton réseau est un peu segmenté correctement, tu vas également galérer pour faire ton Man-In-the-Middle...
Mais bon, faut pas désespérer, ça doit bien exister des réseaux mal foutus comme celui qui a servi à ton tuto...

Anonyme a dit…

Pour le cursus, M.Anonyme n°1 veut un résumé depuis l'école primaire à Dieppe ? pas besoin d'être un rusé renard pour trouver ça...

Jérémy RENARD a dit…

1/ Bien entendu, un routeur ! ça m'apprendra à ne pas me relire :(
2/ Effectivement, avec un /8, c'est plus laborieux. En fait, ici, le range IP concerné avait été trouvé. Ne manquait plus que l'adresse exacte. D'où l'importance de la phase de recherche.
3/ ça existerait ? dans la vraie vie ? meuuuuuuuuuuh non.

Locations of visitors to this page