¿Qué es TDoS? (Telephony DoS)
En los enlaces posteriores está definido en una mayor profundidad pero, en resumen, consiste en saturar un número de tetéfono (de los de toda la vida) llamando continuamente desde distintos puntos. ¿Y qué pinta la VoIP en todo esto? Pues sencillo, permite automatizar de una forma más sencilla el proceso y abaratar costes.


¿Que hace falta para realizarlo?

  • Software de automatización. Algunas opciones:

  • Números para atacar. Algo trivial ya que cualquier organización los va a tener disponible de forma pública.
  • El sonido que a inyectar, cualquier mp3 será suficiente. Lógicamente cuanto más cuidado más tiempo va a tardar el interlocutor en colgar, por lo cual el ataque será más eficiente.
  • Una salida a la red PSTN, alternativas:
    • Un primario (PRI), con un buen número de líneas. Esta sería la opción menos efectiva y más cara.
    • Un trunk SIP, numerosas compañía ofrecen este servicio por Internet a precios reducidos.
    • Utilizar servidores comprometidos, solo hay que darse un paseo por SHODAN para encontrarse servidores con las contraseñas por defecto y, sobre todo, sin actualizar.

Tras esta larga introducción voy a ir resumiendo las noticias en el orden cronológico en el que las fui conociendo:

  • Durante la investigación para mi PFC conocí el movimiento hacktivista Occupy Phones, que se basa en utilizar esta técnica como forma de protesta.
  • Mark Collier avisa sobre este peligro en un reciente informe titulado "Voice and UC state of security report 2013". Afirma que cada vez son más frecuentes, alcanzando ya a día de publicación del documento, un impacto importante como se puede apreciar en la imagen. Otro dato que me parece curioso es que añade que las llamadas recibidas incluyen voces, silencios e incluso tonos DMTF.


  • El día 1 abril leo este artículo en el que la empresa KrebsonSecurity publica una copia de una alerta conjunta del FBI y el "Department of Homeland Security", en la que se expone un aumento de las extorsiones mediante este vector. Este documento advierte a los responsables de los PSAPs (Public safety answering point) y al personal de los centros de comunicaciones de emergencias sobre los peligros asociados. Además informa de que las líneas 911 ya están siendo explotadas. También dice que Enero de 2013 el IC3 (Internet Crime Complaint Center) había publicado una nota más breve sobre el tema.
  • A partir de aquí me pase un buen rato siguiendo enlaces de ésta y otra noticia del blog de Mark Collier (2 de Abril) que engloba a muchos otros. Resumo a continuación lo que me pareció mas interesante.



    • Este otro post que dice que el FBI alertó por primera vez ya ¡en junio del 2010!. Afirma que por precios de 5 euros/hora y 40 euros/día puedes inhabilitar un teléfono, como suele ser común en estos casos con descuentos por cliente habitual, etc.



    • Copia de la alerta.
    • Artículo sobre el movimiento Occupy Phones.
    • Este otro sobre como actuar en caso de sufrir un ataque.
    • Aquí se incluye otros precios para los mismos servicios:
      • Call flooding:
        • 1 hour = $1.5
        • 1 day = $ 20

      • SMS mass sending:
        • 100 SMS – $ 5
        • 1000 SMS – $ 15

  • Dos días después (4 abril) Mark Collier otra vez empieza una serie de posts sobre las bases de estos ataques, no voy a entrar a analizarlo para no extenderme, al que le interese el tema le sugiero que lo siga en estas fuentes. Básicamente explica en profundidad lo resumido en la parte de este post donde se describe lo que se necesita para elaborar un ataque. El mismo día publica este pequeño post enlazando otro conjunto de alertas de distintas organizaciones, en general, no aportan nada nuevo.


  • Paralelamente (2 abril) me entero de que dos Googlers ganan un concurso en el que se pedían posibles soluciones a este problema. Básicamente aplican lo equivalente a las listas blancas/negras de correo electrónico para filtrar el SPAM en este entorno. Sin haber profundizado en el tema parece una buena opción, al fin y al cabo llevamos haciéndolo con el correo años. Sin ser la panacea, más o menos nos soluciona el problema.



Como conclusión decir que esto es solo el principio, cada vez más enlaces importantes de las comunicaciones de un país/organización sustituyen antiguas tecnologías por la voz sobre TCP/IP. Y "los malos" aún no empezaron ...


Con esta idea estamos trabajando (Pepelux, Damián y yo) en la primera versión de una herramienta de pentesting que creo que a alguno le gustará. El objetivo principal es ayudar a la concienciación sobre el peligro de estos vectores. Si nosotros pudimos desarrollar algo automático en un tiempo razonable (usando nuestro tiempo libre) a saber lo que tendrán desarrollado ya en otros sitios ... Como le prometí a Yago que la presentaría aquí nos vemos en unas semanas . Os dejo con un vídeo de demo mientras:

Enlace

Antes de terminar me gustaría comentar que decidí (con vuestro permiso) que no voy a acabar de momento la serie que tenía a medias sobre pentesting en VoIP. Por un lado prefiero retomarla cuando esté la herramienta más avanzada y además, como muchos sabréis, Pepelux publicó recientemente un libro que cubre todo esto así que recomiendo su lectura a los interesados.

Nada más, hasta la próxima.

Artículo cortesía de Jesús Pérez en http://www.securitybydefault.com/2013/04/ataques-tdos-ataques-de-denegacion-de.html