Abstract : | Η τηλεφωνία μέσω Διαδικτύου (Voice over IP –VoIP) αποτελεί μια νέα τεχνολογία που παρέχει νέους τρόπους επικοινωνίας. Οι υποδομές VoIP εκμεταλλεύονται τα υπάρχοντα δίκτυα δεδομένων για να παρέχουν οικονομική φωνητική επικοινωνία, ενώ αποτελεί μια πολλά υποσχόμενη υπηρεσία που μπορεί να υποκαταστήσει τη συμβατική τηλεφωνία. Παρ’ όλα αυτά, η χρήση του διαδικτύου ως κύρια υποδομή του VoIP σε συνδυασμό με το πλήθος ευπαθειών του κύριου πρωτόκολλου το οποίο χρησιμοποιείται στο VoIP (SIP), καθιστά τη νέα τεχνολογία ευάλωτη σε ένα πλήθος απειλών. Μία από αυτές αποτελεί το φαινόμενο του spam στην τηλεφωνία μέσω Διαδικτύου (SPIT). Το SPIT δεν αποτελεί μόνο μια από τις σημαντικότερες αναδυόμενες απειλές στο χώρο της Πληροφορικής, αλλά ουσιαστικά υπονομεύει τόσο την διάδοση της χρήσης των υπηρεσιών VoIP, όσο και την ελάττωση της πραγματικής προστιθέμενης αξίας που αυτές μπορεί να παρέχουν. Εν γένει, το φαινόμενο του SPIT αναμένεται να έχει σημαντικότερο αντίκτυπο στους τελικούς χρήστες από αυτό του ηλεκτρονικού ταχυδρομείου, καθώς τα μέσα και οι τρόποι με τους οποίους εκδηλώνεται, είναι περισσότερο ενοχλητικοί προς το χρήστη και πολύ πιο «επιθετικοί» στην τελική τους μορφή. Το ηλεκτρονικό ταχυδρομείο, ως ένας μηχανισμός αποθήκευσης και προώθησης μηνυμάτων, επιτρέπει την εφαρμογή μηχανισμών ελέγχου και φιλτραρίσματος στο σύνολο της μεταδιδόμενης πληροφορίας, πριν αυτή φτάσει στον τελικό χρήστη. Αντίθετα, το πρωτόκολλο SIP αφορά επικοινωνία σε πραγματικό χρόνο, πράγμα που σημαίνει ότι η πληροφορία που μεταδίδεται δεν είναι στη διάθεση των μηχανισμών αντιμετώπισης, πριν αυτή φτάσει στον τελικό χρήστη. Αυτή η ιδιαιτερότητα του πρωτοκόλλου, οδηγεί στην αναζήτηση μηχανισμών πρόληψης του SPIT, κι όχι καταστολής. Ένας αποτελεσματικός μηχανισμός πρόληψης που μπορεί να χρησιμοποιηθεί για την αντιμετώπιση του SPIT, θα πρέπει να παρέχει τη δυνατότητα σε ένα διαχειριστή να ελέγχει τον τρόπο με τον οποίο τα μέρη που συμμετέχουν σε μία επικοινωνία λειτουργούν, ώστε αυτά να διαχειρίζονται τα μηνύματα και τις αιτήσεις που λαμβάνουν, με συγκεκριμένο και προκαθορισμένο τρόπο. Αυτός ο τρόπος συμπεριφοράς, που η αυστηρότητά του καθορίζεται από τις εκάστοτε ανάγκες και προτιμήσεις, είναι δυνατόν να υπαγορεύεται με την εφαρμογή πολιτικών στα μέρη της επικοινωνίας των οποίων η συμπεριφορά είναι επιθυμητό να ρυθμίζεται. Τέτοιες πολιτικές θα πρέπει να έχουν την ικανότητα να διαμορφώνονται ανάλογα με τη σημαντικότητα του σημείου εφαρμογής τους, το περιβάλλον το οποίο περιβάλλει την επικοινωνία, καθώς κι ένα πλήθος αστάθμητων παραγόντων, οι οποίοι και θα καθορίζουν, εν τέλει, την αυστηρότητα και το είδος της πολιτικής που θα εφαρμόζεται. Μία πολιτική μπορεί να βασίζεται σε μια σειρά χαρακτηριστικών, του πρωτοκόλλου SIP, στους μηχανισμούς που χρησιμοποιεί αυτό για να ταυτοποιεί τα επικοινωνούντα μέρη, στην πληροφορία που μπορεί να περιέχεται μέσα στα μηνύματα που ανταλλάσσονται ή και σε μηχανισμούς φήμης που χρησιμοποιούνται με επιτυχία για την αντιμετώπιση της ανεπιθύμητης αλληλογραφίας στο ηλεκτρονικό ταχυδρομείο. Προκειμένου η πολιτική που τελικά θα χρησιμοποιηθεί για την αντιμετώπιση του φαινομένου να ανταποκρίνεται στις ανάγκες του περιβάλλοντος, όπως αναφέρεται και παραπάνω, θα πρέπει, κατά τη δημιουργία της, να λαμβάνονται υπόψη οι παράμετροι που κάθε διαφορετικό περιβάλλον θέτει και απαιτεί. Βάσει αυτών των παραμέτρων θα καθορίζεται η αυστηρότητα ή η χαλαρότητα της πολιτικής που διαμορφώνεται. Με αυτόν τον τρόπο, διασφαλίζεται ότι η πολιτική που τελικά θα δημιουργηθεί τηρεί την αρχή της αναλογικότητας που είναι βασική στην ασφάλεια. Σκοπός της συγκεκριμένης εργασίας είναι να ορισθεί ένα πλαίσιο στο οποίο κάποιος θα μπορούσε να βασιστεί για να αναπτύξει μια πολιτική διαχείρισης του φαινομένου SPIT, η οποία να ταιριάζει απόλυτα στο περιβάλλον στο οποίο πραγματοποιείται η επικοινωνία που θέλει να προστατέψει. Η πολιτική που θα δημιουργηθεί, βάσει αυτού του πλαισίου, θα έχει τη δυνατότητα να ρυθμίζει επιμέρους χαρακτηριστικά του πρωτοκόλλου SIP, ώστε τα ίδια τα μέρη που συμμετέχουν στην επικοινωνία να καθοδηγούνται κατάλληλα προκειμένου να δρουν προληπτικά για την αντιμετώπιση διαφαινόμενων επιθέσεων SPIT. Η προληπτική δράση των μερών της επικοινωνίας αφορά την λειτουργία τους στα πλαίσια του πρωτοκόλλου, τον τρόπο δημιουργίας των μηνυμάτων που ανταλλάσσονται, αλλά και τον τρόπο με τον οποίο χειρίζονται τα μηνύματα αιτήσεων κι απαντήσεων που παραλαμβάνουν στα πλαίσια μιας διαπραγμάτευσης. Αρχικά, αποτυπώνεται μια σειρά προτεινόμενων κανόνων, που περιέχουν τις συνθήκες οι οποίες μπορεί να θεωρηθούν ως επικίνδυνες για την επικοινωνία, καθώς και ο τρόπος με τον οποίο θα πρέπει κάθε συμμετέχον μέρος να αντιδρά για να αντιμετωπίζει την επικινδυνότητα που δημιουργούν οι συνθήκες αυτές. Στη συνέχεια, παρέχεται ένα εργαλείο δημιουργίας πολιτικής που θα χρησιμοποιεί το πλαίσιο που ορίστηκε παραπάνω. Αυτό το εργαλείο θα αποτελεί το συντακτικό με το οποίο θα πρέπει να συμφωνεί ένα έγγραφο XML που θα αναπαριστά μια πολιτική αντιμετώπισης SPIT. Στο πρώτο μέρος αυτής της εργασίας διερευνάται το φαινόμενο της ανεπιθύμητης αλληλογραφίας στο ηλεκτρονικό ταχυδρομείο, η οποία είναι και η παραδοσιακή μορφή εκδήλωσης του φαινομένου spam. Η διερεύνηση αυτή έχει σκοπό να υποδείξει τους τρόπους και τις τεχνικές που χρησιμοποίησαν τόσο οι επιτιθέμενοι, όσο και οι «αμυνόμενοι» ιστορικά. Σε αυτό το μέρος της εργασίας αποτυπώνονται ιδιαίτερα χαρακτηριστικά του φαινομένου spam γενικά, αλλά και του spam στο ηλεκτρονικό ταχυδρομείο ειδικά, όπως και μια σύντομη ιστορική αναδρομή που καλύπτει την εξέλιξη του φαινομένου και των αντιμέτρων που έχουν ληφθεί για την αντιμετώπιση του. Στη συνέχεια περιγράφεται το φαινόμενο του spam στο VoIP και γίνεται μια προσπάθεια να εντοπιστούν ομοιότητες και διαφορές ανάμεσα στα δύο αυτά φαινόμενα. Από αυτή τη διερεύνηση γίνεται προφανές ότι τα δύο φαινόμενα εμφανίζουν πάρα πολλές ομοιότητες, αλλά τονίζονται και τα ιδιαίτερα χαρακτηριστικά του SPIT, τα οποία ορίζουν ποιες από τις γνωστές μεθόδους αντιμετώπισης SPAM μπορούν να χρησιμοποιηθούν για την αντιμετώπιση του φαινομένου και ποιες όχι.Στο δεύτερο μέρος της εργασίας πραγματοποιείται μια σύντομη περιγραφή του SIP, το οποίο είναι το κύριο πρωτόκολλο υλοποίησης υπηρεσιών VoIP. Η ανάλυση αυτή κρίθηκε επιβεβλημένη προκειμένου ο αναγνώστης να μπορεί να παρακολουθήσει όσα καταγράφονται στο τρίτο μέρος της εργασίας. Η ανάλυση περιστρέφεται γύρω από τον τρόπο λειτουργίας του πρωτοκόλλου συνολικά, τα μηνύματα που ανταλλάσσονται στη διάρκεια της διαπραγμάτευσης και την σημασία που έχουν ορισμένα από τα πεδία κεφαλίδας των μηνυμάτων αυτών. Στο τρίτο μέρος της εργασίας παρατίθενται τα ευρήματα της ενδελεχούς μελέτης του πρωτοκόλλου, που πραγματοποιήθηκε στα πλαίσια της παρούσης εργασίας. Τα ευρήματα αυτά αφορούν ασάφειες σε ορισμούς του πρωτοκόλλου και περιγραφές των μηχανισμών στους οποίους βασίζει τη λειτουργία του, που κρίθηκαν είτε ημιτελείς, είτε γενικόλογοι, αλλά σε κάθε περίπτωση επικίνδυνοι για την επικοινωνία, όσον αφορά την εμφάνιση του φαινομένου SPIT. Προκειμένου να εντοπιστούν αυτές οι ευπάθειες ακολουθείται μια διαδικασία 2 σταδίων. Στο πρώτο στάδιο εντοπίζονται και καταγράφονται ασάφειες και γενικότητες σε ορισμούς του πρωτοκόλλου, ενώ στο δεύτερο στάδιο καταγράφονται συγκεκριμένες απειλές που θα μπορούσαν να εκμεταλλευτούν αυτές τις ασάφειες, ώστε να οδηγήσουν σε επιθέσεις SPIT. Η διαδικασία αυτών των δύο σταδίων ήταν αναδρομική και επαναλήφθηκε όσες φορές χρειάστηκε προκειμένου να θεωρηθεί αρκετά επαρκής η κάλυψη του πρωτοκόλλου και να μπορεί κάποιος να ισχυριστεί ότι τα ευρήματα αυτά καλύπτουν, αν όχι το σύνολο, σίγουρα ένα μεγάλο μέρος των χαρακτηριστικών του πρωτοκόλλου, τα οποία μπορούν, με τον έναν ή τον άλλο τρόπο, να θεωρηθούν επικίνδυνα.Στη διάρκεια της αναδρομικής διαδικασίας που περιγράφηκε παραπάνω, προέκυψε ένα μεγάλο σύνολο ευπαθειών, από τις οποίες επιλέχθηκε να περιγραφεί και να χρησιμοποιηθεί στα επόμενα βήματα, ένα υποσύνολο το οποίο περιέχει ευπάθειες οι οποίες θα μπορούσαν να επιτρέψουν τη δημιουργία SPIT στην επικοινωνία. Η τάξη μεγέθους αυτού του υποσυνόλου ανέρχεται στον αριθμό των σαράντα (40) ευπαθειών, οι οποίες κατατάχθηκαν σε πέντε (5) κατηγορίες, και αντιστοιχούν στο σύνολο των απειλών που εντοπίστηκαν ως οι απειλές που θα μπορούσαν να εκμεταλλευτούν αυτές τις ευπάθειες. Κατά την ανάλυση των ευπαθειών του πρωτοκόλλου, γίνεται προσπάθεια να αιτιολογηθεί όσο το δυνατόν περισσότερο ο χαρακτηρισμός ενός ορισμού του πρωτοκόλλου σαν ευπάθεια. Αυτή η αιτιολόγηση περιλαμβάνει σενάρια επίθεσης, συνδυασμούς συνθηκών και οτιδήποτε βοηθά στο να γίνει προφανής ο τρόπος με τον οποίο κάθε ένα από αυτά τα χαρακτηριστικά μπορεί να χρησιμοποιηθεί στα πλαίσια μιας επίθεσης SPIT. Σε αυτό το μέρος της εργασίας, επίσης προτείνονται παρεμβάσεις που μπορούν να γίνουν στο πρωτόκολλο ή στον τρόπο συμπεριφοράς των μερών του, ώστε να εξαλειφθούν οι πιθανότητες εκμετάλλευσης της κάθε ευπάθειας. Οι παρεμβάσεις αυτές περιλαμβάνουν συγκεκριμένες προτάσεις αντιμέτρων, τα οποία προτείνεται να εφαρμόζονται σε συγκεκριμένα μέρη της επικοινωνίας. Για κάθε μια από τις ευπάθειες που αναφέρονται δεν παρατίθεται μια συγκεκριμένη και αυστηρή σειρά αντιμέτρων, παρά ένα σύνολο προτεινόμενων ορισμών, οι οποίοι μπορούν να βοηθήσουν στην αντιμετώπιση του φαινομένου, μέσω της ρύθμισης της συμπεριφοράς ενός συγκεκριμένου μέρους της επικοινωνίας. Τα μέρη της επικοινωνίας στα οποία προτείνονται παρεμβάσεις καλύπτουν όλο το μήκος της, από την συσκευή του καλούντα, τους ενδιάμεσους εξυπηρετητές, μέχρι και την συσκευή του καλούμενου. Με τον τρόπο αυτό μπορεί να γίνει ξεκάθαρος ο συνιστώμενος τρόπος αντιμετώπισης μιας ευπάθειας, αφού αναφέρεται το που και το πώς θα πρέπει ο αμυνόμενος να δρα, προκειμένου να επιτυγχάνεται η αντιμετώπισή της.Στο τέταρτο μέρος της εργασίας, γίνεται προσπάθεια να συγκεντρωθούν όλα τα αποτελέσματα της παραπάνω μελέτης και να εκφραστούν σε μία μορφή που να είναι συμβατή με το μοντέλο έκφρασης πολιτικών, το οποίο περιέχει κανόνες της μορφής condition - action. Για να επιτευχθεί αυτή η συμβατότητα με αυτόν τον τρόπο έκφρασης, κάθε απειλή περιγράφεται ως Condition, δηλαδή σαν μια κατάσταση που χρήζει αντιμετώπισης. Οι ενέργειες αντιμετώπισης της κατάστασης περιγράφονται επίσης κατάλληλα, και σύμφωνα με τα όσα αναφέρονται στο τρίτο μέρος της εργασίας. Προκειμένου να υποδειχθεί το ακριβές σημείο της εφαρμογής αυτών των κανόνων, αρχικά χωρίζεται η επικοινωνία σε τρία διακριτά μέρη. Τα μέρη αυτά αναφέρονται στα στάδια που περνά σε μια ιδεατή τοπολογία ένα μήνυμα και περιέχουν το σημείο από τη συσκευή του καλούντα μέχρι τον domain proxy του καλούντα, το σημείο ανάμεσα στον domain proxy του καλούνται και τον domain proxy του καλούμενου και το σημείο ανάμεσα στον domain proxy του καλούμενου και τη συσκευή του καλούμενου. Μετά το διαχωρισμό της επικοινωνίας σε αυτά τα μέρη, το σύνολο των ευπαθειών και των αντιμέτρων που προτείνονται στο προηγούμενο μέρος της εργασίας περιγράφονται με τη μορφή κανόνων και κατατάσσονται σε ένα ή περισσότερα από τα μέρη στα οποία χωρίστηκε η επικοινωνία. Η διαδικασία αυτή κατέληξε να έχει τη μορφή τριών διακριτών πινάκων, εκ των οποίων κάθε πίνακας αναφέρεται σε ένα από τα τρία στάδια της επικοινωνίας. Ο πίνακας ευπαθειών που αφορά στο πρώτο μέρος της επικοινωνίας περιέχει 42 conditions και συνολικά 144 προτεινόμενα αντίμετρα, στο δεύτερο μέρος της επικοινωνίας περιέχονται καταγράφονται 19 conditions και προτείνονται 50 εναλλακτικές ενέργειες και στο τρίτο και τελευταίο μέρος της επικοινωνίας αφορούν 37 conditions και 114 εναλλακτικές ενέργειες αντιμετώπισης. Στο πέμπτο και τελευταίο μέρος της εργασίας αναπαριστάται με δομημένο τρόπο το πλαίσιο πολιτικής ως το αποτέλεσμα των τεσσάρων προηγούμενων σταδίων. Η δομημένη αναπαράσταση έχει τη μορφή ενός σχήματος XML, εκφρασμένο σύμφωνα με το πρότυπο XSD του W3C. Αυτό το σχήμα κατασκευάστηκε ώστε να έχει την εκφραστική δυνατότητα να αναπαραστήσει όλους ανεξαιρέτως τους οριζόμενους κανόνες. Αποτελεί ένα αρκετά ευέλικτο σχήμα που παρέχει τη δυνατότητα σε όποιον το χρησιμοποιεί να δημιουργεί συνθέσεις κανόνων και συνθηκών, αλλά και να επιλέγει υποσύνολα ή και υπερσύνολα των προτεινόμενων αντιμέτρων, κάνοντας κατάλληλη χρήση του συντακτικού όταν παραχθεί το τελικό έγγραφο XML.Εν κατακλείδι, τα βασικά στοιχεία της παρούσας διπλωματικής εργασίας είναι τα εξής: • Μέσα από την εκτενή ανάλυση του πρωτοκόλλου προέκυψαν νέες ευπάθειές του, οι οποίες δεν είχαν εντοπιστεί σε παλαιότερες εργασίες που είχαν τον ίδιο στόχο.• Αναγνωρίστηκαν και καταγράφηκαν συγκεκριμένες απειλές που αντιμετωπίζει η επικοινωνία με τη χρήση του SIP, όσον αφορά το SPIT• Δημιουργήθηκαν συγκεκριμένα σενάρια εκμετάλλευσης αδυναμιών του πρωτοκόλλου από τις απειλές που αναφέρθηκαν παραπάνω και περιγράφηκε πώς αυτός ο συνδυασμός καταλήγει σε επιθέσεις spit.• Προτάθηκε ένα σύνολο αντιμέτρων για κάθε μια από τις ευπάθειες που εμφανίστηκε.• Εκφράστηκαν όλα τα παραπάνω συγκεντρωτικά με τη μορφή ενός συνόλου κανόνων που περιέχουν προτεινόμενα κι όχι αυστηρά ορισμένα αντίμετρα, προκειμένου οι κανόνες αυτοί να είναι εφαρμόσιμοι σε διαφορετικά περιβάλλοντα.• Δημιουργήθηκε ένας τρόπος παραγωγής δομημένης αναπαράστασης του συνόλου των προτεινόμενων κανόνων, με τη χρήση της γλώσσας XML.Σε συνέχεια της συγκεκριμένης εργασίας, υπάρχει μια σειρά επόμενων βημάτων που μπορεί να ακολουθήσουν. Ένα τέτοιο μπορεί να είναι η δημιουργία συγκεκριμένων πολιτικών που θα εξαρτώνται από το επίπεδο ασφαλείας που θα επιλεχθεί ή από ένα υποθετικό περιβάλλον το οποίο θα περιγραφεί πριν τη δημιουργία της πολιτικής. Επίσης, χρήσιμη θα ήταν και η συνέχιση αυτού του τρόπου εργασίας για να καλυφθούν και οι επεκτάσεις που έγιναν στο πρωτόκολλο, ώστε να καλυφθούν επιπλέον καταστάσεις. Τέλος, επειδή αυτή η δουλειά είναι σε μεγάλο βαθμό πρωτότυπη, απαιτείται να ερευνηθεί πως θα μπορούσε να χρησιμοποιηθεί στα πλαίσια γενικότερης αντιμετώπισης του φαινομένου και πως θα μπορούσε να συνδυασθεί με άλλες παρόμοιες λύσεις αντιμετώπισης του φαινομένου SPIT. Voice over IP (VoIP) is a key enabling technology, which provides new ways of communication. VoIP infrastructures take advantage of existing data networks to provide inexpensive voice communications worldwide as a promising alternative to the traditional telephone service. Nevertheless, the use of Internet as VoIP infrastructure, in addition to the vulnerabilities of SIP, which is the main protocol used for VoIP, makes the new technology to be vulnerable against a number of threats. One of these threats is the phenomenon of spam in Internet telephony (SPIT). SPIT is not only one of the most dangerous and important foreseeing threats, but it also undermines the growth of VoIP services and the reduction of the true added value that these services can provide.SPIT’s impact on the end users is expected to be more important and observable than the impact that email spam had in the past, as the ways that this phenomenon is realized are more annoying and aggressive at their final form. In the case of email, which is a mechanism of message storing and forwarding mechanism allows the use of control and filtering mechanisms that cover the communication as a whole, before the information reaches the end user. On the contrary, SIP handles real time communication, which means that the transmitted information can’t be fed to filtering mechanisms, before it reaches the end users. All the above, makes clear that in order to deal with the phenomenon of SPIT, the only countermeasures that can be used are proactive countermeasures.An effective and proactive way that can be used in dealing with SPIT, must be able to provide an administrator with the means to control how the participating elements are operating, so they will be able to handle requests and responses in a predefined way. The strictness that will characterize this behavior will be defined by the needs and preferences of each environment can be adjusted with the use of a policy that applies and affects each element that participates in the communication. Such policies must have the ability to be modified, depending on the importance of each element, the environment inside which the communication is taking place and a growing number of factors that defines, in the end of the day, the harshness and the kind of policy that will be applied. A policy can be based on a set of characteristics of SIP, on mechanisms that the protocol uses to identify all participants, the information that can be contained in the messages that are being exchanged or in reputation mechanisms that are used successfully in facing email spam. As mentioned above, the policy that will be used for dealing SPIT must be able to meet the needs of the environment, so during its development, a number of different parameters must be taken into consideration. The strictness or softness of the policy will be based on these parameters. Following this tactic, we can assure that the policy that will be developed will provide the security level that is needed for each environment.The purpose of this master thesis is to define a framework which could be used by anyone who wants to develop a anti SPIT policy, which will be in absolute justification with security needs of the environment that it will protect. The policy that will be developed based on this framework, will be able to configure protocol characteristics, so the participating elements will be guided to act proactively against foreseeing SPIT attacks. The proactive action of the elements considers their function during implementing what the protocol defines, the way that the request and response messages are created and the way that they handle these messages, during the negotiation and the communication. At the first step, a set of suggested rules is created. Each rule contains conditions which can be considered as dangerous for the communication and a actions that each element do in response of the conditions mentioned, in order to deal with the risk that these conditions create. Finally, a new policy creation tool is developed. This tool uses the policy creation framework that was created and dictates the schema that an XML file should follow, in order to represent a policy that was created based on this framework.In the first part of this work, a research on email spam is conducted. The purpose of this research is to indicate the ways and techniques that the attackers and the defenders used through time. In this part of the work, certain spam features of SPAM are mentioned, together with a short historical reference that covers the progress of this phenomenon and the countermeasures that were developed to face it. Following, there is a brief reference of SPAM in VoIP technologies. During this reference, similarities and differences between the two phenomena are indicated and it is becoming obvious that SPIT and email SPAM have a lot of common characteristics, and that SPIT itself has special differentiators which forbid the use of some countermeasures used in dealing with email spam in the past.In the second part of the current work, there is a brief description of SIP, which is the main protocol that is used for implementing VoIP services. This analysis was mandatory in order for the reader to be able to keep track with everything that follows in the third part of this work. The analysis of the protocol deals with the way that it operates, the messages that are being transferred during the negotiation and the meaning of some of the header fields that are contained in these messages.In the third part of this work, the findings of an exhaustive research on SIP are exposed. These findings are about generalities in some definitions of the protocol and descriptions of the mechanisms upon which the protocol is based to offer the needed functionality. The verbalization of these mechanisms and definitions was judged either incomplete, or too general, and in any case they were considered dangerous for the communication regarding SPIT. In order to find these vulnerabilities of the protocol, a two stage recursive process was followed. In the first stage, all generalities and fuzzy definitions were tracked and written down, while in the second stage a number of threats that could exploit these general and fuzzy definitions were spotted. This process was recursive and was repeated as many times were necessary, so the protocol can be covered in a satisfactory level, and allow us to claim that the majority of the dangerous characteristics of the protocol were discovered during this process.In the end of this recursive procedure, we had a big tank of vulnerabilities, from which we selected to use and describe a subset that contains vulnerabilities which could allow the appearance of SPIT in the communication. The vulnerabilities that were discovered were forty (40) and they were categorized in to five (5) major categories, which correspond to the threats that can exploit each vulnerability and result to SPIT attacks.During the description and analysis of each one of the vulnerabilities found, there is an effort to rationalize the characterization of a protocol definition as vulnerability. This rationalization is performed via possible attack scenarios, combination of conditions and everything that can indicate the way that each one of these characteristics can be used in a SPIT attack. Also, in this part of the report, several suggestions are made, regarding interventions in the protocol and the way the elements act. The purpose of these interventions is to assure that these vulnerabilities will not be exploited. This can be done by suggesting certain countermeasures, which can apply in certain parts of the communication, to succeed the wanted target.For each one of the vulnerabilities mentioned above, there is no strictly defined series of countermeasures. Instead, a set of suggested definition is suggested. These definitions can assist in dealing with SPIT, through adjusting the behavior of a certain element that is examined separately. The elements that the interventions concern, cover whole communication, starting from the device of the caller, to the servers that stand in the middle of the communication and the device of the callee. In this way, the way we can use to deal vulnerability is more obvious, because it is clearly mentioned where and how the defender should act, in order to face this vulnerability.In the fourth part of this work, the results of the research that was conducted were collected and they were expressed in a form that is more consistent with the policy expression model which consists of rules of the form “condition – action”. In order to be compatible with this way of expressing policies, each threat is described as a Condition, which is a situation that is dangerous and needs to be dealt. The actions that need to be taken to deal with this situation are described properly, and accordingly to what is mentioned in the third part of this report. In order for the exact point of enforcement of these rules to be more distinctive, initially, the communication was divided in three separate parts. These parts refer to the stages that a message goes through in a virtual topology and contain the part that starts at the caller’s device and ends at the domain proxy of the caller, the part that is between the domain proxy of the caller and the domain proxy of the callee, and the part that starts at the domain proxy of the callee and ends at the device of the callee. After the segregation of the communication in these parts, the set of the vulnerabilities that were suggested in the previous part is described in the form of rules and are classified in one or more segments of the communication. The result of this procedure was three arrays, each one of which refers to one of the three segments of the communication. The array of rules that refers to the first part of the communication contains 42 conditions and 144 suggested countermeasures in total, in the second part of the communication there were recorded 19 conditions and 50 alternative actions, while in the third part of the communication the conditions were 37 and the countermeasures were 114. In the fifth and final part of this work, we provided a formal way to express the policy creation framework that was described in the rest of the report. The formal representation has the form of an XML Schema, expressed according to the XSD standard of W3C. This schema was constructed as to have the expressive ability to describe all the defined rules that were mentioned before. It is a quite flexible schema that offers the ability to whom wants to use it, to create combinations of conditions and actions, and to select subsets or supersets of the suggested countermeasures. This way, the XML document that will be used to represent the policy selected by each administrator, will be fully compatible with the policy framework that was constructed.Finally, the fundamental points of this master thesis are the following:Through thorough analysis of the protocol, new vulnerabilities were found. These vulnerabilities have not been noticed in previous works that had this target.Specific SPIT threats that SIP faces were recognizedAttack scenarios were created. These scenarios indicate the way that threats take advantage of the vulnerabilities found and result to SPIT attacksA set of countermeasures was suggested for each vulnerability that was indicatedAll the above points were expressed in a concentrated form. This form was a set of rules that contains specific but not obligatory countermeasures. This tactic was selected to give the ability for these rules to be applicable to different environments with different security needs.A way to produce a formal representation of the rule set was created. This way makes use of XML and the XML Schema format XSD.Following to this work, there is a series of steps that can follow, in order to expand it. One of these steps could be the creation of specific policies that will be able to provide a certain level of assurance, or will depend on a certain environment that will be described prior to developing the final form of the policy. Also, another way to continue this work is to expand it to cover the expansions that were suggested to the protocol, in order to cover the risky conditions that these expansions create. Finally, this work could be used in combination to other anti spit solutions to create a total solution of facing SPIT and a research on how this work can connect to other policy mechanisms or any other anti SPIT mechanism, will be extremely interesting and promising.
|
---|