SPIT: Spam over Internet Telephony. Stelios Dritsas

Transcript

1 SPIT: Spam over Internet Telephony Stelios Dritsas September 2008

2 ΟΙΚΟΝΟΜΙΚΟ ΠΑΝΕΠΙΣΤΗΜΙΟ ΑΘΗΝΩΝ ΤΜΗΜΑ ΠΛΗΡΟΦΟΡΙΚΗΣ ΔΙΑΤΡΙΒΗ για την απόκτηση Διδακτορικού Διπλώματος του Τμήματος Πληροφορικής Στέλιου Δρίτσα Ασφάλεια στη Διαδικτυακή Τηλεφωνία: Διαχείριση Περιστατικών SPIT (Spam over Internet Telephony) Εξεταστική Επιτροπή: Συμβουλευτική Επιτροπή: Επιβλέπων: Δημήτρης Γκρίτζαλης, Αναπληρωτής Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Μέλη: Σωκράτης Κάτσικας, Καθηγητής Πανεπιστήμιο Πειραιώς Κώστας Λαμπρινουδάκης, Επίκουρος Καθηγητής Πανεπιστήμιο Αιγαίου Δημήτρης Γκρίτζαλης, Αναπληρωτής Καθηγητής, Πρόεδρος Οικονομικό Πανεπιστήμιο Αθηνών Θεόδωρος Αποστολόπουλος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Σωκράτης Κάτσικας, Καθηγητής Πανεπιστήμιο Πειραιώς Πάνος Κωνσταντόπουλος, Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Νικόλαος Μήτρου, Καθηγητής Εθνικό Μετσόβειο Πολυτεχνείο Αθηνών Ίων Ανδρουτσόπουλος, Επίκουρος Καθηγητής Οικονομικό Πανεπιστήμιο Αθηνών Αθήνα, Σεπτέμβριος 2008 Κώστας Λαμπρινουδάκης, Επίκουρος Καθηγητής Πανεπιστήμιο Αιγαίου

3 "Η έγκριση διδακτορικής διατριβής υπό του Τμήματος Πληροφορικής του Οικονομικού Πανεπιστημίου Αθηνών δεν υποδηλοί αποδοχή των γνωμών του συγγραφέως". (Ν. 5343/ 1932, αρθρ. 202) Οικονομικό Πανεπιστήμιο Αθηνών 3

4 ΠΡΟΛΟΓΟΣ ΕΥΧΑΡΙΣΤΙΕΣ Με το πέρας μιας ερευνητικής προσπάθειας, της οποία η συγγραφή αποτελεί το επιστέγασμα της όλης πορείας, ολοκληρώνεται, συνήθως, ένα μακρύ, επίπονο, και θέλω να ελπίζω δημιουργικό ταξίδι. Σε αυτό το μακρύ δρόμο οι εμπειρίες που αποκομίστηκαν ήταν ιδιαίτερα σημαντικές - άλλοτε θετικές και άλλοτε αρνητικές. Στο πλαίσιο αυτό, θα ήθελα να ευχαριστήσω τους συναδέλφους και φίλους, που υποστήριξαν, βοήθησαν και συμμετείχαν ο καθένας με τον τρόπο του στην όλη προσπάθεια. Πρώτα και κύρια, εκφράζω τις θερμές ευχαριστίες μου στον επιβλέποντα καθηγητή μου κ. Δημήτρη Γκρίτζαλη για την εμπιστοσύνη και τη συνεχή του στήριξή του όλα αυτά τα χρόνια. Πέρα από τις πολύτιμες γνώσεις και εμπειρίες, σχετικά με τα ζητήματα Ασφάλειας των Πληροφοριακών και Επικοινωνιακών Συστημάτων, το σημαντικότερο στοιχείο που αποκόμισα, όλα τα χρόνια της συνεργασίας, μας είναι ότι με έμαθε να βλέπω τη ζωή υπό διαφορετικό πρίσμα, να σκέφτομαι πάντα θετικά και το κυριότερο να στηρίζομαι στις δυνάμεις μου αυτενεργώντας και παίρνοντας πρωτοβουλίες, έστω και αν κάποιες από αυτές είχαν ιδιαίτερο ρίσκο. Στη μεταξύ μας σχέση, ειλικρινά με εκφράζει το εξής απόσπασμα: What the teacher is, is more important than what he teaches (Κ. Menninger). Η διακριτική στήριξη των μελών της Τριμελούς Επιτροπής παρακολούθησης της διατριβής, του Καθηγητή κ. Σωκράτη Κάτσικα και του Επίκουρου Καθηγητή κ. Κώστα Λαμπρινουδάκη, κυρίως, σε θέματα ερευνητικών κατευθύνσεων της διατριβής ήταν πολύτιμη και διαρκής. Επιπρόσθετα, θα ήθελα να ευχαριστήσω τον καθηγητή κ. Πάνο Κωνσταντόπουλο, για την ουσιαστική του βοήθεια σε ένα σημαντικό κομμάτι της παρούσας διατριβής. Από τον μακρύ κατάλογο των συναδέλφων και φίλων, που επηρέασαν την έκβαση της εργασίας αυτής δε θα μπορούσα να εξαιρέσω τα μέλη της ερευνητικής ομάδας της Ασφάλειας Πληροφοριών και Προστασίας Κρίσιμων Υποδομών του Οικονομικού Πανεπιστημίου. Ειδική μνεία γίνεται στους Βασίλη Τσούμα, Γιάννη Μάλλιο Βίκη Ντρίτσου Μαριάνθη Θεοχαρίδου και Γιάννη Σουπιώνη με τους οποίους η συνεργασία μας, όλα αυτά τα χρόνια, με επηρέασαν βαθιά, τόσο σε ερευνητικό και συνεργατικό όσο και φιλικό επίπεδο. Οι συζητήσεις μας ήταν πλούσιες και εποικοδομητικές, ενισχύοντας σε μεγάλο βαθμό τη μεταξύ μας συνέργεια. Περαιτέρω, θα ήθελα να ευχαριστήσω τους μεταπτυχιακούς και προπτυχιακούς φοιτητές με τους οποίους συνεργάστηκα και αρκετά τμήματα της διατριβής συν-υλοποιήθηκαν. Παράλληλα, θα ήθελα να ευχαριστήσω την οικογένειά μου για τα όσα μου έχουν προσφέρει μέχρι σήμερα, ο καθένας από τη δική του πλευρά και με τις δικές του δυνατότητες καθώς και τη σύντροφό μου, Φαλιά, για την αγάπη, και, κυρίως, την υπομονή και ανοχή της καθ όλη τη διάρκεια της ερευνητικής μου προσπάθειας. Τέλος, θα ήθελα να ευχαριστήσω το φίλο Χρήστο Μ., κυρίως λόγω του ότι μέσω των μεταξύ μας συζητήσεων, διαφωνιών και αστείων αλληλο-βοηθηθήκαμε σε διάφορους τομείς της ζωής και καθημερινότητάς μας. Οικονομικό Πανεπιστήμιο Αθηνών 4

5 Στην οικογένεια μου. Life does not put things in front of you that you are unable to handle Anonymous Οικονομικό Πανεπιστήμιο Αθηνών 5

6 ΠΙΝΑΚΑΣ ΠΕΡΙΕΧΟΜΕΝΩΝ ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ 14 ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΕΙΚΟΝΩΝ 16 1 Εισαγωγή Ψηφιακές Επικοινωνίες: Η Εξέλιξη της Τηλεφωνίας Αφορμή και Κίνητρα για την Παρούσα Έρευνα Αντικείμενο και Σκοπός Διατριβής Δομή Διατριβής Συνοπτική Περιγραφή Κεφαλαίων Συμβολή της Παρούσης Διατριβής Ανάλυση Αδυναμιών Πρωτοκόλλου SIP Αξιολόγηση και Αποτίμηση Αδυναμιών Κριτήρια Ανίχνευσης Δένδρα Επιθέσεων SPIT Γράφος Επιθέσεων SPIT Οντολογία Διαχείρισης SPIT Αρχιτεκτονική Διαχείρισης SPIT βασιζόμενη σε Πολιτικές anti-spit Βασική Πολιτική anti-spit 27 2 Τεχνολογία VoIP Πρωτόκολλο SIP Εισαγωγή VoIP: Σύγκλιση Δικτύων Δεδομένων και Φωνής VoIP: Η κατάσταση σήμερα Τεχνολογίες VoIP Βασικές αρχιτεκτονικές VoIP IP centric IP Enabled Λειτουργικά Ζητήματα Απλότητα και ευκολία χρήσης (Usability) Αξιοπιστία (Reliability) Ποιότητα Υπηρεσιών (Quality of Service) Καθυστέρηση (Delay) Διακύμανση (Jitter) Αντήχηση (Echo) Απώλεια Πακέτων (Packet Loss) Κλιμάκωση (Scalability) Διαλειτουργικότητα Ασφάλεια Ρυθμιστικό και κανονιστικό πλαίσιο (Laws and Regulations) Πλεονεκτήματα και Μειονεκτήματα τεχνολογίας VoIP Πλεονεκτήματα τεχνολογίας VoIP Μειονεκτήματα τεχνολογίας VoIP 38 Οικονομικό Πανεπιστήμιο Αθηνών 6

7 2.2.6 Πρωτόκολλα VoIP Πρωτόκολλα Σηματοδοσίας Πρωτόκολλο H Πρωτόκολλο SIP Σύγκριση Πρωτοκόλλων Η.323 και SIP Πρωτόκολλα Μεταφοράς Περιεχομένου Πρωτόκολλο RTP Πρωτόκολλο RTCP Το Πρωτόκολλο SIP Σηματοδοσία και εγκαθίδρυση συνόδου στο SIP Οι βασικές οντότητες του SIP Αντιπρόσωποι χρήστη SIP Αντιπρόσωποι Παρουσίας Back-to-Back Αντιπρόσωποι Χρήστη (B2BUAs) Πύλες SIP (SIP Gateways) Πληρεξούσιοι εξυπηρετητές (Proxy servers) Εξυπηρετητές επανακατεύθυνσης (Redirection servers) Εξυπηρετητές εγγραφής (Registrar servers) Εξυπηρετητές τοποθεσίας (Location servers) Ανάλυση Πρωτοκόλλου SIP Μορφή μηνυμάτων SIP Οι επικεφαλίδες των μηνυμάτων SIP Εγκατάσταση κλήσης με χρήση του πρωτοκόλλου SIP - Τραπέζιο SIP Σύνοψη 58 3 Ασφάλεια VoIP Υποδομών. Ορισμός και Επισκόπηση του SPIT Εισαγωγή Ασφάλεια Πληροφοριακών Συστημάτων Το ζήτημα της Ασφάλειας των ΠΕΣ Η έννοια της Ασφάλειας Βασικές ιδιότητες και χαρακτηριστικά της Ασφάλειας ΠΣ Ασφάλεια και Συναφείς Έννοιες Ασφάλεια στο VoIP Αδυναμίες και Απειλές της τεχνολογίας VoIP Παραποίηση στοιχείων Κλοπή υπηρεσιών Ανεπιθύμητη επικοινωνία Παρακολούθηση Επικοινωνιών Υποκλοπή και τροποποίηση επικοινωνιών Κατάχρηση Υπηρεσιών Ηθελημένη Διακοπή Παροχής Υπηρεσιών Επιθέσεις Άρνησης Παροχής Υπηρεσιών Φυσική Εισβολή Απώλεια Ηλεκτρικού Ρεύματος Εξάντληση Πόρων 71 Οικονομικό Πανεπιστήμιο Αθηνών 7

8 Διακύμανση απόδοσης Συνολική Εικόνα Γενικές Συστάσεις Διασφάλισης Υποδομών VoIP Ασφάλεια στο SIP Μηχανισμοί Ασφάλειας του SIP Βασικός Μηχανισμός Αυθεντικοποίησης HTTP digest authentication Πρωτόκολλο IPSec Πρωτόκολλο TLS Μηχανισμός S/MIME Σχήμα SIPS-URI Αξιολόγηση Μηχανισμών Ασφάλειας του SIP Ορισμός και Επισκόπηση του SPIT Η Απειλή του SPAM SPAM: Τρέχουσα Κατάσταση και Εξέλιξη Το Φαινόμενο SPIT Μορφές του SPIT Προσεγγίσεις στη Διαχείριση του SPIT Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση Μεθοδολογική προσέγγιση Σύνοψη 88 4 Παρουσίαση και Αξιολόγηση Προσεγγίσεων Αντιμετώπισης SPIT Εισαγωγή Δυσκολία χρήσης μηχανισμών anti-spam στο περιβάλλον του SPIT Τεχνικές antispam που έχουν Yιοθετηθεί για την Aντιμετώπιση του SPIT Λίστες Έλεγχος Περιεχομένου Μέθοδοι ελέγχου περιεχομένου για την ανίχνευση SPAM μηνυμάτων Συναινετική Επικοινωνία Παραποίηση Διεύθυνσης Διευθύνσεις Περιορισμένης Χρήσης Τεχνικές Πρόκλησης - Απόκρισης Περιγραφή και κατηγοριοποίηση των CAPTCHAs Χαρακτηριστικά επιλογής κατάλληλου τύπου CAPTCHA Χρήση CAPTCHAs για την αντιμετώπιση του SPIT Τεχνικές βασιζόμενες στο κόστος Τεχνικές κόστους με χρηματικό ποσό Τεχνικές κόστους χωρίς χρηματικό ποσό Εφαρμογή τεχνικών κοστολόγησης στο SPIT Τεχνικές βασιζόμενες σε Συστήματα Φήμης Εμπιστοσύνη και Φήμη Συστήματα φήμης Συστήματα Φήμης και SPIT 107 Οικονομικό Πανεπιστήμιο Αθηνών 8

9 4.3.9 Σύνοψη Τεχνικών Αντιμετώπισης του SPIT Μηχανισμοί Αντιμετώπισης του SPIT Ανώνυμες Αρχές Πιστοποίησης Αντιμετώπιση SPIT με χρήση anti-spit Δικτυακής Οντότητας Σύστημα DAPES Ανίχνευση SPIT με τεχνικές βασιζόμενες στη φήμη και στο κόστος Progressive Multi Gray-Leveling Αντιμετώπιση SPIT με χρήση βιομετρικών χαρακτηριστικών SIP SAML Διαφοροποιούμενο SIP Σύστημα Ανίχνευσης SPAM Φωνής VoIP SEAL RFC Αξιολόγηση Τεχνικών και Μηχανισμών anti-spit Πλεονεκτήματα και Mειονεκτήματα Tεχνικών anti-spit Ταξινόμηση Μηχανισμών Κριτήρια Αξιολόγησης μηχανισμών anti-spit Σύνοψη Ανάλυση Απειλών και Αδυναμιών Πρωτοκόλλου SIP Εισαγωγή Το πρωτόκολλο SIP και το SPIT Εννοιολογικό και Θεωρητικό Υπόβαθρο Απειλή SPIT Αδυναμία SPIT Επίθεση SPIT Μέτρο anti-spit Σύνδεση Όρων Μεθοδολογία Εύρεσης Αδυναμιών και Απειλών Αδυναμίες Πρωτοκόλλου SIP Εγγενείς αδυναμίες του πρωτοκόλλου Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Listening to a multicast address Αποκάλυψη Ενεργών Διευθύνσεων Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Αποστολή μηνυμάτων σε multicast διευθύνσεις Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Εκμετάλλευση της δομής των μηνυμάτων και των επικεφαλίδων Μηνύματα αιτήσεων Μηνύματα αποκρίσεων Πεδία Επικεφαλίδας Μηνυμάτων 149 Οικονομικό Πανεπιστήμιο Αθηνών 9

10 5.5.2 Αδυναμίες οφειλόμενες στις προαιρετικές συστάσεις του πρωτοκόλλου Εκμετάλλευση εξυπηρετητών εγγραφής Προαιρετική εφαρμογή μηχανισμών ασφαλείας Μη υλοποίηση βασικών μηχανισμών ασφάλειας στο SIP Έλλειψη αυθεντικοποίησης στον εξυπηρετητή εγγραφών Έλλειψη αυθεντικοποίησης για την επεξεργασία μηνυμάτων αιτήσεων Δυνατότητα χρήσης ταυτότητας Anonymous στην αυθεντικοποίηση Ζητήματα αυθεντικοποίησης μεταξύ των ενδιάμεσων εξυπηρετητών Ελλιπής διαχείριση ψηφιακών πιστοποιητικών Έλλειψη μηχανισμών ασφαλείας σε peer-to-peer επικοινωνία Αδυναμίες οφειλόμενες σε ζητήματα διαλειτουργικότητας του SIP Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Αδυναμίες οφειλόμενες σε γενικές αδυναμίες ασφάλειας Παρακολούθηση κυκλοφορίας κοντά σε εξυπηρετητή SIP Ανίχνευση των γνωστών θυρών του SIP Πληρεξούσιος Εξυπηρετητής στο μέσον (Proxy-in-the-middle) Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Σύνοψη Αδυναμιών Αξιολόγηση και Αποτίμηση Αδυναμιών Μέθοδος Αποτίμησης Αδυναμιών Αποτίμηση Εγγενών Αδυναμιών Πρωτοκόλλου SIP Αποτίμηση Αδυναμιών οφειλόμενων στις προαιρετικές συστάσεις του SIP Αποτίμηση Αδυναμιών οφειλόμενων σε Ζητήματα Διαλειτουργικότητας του SIP Αποτίμηση Αδυναμιών οφειλόμενων σε γενικά Ζητήματα Ασφάλειας Αποτελέσματα Αξιολόγησης Αξιολόγηση Αποτελεσματικότητας Μηχανισμών anti-spit Σύνοψη Ανίχνευση και Ταυτοποίηση SPIT Επιθέσεων Εισαγωγή Περιγραφή Προσέγγισης Πρόληψη Επιθέσεων SPIT Ανίχνευση Επιθέσεων SPIT Αντίδραση σε Επιθέσεις SPIT Κριτήρια Ανίχνευσης SPIT Επιθέσεων Κριτήρια Ελέγχου Ιδιοτήτων Καλούντα/Αποστολέα Κριτήρια Ελέγχου Χαρακτηριστικών και Ιδιοτήτων Μηνυμάτων SIP Κριτήρια Σημασιολογικού Ελέγχου Επικεφαλίδων SIP Μηνυμάτων Ζητήματα Εφαρμογής και Υιοθέτησης Κριτηρίων Σημείο Εφαρμογής SPIT Κριτηρίων Προτεραιότητα Εφαρμογής Κριτηρίων Υιοθέτηση Κριτηρίων από τους Μηχανισμούς anti-spit Υλοποίηση Κριτηρίων 184 Οικονομικό Πανεπιστήμιο Αθηνών 10

11 6.5.1 Υλοποίηση με χρήση αρχείου διαμόρφωσης του SER Υλοποίηση με χρήση βάσης δεδομένων Σύγκριση Υλοποιήσεων Κριτηρίων Θεωρητικό Πλαίσιο Μοντελοποίησης Επιθέσεων SPIT Μοντελοποίηση Επιθέσεων Δένδρα Επιθέσεων Γράφοι επιθέσεων Σχέση Δέντρων και Γράφων Επιθέσεων Μοντελοποίηση Επιθέσεων SPIT βασιζόμενων στο Πρωτόκολλο SIP Στρατηγική Επιθέσεων SPIT Δέντρα Επιθέσεων SPIT Μέθοδος εργασίας Δημιουργία Δένδρων Επιθέσεων SPIT Κόμβος 1: Εύρεση και συλλογή διευθύνσεων χρηστών Κόμβος 2: Μαζική αποστολή μηνυμάτων Κόμβος 3: Επιθέσεις Eνδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Κόμβος 4: Μεγιστοποίηση Κέρδους Κόμβος 5: Απόκρυψη Ταυτότητας κατά τη Φάση Εγκατάστασης Κόμβος 6: Απόκρυψη Ταυτότητας κατά τη Φάση Αποστολής των Μηνυμάτων SPIT Κόμβος 7: Ενσωμάτωση SPIT σε Μηνύματα SIP Δημιουργία Γράφου Επιθέσεων SPIT Μη συσχετιζόμενες επιθέσεις Αμφίδρομες σχέσεις Μονόδρομες σχέσεις Πρότυπα και Σενάρια Επιθέσεων SPIT Σύνοψη ontospit: Οντολογία Διαχείρισης SPIT Εισαγωγή Θεωρητικό Yπόβαθρο Αναπαράσταση Γνώσης Σημασιολογικός Ιστός Σημασιολογικός Ιστός και Οντολογίες Οντολογίες Μεθοδολογίες και εργαλεία ανάπτυξης οντολογιών Χρήση Οντολογιών στο χώρο του SPIT Υπάρχουσες Προσεγγίσεις Εννοιολογικό Μοντέλο Φαινομένου SPIT Ανάπτυξη Οντολογίας SPIT Μεθοδολογία ανάπτυξης SPIT Κανόνες ECA ontospit: Το πλήρες μοντέλο Περιορισμοί Ακεραιότητας της Οντολογίας 238 Οικονομικό Πανεπιστήμιο Αθηνών 11

12 7.6 Ανάπτυξη και Υλοποίηση Μοντέλου ontospit Χρήση γλώσσας Σημασιολογικού Ιστού Εργαλείο Ανάπτυξης Οντολογίας Σύνοψη Πολιτικές Διαχείρισης SPIT Εισαγωγή Πολιτικές Διαχείρισης Ασφάλειας Πληροφοριακών Συστημάτων Δομικά Στοιχεία Πολιτικών Ορισμός και Αποτύπωση Πολιτικών Τυπικές προσεγγίσεις ορισμού πολιτικών Γλώσσες και πλαίσια πολιτικών υψηλού επιπέδου Απαιτήσεις γλωσσών ορισμού πολιτικών ασφάλειας Ανάγκη Ορισμού Πολιτικής anti-spit Αρχιτεκτονική Διαχείρισης SPIT βασιζόμενη σε Πολιτικές Ορισμός Κανόνων Πολιτικής Συνθήκες πολιτικής Ενέργειες Πολιτικής Ενσωμάτωση κανόνων πολιτικής στο μοντέλο ontospit Βασική Πολιτική anti-spit Ορισμός και Επιλογή Κανόνων Βασικής Πολιτικής anti-spit Προτεινόμενη Υλοποίηση Σύνοψη Σύνοψη, Συμπεράσματα, Κατευθύνσεις Περαιτέρω Έρευνας Εισαγωγή Γενική Θεώρηση και Πλεονεκτήματα Προσέγγισης Αξιολόγηση Προτεινόμενης Προσέγγισης Αξιολόγηση βάσει ποιοτικών και ποσοτικών κριτηρίων Αξιολόγηση βάσει SPIT επιθέσεων που καλύπτονται Σύνοψη Προβλήματος και της Ερευνητικής Συμβολής Το Ερευνητικό Πρόβλημα Η Ερευνητική Προσέγγιση Ανάλυση αδυναμιών πρωτοκόλλου SIP Μοντελοποίηση επιθέσεων SPIT Ορισμός και ανάπτυξη οντολογικού μοντέλου ontospit Πολιτικές διαχείρισης SPIT Ερευνητική Συμβολή Προτεινόμενη Περαιτέρω Έρευνα Γράφος Επιθέσεων SPIT Μοντέλο ontospit 282 Οικονομικό Πανεπιστήμιο Αθηνών 12

13 9.5.3 Πολιτικές anti-spit Επίλογος Βιβλιογραφικές Αναφορές Στην Αγγλική Γλώσσα Στην Ελληνική Γλώσσα 304 ΠΑΡΑΡΤΗΜΑ Α: ΕΠΙΣΤΗΜΟΝΙΚΕΣ ΔΗΜΟΣΙΕΥΣΕΙΣ 306 ΠΑΡΑΡΤΗΜΑ Β: ΠΑΡΑΔΕΙΓΜΑΤΑ ΜΗΝΥΜΑΤΩΝ ΠΡΩΤΟΚΟΛΛΟΥ SIP 309 Β1. Μηνύματα Αιτήσεων (Requests) 309 Β2. Μηνύματα Αποκρίσεων (Responses) 312 ΠΑΡΑΡΤΗΜΑ Γ: ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ ΑΞΙΟΛΟΓΗΣΗΣ ΑΔΥΝΑΜΙΩΝ 314 ΠΑΡΑΡΤΗΜΑ Δ: Κώδικας Οντολογικού Μοντέλου ontospit 319 Οικονομικό Πανεπιστήμιο Αθηνών 13

14 ΚΑΤΑΛΟΓΟΣ ΠΙΝΑΚΩΝ Πίνακας 1.1: Ερευνητική αφετηρία Πίνακας 2.1: Σύγκριση πρωτοκόλλων H.323 και SIP Πίνακας 2.2: Μέθοδοι πρωτοκόλλου SIP Πίνακας 2.3: Μηνύματα απόκρισης του πρωτοκόλλου SIP Πίνακας 2.4: Γενικές επικεφαλίδες πρωτοκόλλου SIP Πίνακας 2.5: Επικεφαλίδες μηνυμάτων αιτήσεων Πίνακας 2.6: Επικεφαλίδες μηνυμάτων αποκρίσεων Πίνακας 2.7: Επικεφαλίδες κυρίου σώματος μηνύματος Πίνακας 3.1: Ορισμοί βασικών εννοιών ασφάλειας ΠΣ [ΓΚΡΙ04] Πίνακας 3.2: Απειλές σχετικές με την υποκλοπή και τροποποίηση των επικοινωνιών Πίνακας 3.3: Απειλές και επιθέσεις άρνησης παροχής υπηρεσιών (DoS) Πίνακας 3.4: Απειλές και αδυναμίες τεχνολογίας VoIP σε συνάρτηση επιπέδου πρωτοκόλλων Πίνακας 3.5: Γενικές συστάσεις ασφάλειας υποδομών VoIP [NIST05] Πίνακας 3.6: Απαιτήσεις ασφάλειας που ικανοποιούν οι μηχανισμοί ασφάλειας του SIP Πίνακας 3.7: Σύγκριση SPAM και SPIT Πίνακας 4.1: Πράξεις που χρησιμοποιούνται στο δέντρο Πίνακας 4.2: Σύγκριση οπτικών και ηχητικών CAPTCHAs Πίνακας 4.3: Βασικά χαρακτηριστικά για την επιλογή κατάλληλου CAPTCHA Πίνακας 4.4: Τεχνικές βασιζόμενες στο κόστος Πίνακας 4.5: Πλεονεκτήματα-μειονεκτήματα τεχνικών anti-spit Πίνακας 4.6: Ταξινόμηση anti-spit μηχανισμών Πίνακας 4.7: Παράμετροι ορισμού των κριτηρίων αξιολόγησης των μηχανισμών anti-spit Πίνακας 4.8: Αξιολόγηση Μηχανισμών anti-spit με βάση τα οριζόμενα κριτήρια Πίνακας 5.1: Επικεφαλίδες μηνυμάτων SIP που μπορούν να χρησιμοποιηθούν για SPIT επιθέσεις Πίνακας 5.2: Συνολική εικόνα αδυναμιών και απειλών Πίνακας 5.3: Διαβάθμιση κριτηρίων αποτίμησης αδυναμιών Πίνακας 5.4: Αποτίμηση εγγενών αδυναμιών του πρωτοκόλλου SIP Πίνακας 5.5: Αποτίμηση αδυναμιών που οφείλονται σε προαιρετικές συστάσεις του SIP Πίνακας 5.6: Αποτίμηση αδυναμιών που οφείλονται σε ζητήματα διαλειτουργικότητας του SIP με άλλα πρωτόκολλα Πίνακας 5.7: Αποτίμηση αδυναμιών που οφείλονται σε γενικά ζητήματα ασφάλειας Πίνακας 5.8: Αξιολόγηση βασικών τεχνικών anti-spit ως προς αδυναμίες του SIP Πίνακας 5.9: Αξιολόγηση anti-spit προσεγγίσεων ως προς αδυναμίες SIP Πίνακας 6.1: Επικεφαλίδες για τον έλεγχο των διευθύνσεων αποστολέα ή/και δικτυακού τομέα Πίνακας 6.2: Επικεφαλίδες μέσω των οποίων ελέγχεται το μονοπάτι ενός SIP μηνύματος Πίνακας 6.3: Πεδία επικεφαλίδων που ενδέχεται να εμπεριέχουν SPIT περιεχόμενο Πίνακας 6.4: Μηνύματα που έχουν σώμα μηνύματος που ενδέχεται να περιέχει SPIT Πίνακας 6.5: Φράσεις αιτιολόγησης που ενδέχεται να περιέχουν SPIT Πίνακας 6.6: Σημείο εφαρμογής κριτηρίων ανίχνευσης SPIT Πίνακας 6.7: Χρήση κριτηρίων από τους μηχανισμούς anti-spit Πίνακας 6.8: Πλήρης λίστα δένδρων επιθέσεων SPIT Πίνακας 6.9: Σχέσεις μεταξύ των επιθέσεων SPIT Πίνακας 6.10: Παραδείγματα σεναρίων επιθέσεων Πίνακας 7.1: Ρόλοι αναπαράστασης της γνώσης Πίνακας 7.2: Τρεις βασικές όψεις των οντολογιών Οικονομικό Πανεπιστήμιο Αθηνών 14

15 Πίνακας 7.3: Τεχνολογίες ανάπτυξης οντολογιών Πίνακας 7.4: Συσχετίσεις και σχέσεις εννοιών του εννοιολογικού μοντέλου SPIT Πίνακας 7.5: Παράδειγμα κανόνα ECA Πίνακας 8.1: Δομικά στοιχεία ενός κανόνα μιας πολιτικής ασφάλειας Πίνακας 8.2: Μετατροπή σεναρίου επίθεσης σε συνθήκη που εμπεριέχεται σε έναν κανόνα πολιτικής Πίνακας 8.3: Παραδείγματα κανόνων πολιτικής. Συνθήκες και ενέργειες Πίνακας 8.4: Σημαντικότερες αδυναμίες πρωτοκόλλου SIP που διευκολύνουν την εκδήλωση SPIT επιθέσεων Πίνακας 8.5: Κανόνας πολιτικής που αφορά την επικεφαλίδα PRIORITY Πίνακας 8.6: Κaνόνας πολιτικής που αφορά την επικεφαλίδα FROM Πίνακας 8.7: Κανόνας που αφορά τον έλεγχο σχετικά με την έλλειψη βασικών μηχανισμών ασφάλειας Πίνακας 9.1: Αξιολόγηση προσέγγισης με βάση ποιοτικά και ποσοτικά κριτήρια Πίνακας 9.2: Επιθέσεις SPIT και αντιστοίχηση σε επιθέσεις τύπου SPAM Πίνακας 9.3: Συγκριτική αποτίμηση προσέγγισης σε σχέση με τις επιθέσεις SPIT Πίνακας 9.4: Συμβολή στο Γνωστικό Αντικείμενο ανά Κεφάλαιο/Ενότητα Οικονομικό Πανεπιστήμιο Αθηνών 15

16 ΚΑΤΑΛΟΓΟΣ ΣΧΗΜΑΤΩΝ ΕΙΚΟΝΩΝ Εικόνα 2.1: Σχηματική αναπαράσταση Διαδικτυακής Τηλεφωνίας Εικόνα 2.2 Εξέλιξη Αγοράς VoIP (Πηγή: ) Εικόνα 2.3: Εξέλιξη Αγοράς εξοπλισμού VoIP Εικόνα 2.4: Αρχιτεκτονική IP Centric Εικόνα 2.5: IP Enabled Αρχιτεκτονική Εικόνα 2.6: Γενική αρχιτεκτονική του H Εικόνα 2.7: Ανταλλαγή μηνυμάτων στο SIP Εικόνα 2.8: Παρουσία και άμεσο μήνυμα στο SIP Εικόνα 2.9: Λειτουργία πληρεξούσιων εξυπηρετητών Εικόνα 2.10: Λειτουργία του εξυπηρετητή επανακατεύθυνσης Εικόνα 2.11: Διαδικασία εγγραφής Εικόνα 2.12: Παράδειγμα μηνύματος INVITE Εικόνα 2.13: Παράδειγμα μηνύματος 200 ΟΚ Εικόνα 2.14: Τραπέζιο SIP Εικόνα 3.1: Ασφάλειας και οι συναφείς έννοιες Εικόνα 3.2: Ταξινόμηση απειλών συστημάτων VoIP Εικόνα 3.3: Σημείο εφαρμογής μηχανισμών ασφάλειας SIP [ΝΑΚ07] Εικόνα 3.4: Εξέλιξη φαινομένου SPIT Εικόνα 3.5: Εξέλιξη του SPAM Εικόνα 3.6: Μορφές SPAM Μηνυμάτων Εικόνα 3.7: Το SPIT σε σχέση με την ασφάλεια των VoIP υποδομών Εικόνα 3.8: SPIT Management Lifecycle Εικόνα 3.9: Μεθοδολογική προσέγγιση Εικόνα 4.1: Τεχνική SVM Εικόνα 4.2: Παράδειγμα κατηγοριοποίησης με χρήση νευρωνικών δικτύων Εικόνα 4.3: Παραδείγματα οπτικών (visual) CAPTCHAs Εικόνα 4.4: Κατηγοριοποίηση Συστημάτων Φήμης Εικόνα 4.5: Κεντρικοποιημένη προσέγγιση συστημάτων φήμης Εικόνα 4.6: Κατανεμημένη προσέγγιση συστημάτων φήμης Εικόνα 4.7: Σημαντικότερες τεχνικές αντιμετώπισης του SPIT Εικόνα 4.8: Προτεινόμενο μοντέλο αντιμετώπισης του SPIT με χρήση Ανώνυμων Αρχών Πιστοποίησης Εικόνα 4.9: Σενάριο χρήσης του προτεινόμενου μηχανισμού [CRO05] Εικόνα 4.10: Χρήση anti-spit οντότητας για την αντιμετώπιση του SPIT Εικόνα 4.11: Αρχιτεκτονική προτεινόμενης δικτυακής οντότητας [MAT06] Εικόνα 4.12: Χρήση του συστήματος φήμης στο πλαίσιο λειτουργίας του DAPES Εικόνα 4.13: Αρχιτεκτονική του μηχανισμού του βασιζόμενου στο δίκτυο φήμης Εικόνα 4.14: Μηχανισμός βασιζόμενος στις τεχνικές κόστους Εικόνα 4.15: Λειτουργία μηχανισμού PMG Εικόνα 4.16: Βιομετρικό πλαίσιο αντιμετώπισης του SPIT Εικόνα 4.17: Χρήση γλώσσας SAML στο πρωτόκολλο SIP Εικόνα 4.18: Διαφοροποιημένο SIP Εικόνα 4.19: Συστατικά μηχανισμού VSD Εικόνα 4.20: Το σύστημα VoIP SEAL της NEC Εικόνα 5.1: Βασικές έννοιες SPIT και συσχέτισή τους Εικόνα 5.2: Μεθοδολογία ανάλυσης και εύρεσης απειλών και αδυναμιών πρωτοκόλλου SIP Οικονομικό Πανεπιστήμιο Αθηνών 16

17 Εικόνα 5.3: Παράδειγμα εκμετάλλευσης μηνύματος αίτησης REGISTER Εικόνα 5.4: Εκμετάλλευση μηνύματος απόκρισης 300 Multiple Choices με στόχο επίτευξη παραβίασης SPIT Εικόνα 5.5: Εκμετάλλευση επικεφαλίδας FROM για την αποστολή SPIT μηνύματος Εικόνα 5.6: Εκμετάλλευση Εξυπηρετητή Εγγραφής Εικόνα 6.1: Μακροσκοπική απεικόνιση πλαισίου διαχείρισης SPIT Εικόνα 6.2: Προτεινόμενη χρονική σειρά ενεργοποίησης των κριτηρίων ανίχνευσης SPIT Εικόνα 6.3: Υποδομή VoIP εργαστηρίου ΠΣ&ΒΔ Εικόνα 6.4: Κώδικας εφαρμογής κριτηρίου ελέγχου επικεφαλίδας ERROR-INFO Εικόνα 6.5: Χρήση script για την εφαρμογή κριτηρίου ελέγχου διευθύνσεων αποστολέα μηνύματος SIP Εικόνα 6.6: Σύγκριση απόδοσης προσεγγίσεων υλοποίησης κριτηρίων Εικόνα 6.7: Βασικές συνιστώσες της ανίχνευσης SPIT επιθέσεων Εικόνα 6.8: Δέντρο επιθέσεων και σχέσεις των κόμβων αυτού μεταξύ τους Εικόνα 6.9: Παράδειγμα γράφου επιθέσεων Εικόνα 6.10: Μοντελοποίηση επιθέσεων SPIT σε περιβάλλοντα VoIP Εικόνα 6.11: Χρονική αλληλουχία επιθέσεων SPIT Εικόνα 6.12: Σημασιολογία των τύπων των κόμβων που χρησιμοποιούνται στα δένδρα επιθέσεων SPIT Εικόνα 6.13: Δένδρο επίθεσης Εύρεση και συλλογή διευθύνσεων χρηστών Εικόνα 6.14: Δένδρο επίθεσης "Μαζική Αποστολή Μηνυμάτων" Εικόνα 6.15: Δένδρο Επιθέσεων Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών Εικόνα 6.16: Δένδρο επίθεσης "Μεγιστοποίηση Κέρδους" Εικόνα 6.17: Δένδρο επίθεσης "Απόκρυψη ταυτότητας κατά τη φάση εγκατάστασης" Εικόνα 6.18: Δένδρο επίθεσης "Απόκρυψη ταυτότητας κατά τη φάση αποστολής των μηνυμάτων SPIT" Εικόνα 6.19: Δένδρο επίθεσης "Ενσωμάτωση SPIT σε μηνύματα SIP" Εικόνα 6.20: Γράφος επιθέσεων SPIT βασιζόμενος στο πρωτόκολλο SIP Εικόνα 6.21: Παράδειγμα αποτύπωσης επίθεσης με χρήση προτύπου επιθέσεων Εικόνα 6.22: Παράδειγμα σεναρίου επίθεσης SPIT με χρήση του γράφου επιθέσεων Εικόνα 7.1: Αρχιτεκτονική Σημασιολογικού Ιστού Εικόνα 7.2: Εννοιολογικό μοντέλο φαινομένου SPIT Εικόνα 7.3: Διάγραμμα ροής διαδικασίας εγκαθίδρυσης κλήσης Εικόνα 7.4: Αποτύπωση διαδικασιών περαιτέρω ελέγχου σε περίπτωση θετικής αναγνώρισης SPIT Εικόνα 7.5: Αποτύπωση ενεργειών του παραλήπτη μιας τηλεφωνικής κλήσης Εικόνα 7.6: Μοντέλο ontospit Εικόνα 7.7: Σχηματική αναπαράσταση μοντέλου OntoSPIT Εικόνα 7.8: Αποτύπωση μηνύματος SIP και σχέσεις των σχετικών κλάσεων της οντολογίας Εικόνα 7.9: Σύνολο ενεργειών οριζόμενων στο μοντέλο ontospit και μεταξύ τους σχέσεις Εικόνα 8.1: Βασικές συνιστώσες πολιτικής anti-spit Εικόνα 8.2: Προτεινόμενη αρχιτεκτονική διαχείρισης φαινομένου SPIT Εικόνα 8.3: Πολιτική anti-spit: Σύνολο κανόνων αποτελούμενων από συνθήκες και ενέργειες Εικόνα 8.4: Επικινδυνότητα φαινομένου SPIT συναρτήσει αδυναμιών και επιπτώσεων Εικόνα 8.5: Προτεινόμενη Υλοποίηση Οικονομικό Πανεπιστήμιο Αθηνών 17

18 1 Εισαγωγή I never think of the future; it comes soon enough. Albert Einstein Research is what I'm doing when I don't know what I'm doing. Wernher von Braun 1 Εισαγωγή 1.1 Ψηφιακές Επικοινωνίες: Η Εξέλιξη της Τηλεφωνίας Τα τελευταία χρόνια, η διείσδυση των Τεχνολογιών Πληροφορικής και Επικοινωνιών έχει λάβει σημαντικές διαστάσεις καθιστώντας τις αναπόσπαστο κομμάτι της καθημερινότητας του σύγχρονου ανθρώπου. Η εξέλιξη των ΤΠΕ και ιδιαίτερα των τεχνολογιών και υπηρεσιών του Διαδικτύου (Internet Services) διαθέτει κάποια γνωρίσματα και χαρακτηριστικά που επηρεάζουν άμεσα την καθημερινή μας ζωή: α) αφορά όλες τις πτυχές της ζωής του ανθρώπου, β) πραγματοποιείται με μεγάλη ταχύτητα και γ) τείνει να γίνει διαφανής (transparent), αφού συνήθως ενσωματώνεται στην καθημερινότητα με τη μικρότερη δυνατή εμπλοκή του τελικού χρήστη. Στο πλαίσιο αυτό, εμπίπτει και η εξέλιξη της τηλεφωνίας (voice evolution), που τις δύο τελευταίες δεκαετίες έχει αναπτυχθεί και αλλάξει δραματικά. Η διείσδυση και εξάπλωση της κινητής τηλεφωνίας, που στην αρχή της δεκαετίας του 1990 θεωρούταν απλά πολυτέλεια, πλέον λόγω της σμίκρυνσης των συσκευών και της μείωσης του κόστους των κλήσεων έχει πάρει μεγάλες διαστάσεις. Η κινητή τηλεφωνία και οι υπηρεσίες της έχουν γίνει αναπόσπαστο κομμάτι της καθημερινής ζωής των ανθρώπων ενώ σε πολλές περιπτώσεις έχει αντικαταστήσει πλήρως τη χρήση της κλασσικής ενσύρματης τηλεφωνίας. Ενώ η κινητή τηλεφωνία αναπτύσσεται και εξελίσσεται συνεχώς, προσφέροντας νέες υπηρεσίες, μια νέα υπηρεσία εμφανίζεται να έχει ανάλογη διείσδυση. Η τεχνολογία αυτή είναι η Διαδικτυακή Τηλεφωνία (IP Telephony ή VoIP: Voice Over Internet Protocol). Η εξέλιξη των τεχνολογιών VoIP τα τελευταία χρόνια έχει πάρει τεράστιες διαστάσεις ενώ συνεχώς υιοθετείται και χρησιμοποιείται ως ένας εναλλακτικός και οικονομικός τρόπος επικοινωνίας. Οι κλήσεις μέσω VoIP τεχνολογιών είναι συνήθως χωρίς ή με μικρό κόστος, οι χρήστες μπορούν να χρησιμοποιήσουν τις υπηρεσίες αυτές από οπουδήποτε διατίθεται Οικονομικό Πανεπιστήμιο Αθηνών 18

19 σύνδεση Internet και να επωφεληθούν από τις διάφορες επιμέρους υπηρεσίες, όπως προώθηση των κλήσεων, την ενσωμάτωση με άλλες τεχνολογίες, όπως video conferencing κλπ. Ενώ οι τεχνολογίες VoIP έχουν εμφανιστεί από την δεκαετία του 1990 ως ένας νέος τρόπος επικοινωνίας, η μαζική υιοθέτηση και χρήση τους πραγματοποιείται τα τελευταία χρόνια. Σε αυτό έχουν συντελέσει πολλοί παράγοντες οι βασικότεροι εκ των οποίων είναι: (α) η αύξηση της διαθέσιμου εύρους ζώνης (bandwidth), που λαμβάνουν πλέον οι τελικοί χρήστες, (β) το σημαντικά μικρότερο κόστος τηλεφωνικών κλήσεων συγκριτικά με την κλασσική PSTN τηλεφωνία (Public Switched Telephone Network) και (γ) οι πιο εξελιγμένες υπηρεσίες (sophisticated end-user services), οι οποίες είναι συμπληρωματικές ως προς τη μετάδοση φωνής (λ.χ. αποστολή στιγμιαίων μηνυμάτων). Όπως συμβαίνει με την είσοδο και εξάπλωση οποιασδήποτε νέας τεχνολογίας, έτσι και στην περίπτωση των VoIP τεχνολογιών, πέρα από τα πλεονεκτήματα που αυτή εισάγει, αναφύονται αρκετά μειονεκτήματα στη χρήση της. Δύο από αυτά τα μειονεκτήματα είναι τα ζητήματα της ασφάλειας και ιδιωτικότητας. Η χρήση του Διαδικτύου, ως βασική υποδομή υποστήριξης των VoIP συστημάτων, εγκυμονεί αρκετές απειλές και κινδύνους σε ότι αφορά τη διατήρηση των βασικών ιδιοτήτων της ασφάλειας, δηλαδή της εμπιστευτικότητας, της ακεραιότητας και της διαθεσιμότητας των πληροφοριών και υπηρεσιών. Οι κίνδυνοι αυτοί, που αρκετές φορές, ενδέχεται να μην είναι άμεσα φανεροί και αντιληπτοί στις εμπλεκόμενες οντότητες, μπορεί να λάβουν σημαντικές διαστάσεις και να περιορίσουν την περαιτέρω διείσδυση των εν λόγω τεχνολογιών. Μια νέα απειλή στο χώρο των VoIP τεχνολογιών, η οποία ωστόσο, είναι ήδη γνωστή από την περίπτωση του ηλεκτρονικού ταχυδρομείου, είναι το SPAM, δηλαδή η μαζική και αυτόκλητη αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου. Στην περίπτωση του VoIP το αντίστοιχο φαινόμενο είναι γνωστό ως SPIT (SPAM over Internet Telephony). Οι δυνατότητες που παρέχουν οι VoIP τεχνολογίες, το χαμηλό κόστος των τηλεφωνικών κλήσεων καθώς και η μεγάλη διείσδυση του Διαδικτύου, καθιστά τις υποδομές του VoIP ελκυστικό στόχο των κακόβουλων χρηστών (spitters). Αν η εξέλιξη του SPIT λάβει παρόμοιες διαστάσεις με την περίπτωση του SPAM στο ηλεκτρονικό ταχυδρομείο, τότε οι συνέπειες και επιπτώσεις μπορεί να είναι πολύ πιο δυσχερείς και να αποτελέσουν σημαντικό τροχοπέδη στην περαιτέρω εξάπλωση του VoIP. Απαιτείται, λοιπόν, σημαντική προσπάθεια, ιδίως τώρα στα αρχικά στάδια εμφάνισης του SPIT, στην κατεύθυνση της ουσιαστικής και αποτελεσματικής διαχείρισής του. Η διαχείριση αυτή, πρέπει να είναι ολιστική και να λαμβάνει υπόψη τόσο τα ιδιαίτερα χαρακτηριστικά του VoIP, όσο και τις εκάστοτε επιθυμίες και προτιμήσεις των εμπλεκομένων οντοτήτων (stakeholders). Έτσι, ο στόχος της παρούσας διατριβής είναι διττός: (α) η αξιοποίηση της έρευνας και της γνώσης που έχει αποκτηθεί τα τελευταία χρόνια σε ότι αφορά το SPAM, και (β) η έρευνα γύρω από την αποτελεσματική και αποδοτική διαχείριση του SPIT, έτσι ώστε να διασφαλίζεται η εύρυθμη λειτουργία των VoIP τεχνολογιών. Οικονομικό Πανεπιστήμιο Αθηνών 19

20 Είναι πεποίθηση του συγγραφέα ότι η αποτελεσματική και αποδοτική διαχείριση του SPIT αποτελεί μια ουσιαστική συνιστώσα στα θέματα ασφάλειας των VoIP τεχνολογιών, αφού μπορεί να μειώσει την αβεβαιότητα που προέρχεται από ελλιπή επίγνωση (και κάποιες φορές υποτίμηση) των θεμάτων ασφάλειας, στο σύνολό τους. Μια επιτυχής και αποτελεσματική διαχείριση του SPIT θα εμφυσήσει ένα αίσθημα ασφάλειας στον τελικό χρήστηκαταναλωτή διευκολύνοντας την περαιτέρω διείσδυση του VoIP. 1.2 Αφορμή και Κίνητρα για την Παρούσα Έρευνα Η διαχείριση του φαινομένου SPIT αποτελεί ένα σύνθετο πρόβλημα που καλύπτει και επηρεάζει το σύνολο των προσφερόμενων VoIP υπηρεσιών. H πολυπλοκότητα του προβλήματος που άπτεται της εμφάνισης του SPIT στο πλαίσιο λειτουργίας των VoIP υποδομών οφείλεται, κατά κύριο λόγο, στα εξής χαρακτηριστικά του: Οι VoIP υποδομές περιλαμβάνουν αρκετές συνιστώσες, όπως το χρησιμοποιούμενο υλικό, λογισμικό καθώς και τον ανθρώπινο παράγοντα. Η μη ύπαρξη πραγματικών περιστατικών SPIT και κατ επέκταση η δυσκολία ανίχνευσης και ταυτοποίησης περιστατικών SPIT. Η δυσκολία της αξιολόγησης και αποτίμησης των ενδεχόμενων αναγνωριζόμενων περιστατικών SPIT, ώστε να βρεθούν οι ανάλογες ενέργειες μείωσης των επιπτώσεων και συνεπειών τους. Το σύνολο των υπηρεσιών VoIP που δεν περιορίζεται μόνο στην τηλεφωνία (μετάδοση φωνής), αλλά περιλαμβάνει και άλλες υπηρεσίες, όπως αποστολή στιγμιαίων μηνυμάτων κλπ. Η κλιμάκωση των VoIP υποδομών που τα τελευταία χρόνια λαμβάνει μεγάλες διαστάσεις καθιστά αναγκαία την επίτευξη διαλειτουργικότητας και ανταλλαγή γνώσης μεταξύ των VoIP δικτυακών τομέων. Η μέχρι στιγμής εμπειρία, τόσο από τη μελέτη του SPAM στο ηλεκτρονικό ταχυδρομείο, όσο και με το φαινόμενο του SPIT αυτό καθ αυτό, έχει δείξει ότι οι εκάστοτε υιοθετούμενες και εφαρμόσιμες πρακτικές, τεχνικές και μηχανισμοί σπάνια αντιμετωπίζουν το πρόβλημα ουσιαστικά και αποτελεσματικά. Όλες οι έρευνες τονίζουν ότι, παρά το γεγονός ότι η αντιμετώπιση του προβλήματος του SPIT είναι αναγκαία, από την άλλη καταδεικνύουν την έλλειψη επαρκών μηχανισμών και προσεγγίσεων που θα παρέχουν ένα ουσιαστικό μέσο αντιμετώπισης και διαχείρισης του εν λόγω φαινομένου. Περαιτέρω, είναι φανερό ότι η διαχείριση του SPIT θα πρέπει να μην εξαρτάται μόνο από τις εκάστοτε χρησιμοποιούμενες τεχνικές, αλλά θα πρέπει να λαμβάνει υπόψη και άλλες διαστάσεις, όπως τις προτιμήσεις των χρηστών των υπηρεσιών VoIP, τις επιμέρους απαιτήσεις των VoIP δικτυακών τομέων και τις ευρύτερες πρακτικές ασφάλειας που υιοθετούνται και εφαρμόζονται. Με αυτή την οπτική, θεωρούμε ότι είναι απαραίτητη μια νέα προσέγγιση στο θέμα της διαχείρισης του SPIT, η οποία θα εκμεταλλεύεται αποτελεσματικά και Οικονομικό Πανεπιστήμιο Αθηνών 20

21 αποδοτικά όλες τις πηγές πληροφορίας και γνώσης περί του φαινομένου που είναι διαθέσιμες. Πιο συγκεκριμένα, αφορμή για την παρούσα έρευνα έδωσαν οι παρακάτω διαπιστώσεις: Πίνακας 1.1: Ερευνητική αφετηρία Α/Α Διαπίστωση Ερευνητική Αφετηρία Το φαινόμενο του SPIT αποτελεί μια νέα απειλή η οποία αναμένεται, με βάση και την εμπειρία από το SPAM, να λάβει σημαντικές διαστάσεις στο σύντομο μέλλον. Οι τρέχουσες προσεγγίσεις αντιμετώπισης του SPIT έχουν ελλείψεις και αντιμετωπίζουν το πρόβλημα εν μέρει και όχι ολιστικά. Η έλλειψη πραγματικών περιστατικών SPIT και η έλλειψη της γνώσης των εγγενών αδυναμιών που διαθέτουν οι υποδομές VoIP, αποτελούν βασικές προϋποθέσεις αντιμετώπισης του φαινομένου SPIT. Η αντικειμενική κατανόηση των εννοιών και ζητημάτων που διέπουν το φαινόμενο του SPIT είναι αναγκαία ώστε ο ειδικός επιστήμονας (π.χ. διαχειριστής του VoIP δικτυακού τομέα) να μπορέσει να ορίσει τις αναγκαίες συνθήκες και ενέργειες αντιμετώπισης των SPIT περιστατικών. Η παραπάνω ανάλυση αποτελεί και τη βασική αιτία του ερευνητικού προβληματισμού που καλείται να αντιμετωπίσει η παρούσα διατριβή. Όλα τα παραπάνω συνάδουν στο να αναδεικνύεται η διαχείριση του φαινομένου SPIT σαν μια δύσκολη διαδικασία η οποία ωστόσο πρέπει να λάβει χώρα, ώστε να μην δημιουργηθούν προβλήματα που άπτονται της περαιτέρω χρήσης και διείσδυσης του VoIP. 1.3 Αντικείμενο και Σκοπός Διατριβής Αντικείμενο της διατριβής είναι η συμβολή στην αποτελεσματικότερη και ολιστική διαχείριση τoυ φαινομένου SPIT, προς την κατεύθυνση μιας διαχείρισης που θα βασίζεται σε επαρκώς ορισμένες θεωρητικές προσεγγίσεις και τις αντίστοιχες μεθοδολογίες εφαρμογής τους. Σκοπός της διατριβής είναι η ανάπτυξη μιας νέας αρχιτεκτονικής διαχείρισης του φαινομένου SPIT. Η προτεινόμενη προσέγγιση θα ενσωματώνει και θα αναφέρεται στις βασικές συνιστώσες που διέπουν τόσο το φαινόμενο αυτό καθ αυτό, όσο και τα ιδιαίτερα χαρακτηριστικά (π.χ. απαιτήσεις ασφάλειας) των VoIP υποδομών. Το μοντέλο που αναπτύχθηκε είναι κατάλληλο για να αποτελέσει τη βάση ενός πολυσυλλεκτικού, ολιστικού, ευέλικτου και εύκολα επεκτάσιμου συστήματος διαχείρισης των SPIT περιστατικών. Τα κύρια ζητήματα στα οποία επικεντρώθηκε η παρούσα διατριβή είναι: Οικονομικό Πανεπιστήμιο Αθηνών 21

22 (α) Η εκτεταμένη μελέτη των αδυναμιών που μπορούν να οδηγήσουν σε περιστατικά SPIT και η μοντελοποίηση αυτών με τρόπο που βοηθά την ανίχνευση και ταυτοποίηση των εν λόγω περιστατικών. (β) Η ανάπτυξη ενός μοντέλου βασιζόμενο στις οντολογίες που ορίζει το εννοιολογικό πλαίσιο του φαινομένου SPIT, αλλά παράλληλα ενισχύει την ουσιαστική διαχείρισή του. (γ) Η πρόταση ενός μοντέλου διαχείρισης του SPIT βασιζόμενο σε πολιτικές anti-spit, οι οποίες θα πρέπει να υιοθετούνται και να εφαρμόζονται από τον εκάστοτε VoIP δικτυακό τομέα. 1.4 Δομή Διατριβής Η παρούσα διατριβή χωρίζεται σε τρία μέρη και εννέα (9) κεφάλαια. Στο πρώτο μέρος (κεφάλαια 2 και 3), γίνεται μια ανασκόπηση των βασικών εννοιών που διέπουν τις τεχνολογίες VoIP και τα σχετικά ζητήματα ασφάλειας. Πιο συγκεκριμένα, στο κεφάλαιο 2 περιγράφονται γενικά τα ζητήματα που αφορούν τις τεχνολογίες VoIP, ενώ παράλληλα περιγράφεται το πρωτόκολλο SIP, μιας και η παρούσα έρευνα εστιάζεται σε αυτό το πρωτόκολλο. Στο κεφάλαιο 3, παρουσιάζονται τα ζητήματα ασφάλειας που υπεισέρχονται της χρήσης της VoIP τεχνολογίας. Επίσης, γίνεται μια εισαγωγή στην έννοια του SPIT. Στο δεύτερο μέρος της διατριβής (κεφάλαια 4 έως 8) παρουσιάζεται και αναλύεται το βασικό ζήτημα που πραγματεύεται η εν λόγω διατριβή. Πιο συγκεκριμένα, ξεκινώντας από την παρουσίαση των υπαρχόντων μηχανισμών που έχουν προταθεί για την αντιμετώπιση του SPIT αναδεικνύονται, μέσω της αξιολόγησής τους, οι ελλείψεις αυτών. Στη συνέχεια ακολουθεί η ανά κεφάλαιο παρουσίαση των βασικών συστατικών που απαρτίζουν την προτεινόμενη αρχιτεκτονική διαχείρισης. Τέλος, στο τρίτο μέρος (κεφάλαιο 9), παρουσιάζονται τα συμπεράσματα που προκύπτουν από την παρούσα ερευνητική προσπάθεια ενώ παράλληλα αναδεικνύονται θέματα για περαιτέρω και μελλοντική έρευνα Συνοπτική Περιγραφή Κεφαλαίων Η συγγραφή της παρούσας διατριβής γίνεται σε εννέα κεφάλαια και ακολουθεί σε γενικές γραμμές τη ροή της δομικής περιγραφής που παρουσιάσθηκε. Οι βιβλιογραφικές αναφορές παρατίθενται στο κεφάλαιο 10, ενώ η διατριβή συνοδεύεται από παραρτήματα στα οποία περιλαμβάνεται λεπτομερειακό υλικό απαραίτητο για την καλύτερη τεκμηρίωσή της. Στο κεφάλαιο 1, Εισαγωγή, περιλαμβάνεται η περιγραφή, η οριοθέτηση και η σημασία επίλυσης του ερευνητικού προβλήματος. Αναλύονται οι γενικοί στόχοι τους οποίους επιχειρεί να προσεγγίσει η διατριβή και η συμβολή της στη γνωστική περιοχή. Στο κεφάλαιο 2 Τεχνολογία VoIP Πρωτόκολλο SIP, παρουσιάζονται με λεπτομέρεια τα βασικά στοιχεία της τεχνολογίας VoIP, τα πρωτόκολλα που αυτή βασίζεται, τα πλεονεκτήματα και μειονεκτήματα που η χρήση της εισάγει. Τέλος, παρουσιάζεται το βασικό πρωτόκολλο που χρησιμοποιείται στις υποδομές VoIP, το SIP (Session Initiation Protocol) μιας Οικονομικό Πανεπιστήμιο Αθηνών 22

23 και το ενδιαφέρον σε όλο το πλαίσιο της διατριβής επικεντρώνεται σε αυτό το πρωτόκολλο. Παρουσιάζεται ο τρόπος λειτουργίας του και δομής του και οι βασικές εμπλεκόμενες οντότητες, με στόχο ο αναγνώστης να κατανοήσει πλήρως τις υπηρεσίες και τη λειτουργικότητα του. Στο κεφάλαιο 3, Ασφάλεια VoIP Υποδομών. Ορισμός και Επισκόπηση του SPIT, παρουσιάζονται τα βασικά θέματα ασφάλειας σε ότι αφορά αφενός την τεχνολογία VoIP και αφετέρου το πρωτόκολλο SIP. Επιπρόσθετα, παρουσιάζεται και η έννοια του SPIT, ενώ παράλληλα παρατίθεται το ερευνητικό πρόβλημα που καλείται η παρούσα διατριβή να αντιμετωπίσει καθώς και η μεθοδολογία που υιοθετήθηκε. Στο κεφάλαιο 4, Παρουσίαση και Αξιολόγηση Προσεγγίσεων Αντιμετώπισης SPIT, παρουσιάζονται, εν συντομία, οι βασικές τεχνικές και μηχανισμοί που έχουν προταθεί μέχρι στιγμής με στόχο την αντιμετώπιση του SPIT. Επιπρόσθετα, γίνεται και μια αξιολόγηση και αποτίμηση αυτών με βάση ποιοτικά και ποσοτικά κριτήρια τα οποία έχουν αναγνωριστεί και οριστεί για αυτό το σκοπό. Ο στόχος είναι να αναγνωρισθούν οι ελλείψεις και αδυναμίες των τρέχουσων προσεγγίσεων anti-spit, οι οποίες, αρκετές από αυτές θα μπορέσουν να αντιμετωπιστούν από την προτεινόμενη στην παρούσα διατριβή προσέγγιση. Στο κεφάλαιο 5, Ανάλυση Απειλών και Αδυναμιών Πρωτοκόλλου SIP, και ως πρώτο και ουσιαστικό βήμα για την αντιμετώπιση του SPIT, παρουσιάζεται η ανάλυση των απειλών και αδυναμιών τις οποίες ο ενδεχόμενος κακόβουλος χρήστης μπορεί να εκμεταλλευτεί με στόχο να εκδηλώσει SPIT επιθέσεις. Έτσι, στο συγκεκριμένο κεφάλαιο, παρουσιάζεται η ανάλυση των αδυναμιών και απειλών του πρωτοκόλλου SIP, υπό την οπτική της διευκόλυνσης της εκδήλωσης επιθέσεων τύπου SPIT. Παράλληλα, οι αναγνωριζόμενες αδυναμίες αξιολογούνται και αποτιμώνται, τόσο σε σχέση με την πιθανότητα εκδήλωσής τους, όσο και τις ενδεχόμενες επιπτώσεις τους στην ομαλή και εύρυθμη λειτουργία των VoIP συστημάτων. Στο κεφάλαιο 6, Κριτήρια Ανίχνευσης SPIΤ Μοντελοποίηση Αδυναμιών SIP, επιχειρηματολογούμε στο ότι η αποτελεσματική αντιμετώπιση και διαχείριση του φαινομένου SPIT πρέπει να γίνεται με έναν ολοκληρωμένο τρόπο, αποτελούμενη από διακριτά μεταξύ τους στάδια και φάσεις που αναφέρονται στη πρόληψη, ανίχνευση και τελικά αντίδρασηανάδραση στις ενδεχόμενες επιθέσεις SPIΤ. Στο πλαίσιο αυτό, προτείνεται ένα σύνολο κριτηρίων αναγνώρισης και ταυτοποίησης ενδεχόμενων επιθέσεων SPIΤ. Επιπρόσθετα, με στόχο η αναγνώριση περιστατικών SPIT να καταστεί πιο αποτελεσματική, μοντελοποιείται το σύνολο των αναγνωριζόμενων αδυναμιών, με χρήση δέντρων και γράφων επιθέσεων. Η μοντελοποίηση αυτή, σε συνδυασμό με τα κριτήρια αναγνώρισης, θα διαμορφώσουν ένα σύνολο προτύπων (patterns) και σεναρίων επιθέσεων SPIT, η χρήση των οποίων, καθιστά την αναγνώριση και ταυτοποίηση των επιθέσεων SPIT πιο αποδοτική και ουσιαστική. Στο κεφάλαιο 7, ontospit: Οντολογία Διαχείρισης SPIT, αναλύεται η μεθοδολογία ανάπτυξης μιας οντολογίας που επικεντρώνεται στα χαρακτηριστικά που αφορούν το SPIT. Πιο συγκεκριμένα, παρουσιάζεται μια οντολογία η οποία μοντελοποιεί και περιγράφει το Οικονομικό Πανεπιστήμιο Αθηνών 23

24 φαινόμενο του SPIT σε περιβάλλοντα VoIP, που βασίζονται και χρησιμοποιούν το πρωτόκολλο SIP. Επιπρόσθετα, η οντολογία παρέχοντας ένα κοινό σημείο κατανόησης και αντίληψης του φαινομένου SPIT, διευκολύνει την επαναχρησιμοποίηση της (αποκτηθείσας) γνώσης και, τέλος, παρέχει ένα σημαντικό εργαλείο για την επίλυση ζητημάτων διαλειτουργικότητας μεταξύ των VoIP δικτυακών τομέων, κυρίως, μέσω της σαφούς, κατανοητής και ρητής αναπαράστασης των εννοιών (concepts) και των μεταξύ τους σχέσεων. Στο κεφάλαιο 8, Πολιτικές Διαχείρισης SPIT, παρουσιάζεται αρχικά o λόγος για τον οποίο κρίνεται απαραίτητος ο ορισμός μιας πολιτικής διαχείρισης του φαινομένου SPIT. Επιπρόσθετα, παρουσιάζεται η προτεινόμενη προσέγγιση η οποία βασίζεται στο προτεινόμενο ontospit μοντέλο ενσωματώνοντας παράλληλα την εκάστοτε οριζόμενη πολιτική anti-spit. Τέλος, με στόχο να γίνει σαφέστερη η χρησιμότητα υιοθέτησης μιας anti-spit πολιτικής, προτείνεται μια βασική πολιτική (baseline anti-spit policy), η οποία θεωρείται ότι πρέπει κατ ελάχιστο, να εφαρμόζεται σε κάθε VoIP δικτυακό τομέα, που επιθυμεί την αντιμετώπιση του SPIT. Στο κεφάλαιο 9, Σύνοψη, Συμπεράσματα, Κατευθύνσεις Περαιτέρω Έρευνας, γίνεται μια σύνοψη του προβλήματος, παρατίθενται τα γενικά συμπεράσματα της διατριβής και σκιαγραφούνται οι προοπτικές για περαιτέρω έρευνα. Τέλος, στο κεφάλαιο 10 Βιβλιογραφικές Αναφορές, παρατίθενται η βιβλιογραφία, ξενόγλωσση και ελληνική, στην οποία αναφέρεται η παρούσα διατριβή. 1.5 Συμβολή της Παρούσης Διατριβής Με την παρούσα διατριβή επιχειρείται η αποτύπωση και παρουσίαση μιας αρχιτεκτονικής διαχείρισης του φαινομένου SPIT. Η συνεισφορά της διατριβής εκφράζεται σε τέσσερα επίπεδα: I. Ανάλυση απειλών και αδυναμιών του πρωτοκόλλου SIP Στο επίπεδο αυτό έγινε λεπτομερής ανάλυση του βασικού πρωτοκόλλου που χρησιμοποιείται στις υποδομές VoIP (του πρωτοκόλλου SIP) με στόχο να αναγνωρισθούν οι αδυναμίες εκείνες που μπορούν να διευκολύνουν, όταν ένας κακόβουλος χρήστης τις εκμεταλλευτεί, την εκδήλωση μιας παραβίασης SPIT. II. Μοντελοποίηση επιθέσεων τύπου SPIT Στο επίπεδο αυτό και λόγω έλλειψης πραγματικών και μαζικών περιστατικών τύπου SPIT, μοντελοποιήθηκαν οι αναγνωριζόμενες αδυναμίες με χρήση γράφων και δέντρων επιθέσεων έτσι ώστε να παράσχουν ένα σύνολο προτύπων και σεναρίων επιθέσεων τα οποία θα διευκολύνουν στην ανίχνευση και ταυτοποίηση περιστατικών SPIT. III. Ορισμός και ανάπτυξη οντολογικού μοντέλου ontospit Ορίστηκε και αναπτύχθηκε μια οντολογία αναπαράστασης και διαχείρισης του SPIT. Στόχος της συγκεκριμένης οντολογίας πέρα από την περιγραφή των σχετικών με το SPIT βα- Οικονομικό Πανεπιστήμιο Αθηνών 24

25 σικών εννοιών, παρέχοντας ένα κοινά αποδεκτό εννοιολογικό πλαίσιο, είναι να συνεισφέρει στην αναγνώριση και αντιμετώπιση περιστατικών SPIT, μέσω των ενσωματωμένων κανόνων και λογικών αξιωμάτων που διαθέτει. IV. Πολιτικές Διαχείρισης anti-spit. Στο επίπεδο αυτό, τονίζεται η ανάγκη ορισμού πολιτικών διαχείρισης του SPIT και προτείνεται μια αρχιτεκτονική διαχείρισης του SPIT βασιζόμενη σε πολιτικές anti-spit. Οι οριζόμενες πολιτικές αποτελούμενες από ένα σύνολο κανόνων-συνθηκών ανίχνευσης (detection rules-conditions) και ενεργειών αντίδρασης (actions), ενσωματώνονται στο μοντέλο ontospit, το οποίο, πλέον, είναι υπεύθυνο για τη διαχείριση του SPIT με χρήση της εκάστοτε οριζόμενης πολιτικής. Στη συνέχεια, παρουσιάζονται, εν συντομία, τα βασικά στοιχεία που αφορούν και σχετίζονται με τη συμβολή της παρούσας διατριβής Ανάλυση Αδυναμιών Πρωτοκόλλου SIP Πραγματοποιήθηκε εκτεταμένη μελέτη του πρωτοκόλλου SIP και αναγνωρίστηκαν οι αδυναμίες εκείνες η εκμετάλλευση των οποίων μπορεί να διευκολύνει την εκδήλωση SPIT επιθέσεων. Η ανάλυση οδήγησε σε μια εκτενή λίστα απειλών και αδυναμιών οι οποίες ταξινομούνται σε 4 γενικές κατηγορίες : (α) εγγενείς αδυναμίες του πρωτοκόλλου SIP, (β) αδυναμίες που οφείλονται στις προαιρετικές υποδείξεις και συστάσεις του πρωτοκόλλου, όπως αυτές ορίζονται από το κείμενο προδιαγραφών του [RFC3261], (γ) αδυναμίες που οφείλονται σε ζητήματα διαλειτουργικότητας και συνέργειας του πρωτοκόλλου με άλλα πρωτόκολλα, και (δ) αδυναμίες που οφείλονται σε γενικές (generic) αδυναμίες και ζητήματα ασφάλειας Αξιολόγηση και Αποτίμηση Αδυναμιών Πραγματοποιήθηκε αξιολόγηση και αποτίμηση των αναγνωριζόμενων αδυναμιών με στόχο να αναγνωρισθούν οι σημαντικότερες από αυτές και οι οποίες θα πρέπει να αντιμετωπιστούν άμεσα. Η εν λόγω αποτίμηση έγινε με βάση την πιθανότητα εμφάνισης της εκάστοτε αδυναμίας καθώς και με τις επιπτώσεις κάθε μίας από αυτές Κριτήρια Ανίχνευσης Προτάθηκε ένα σύνολο κριτηρίων ανίχνευσης και ταυτοποίησης εν δυνάμει περιστατικών SPIT. Τα κριτήρια αυτά, βασίζονται σε γενικές ιδιότητες που αφορούν τα εκάστοτε ανταλλασσόμενα μηνύματα SIP και σχετίζονται τόσο με ποιοτικά και ποσοτικά στοιχεία, όσο και με το σημασιολογικό έλεγχο του περιεχομένου τους. Επιπρόσθετα, προτάθηκε μια χρονική αλληλουχία ενεργοποίησης των κριτηρίων με στόχο η εφαρμογή τους να γίνεται ελεγχόμενα και πιο αποδοτικά. Οικονομικό Πανεπιστήμιο Αθηνών 25

26 1.5.4 Δένδρα Επιθέσεων SPIT Με στόχο τη συγκέντρωση και οργάνωση όλων των αναγκαίων για το SPIT πληροφοριών (πχ. ποιες είναι οι αδυναμίες ενός συστήματος, πώς μπορεί να εκδηλώσει επίθεση ένας spitter κλπ.) καθώς και τη διευκόλυνση της διαδικασίας απόφασης για τα εκάστοτε ενδεικνυόμενα αντίμετρα και ενέργειες, προτάθηκε, με βάση τις αναγνωριζόμενες αδυναμίες του πρωτοκόλλου SIP, ένα σύνολο δέντρων επιθέσεων (SIP SPIT attack trees) τα οποία αναπαριστούν τις επιθέσεις που μπορεί να εκδηλώσει ένας κακόβουλος χρήστης Γράφος Επιθέσεων SPIT Με βάση τα οριζόμενα δέντρα επιθέσεων SPIT, αναπτύχθηκε ένας γράφος επιθέσεων (SPIT attack graph), μέσω του οποίου μπορούν να καταγραφούν όλοι οι δυνατοί συνδυασμοί τους οποίους ο επίδοξος επιτιθέμενος μπορεί να χρησιμοποιήσει προκειμένου να εκδηλώσει ένα σύνολο επιθέσεων SPIT. Με αυτό τον τρόπο ορίζονται σενάρια και πρότυπα επιθέσεων τύπου SPIT, τα οποία μπορούν να χρησιμοποιηθούν για την ουσιαστική και αποδοτική ανίχνευση και ταυτοποίηση επιθέσεων SPIT Οντολογία Διαχείρισης SPIT Προτάθηκε και αναπτύχθηκε ένα μοντέλο διαχείρισης του φαινομένου SPIT βασιζόμενο στις οντολογίες (ontospit). Πέρα από τα προφανή πλεονεκτήματα χρήσης των οντολογιών, που άπτονται κυρίως της παροχής ενός κοινού εννοιολογικού μοντέλου διαχείρισης της πληροφορίας και της γνώσης σε ότι αφορά το SPIT, η προτεινόμενη οντολογία χρησιμοποιείται για την ουσιαστικότερη διαχείριση του SPIT. Πιο συγκεκριμένα, υιοθετώντας συνθήκες που χαρακτηρίζουν μια επίθεση SPIT, στοχεύει στην ανίχνευση ενδεχόμενων περιστατικών SPIT, ενώ παράλληλα, ενσωματώνει συγκεκριμένες ενέργειες που ορίζονται και εφαρμόζονται στα μηνύματα SIP και σε συνάρτηση της φύσης τους (SPIT ή όχι) Αρχιτεκτονική Διαχείρισης SPIT βασιζόμενη σε Πολιτικές anti-spit Η αποτελεσματική και ουσιαστική διαχείριση του φαινομένου SPIT απαιτεί όχι μόνο την επιλογή κατάλληλων μηχανισμών και τεχνικών αντιμετώπισής τους, αλλά πρέπει να λαμβάνει υπόψη τις οριζόμενες ανάγκες και προτιμήσεις που ορίζουν οι διαχειριστές του εκάστοτε VoIP δικτυακού τομέα, την τεχνοδιαμόρφωση αυτού, αλλά και τις επιμέρους απαιτήσεις και προτιμήσεις των χρηστών που ανήκουν στον εν λόγω δικτυακό τομέα. Στο πλαίσιο αυτό, προτείνεται μια προσέγγιση διαχείρισης του φαινομένου SPIT βασιζόμενη σε πολιτικές anti-spit και σε οντολογίες. Πιο συγκεκριμένα, η εκάστοτε οριζόμενη πολιτική διαχείρισης του SPIT, ενσωματώνεται στο προτεινόμενο ontospit μοντέλο, το οποίο όταν υλοποιείται σε ένα δικτυακό τομέα, διευκολύνει τη λήψη αποφάσεων για τη αποτελεσματική και ολιστική διαχείριση του SPIT. Το μοντέλο ontospit ενσωματώνει και χρησιμοποιεί τους κανόνες, που ορίζονται από την πολιτική, με στόχο να εξάγει συμπεράσματα ως προς τη φύση των εκάστοτε ανταλλασσόμενων μηνυμάτων SIP και να ενεργοποιήσει τις δράσεις που ορίζονται από την πολιτική, όταν οι οριζόμενες συνθήκες συναντώνται. Οικονομικό Πανεπιστήμιο Αθηνών 26

27 1.5.8 Βασική Πολιτική anti-spit Έχοντας ως βασικό στοιχείο τις βασικότερες και σημαντικότερες αδυναμίες που χαρακτηρίζουν το πρωτόκολλο SIP, ορίσαμε μια βασική πολιτική anti-spit, η οποία αποτελείται από κανόνες που στοχεύουν στη διαχείριση και αντιμετώπιση των βασικότερων και σημαντικότερων αδυναμιών του πρωτοκόλλου. Οικονομικό Πανεπιστήμιο Αθηνών 27

28 2 Τεχνολογία VoIP - Πρωτόκολλο SIP The golden rule is that there are no golden rules. George Bernard Shaw 2 Τεχνολογία VoIP Πρωτόκολλο SIP 2.1 Εισαγωγή Η διείσδυση του διαδικτύου τα τελευταία χρόνια έχει πάρει μεγάλες διαστάσεις, καθιστώντας το σύνολο των τεχνολογιών που βασίζονται σε αυτό απαραίτητες και αναγκαίες για τους τελικούς χρήστες. Οι προσφερόμενες υπηρεσίες εξελίσσονται συνεχώς εκμεταλλευόμενες τα πλεονεκτήματα που η χρήση του διαδικτύου προσφέρει [THE07]. Μια τέτοια υπηρεσία αποτελεί η Διαδικτυακή Τηλεφωνία (Voice Over Internet Protocol - VoIP), η οποία ούσα διαφορετική από την κλασσική τηλεφωνία, που βασίζεται στην μεταγωγή κυκλώματος, βασίζεται στην μεταγωγή πακέτου, ώστε η φωνή να μεταφέρεται μέσω των πρωτοκόλλων του διαδικτύου. Στο κεφάλαιο αυτό, θα παρουσιαστούν τα βασικά στοιχεία της τεχνολογίας VoIP, τα πρωτόκολλα που αυτή βασίζεται, τα πλεονεκτήματα και μειονεκτήματα που η χρήση της εισάγει. Τέλος, θα παρουσιαστεί το βασικό πρωτόκολλο που χρησιμοποιείται στις υποδομές VoIP, το SIP (Session Initiation Protocol). 2.2 VoIP: Σύγκλιση Δικτύων Δεδομένων και Φωνής Από την εμφάνιση του διαδικτύου και των υπηρεσιών που αυτό προσφέρει, τα δίκτυα δεδομένων και τα δίκτυα φωνής βασίζονται σε, και χρησιμοποιούν, δύο διαφορετικά κανάλια επικοινωνίας. Τα δίκτυα δεδομένων βασίζουν τη λειτουργία τους στη μεταγωγή πακέτων, ενώ τα δίκτυα φωνής στις τεχνολογίες μεταγωγής κυκλωμάτων. Πιο συγκεκριμένα, τα δίκτυα φωνής, με χαρακτηριστικό εκπρόσωπο το Δημόσιο Τηλεφωνικό Δίκτυο Μεταγωγής (Public Switched Telephone Network - PSTN), στηρίζουν τη λειτουργία τους στην εγκαθίδρυση ενός κυκλώματος επικοινωνίας το οποίο πρέπει να παραμείνει ενεργό και σταθερό καθ όλη τη διάρκεια μιας κλήσης. Αντίθετα, τα δίκτυα δεδομένων στηρίζονται στη μεταγωγή πακέτων, χωρίζοντας τα προς αποστολή δεδομένα σε μικρά πακέτα τα οποία προωθούνται μέσω του (δια)δικτύου στον παραλήπτη τους. Οικονομικό Πανεπιστήμιο Αθηνών 28

29 Τα τελευταία χρόνια παρατηρείται μια σύγκλιση των δύο προαναφερθέντων τύπων δικτύων. Η σύγκλιση αυτή οδηγεί στην είσοδο της τεχνολογίας VoIP, εκμεταλλευόμενη τα πλεονεκτήματα που προσφέρουν τα δίκτυα δεδομένων και μεταγωγής πακέτων [KHA03]. Η βασική αρχή λειτουργίας της τεχνολογίας VoIP βασίζεται στο ότι η φωνή μετατρέπεται σε ψηφιακό σήμα το οποίο κατόπιν συμπιέζεται, χωρίζεται σε πακέτα και τελικά αποστέλλεται, μέσω του δικτύου IP, στον ενδεχόμενο παραλήπτη της. Στο άλλο άκρο της επικοινωνίας, ακολουθώντας την αντίθετη διαδικασία, τα πακέτα συγκεντρώνονται, ανοικοδομούνται και μετατρέπονται στο αρχικό φωνητικό σήμα [BLA99]. Εν γένει, η τεχνολογία VoIP, σε αντίθεση με την κλασσική PSTN τηλεφωνία, βασίζεται σε δυο διακριτές μεταξύ τους λειτουργίες: (α) τη λειτουργία της σηματοδοσίας (signaling) και (β) τη λειτουργία αποστολής των πολυμέσων (φωνής ή/και βίντεο). Κατά τη φάση της σηματοδοσίας λαμβάνει χώρα η μεταφορά των απαραίτητων πληροφοριών, οι οποίες θα διευκολύνουν την εγκαθίδρυση και διαχείριση των συνόδων επικοινωνίας μεταξύ των IP άκρων (π.χ. τηλεφωνικών συσκευών). Στη συνέχεια, ακολουθεί η φάση αποστολής του κυρίως περιεχομένου της κλήσης, κατά την οποία η συμπιεσμένη φωνή μεταδίδεται μεταξύ των επικοινωνούντων οντοτήτων. Τα κύρια πρωτόκολλα σηματοδοσίας είναι το πρωτόκολλο H.323 [H323] και το SIP (Session Initiation Protocol) [RFC3261], ενώ σε ότι αφορά τα πρωτόκολλα μεταφοράς πολυμέσων αυτό που χρησιμοποιείται κυρίως είναι το πρωτόκολλο RTP (Real-Time Transport Protocol). Στις επόμενες ενότητες θα παρουσιαστούν συνοπτικά τα πρωτόκολλα σηματοδοσίας. Ιδιαίτερη έμφαση θα δοθεί στο πρωτόκολλο SIP αφού η παρούσα διατριβή επικεντρώνεται σε αυτό αναφορικά με το φαινόμενο SPIT VoIP: Η κατάσταση σήμερα Η τηλεφωνία μέσω του διαδικτύου, είναι η τεχνολογία εκείνη που υποστηρίζει τη συνομιλία μέσω ηλεκτρονικών υπολογιστών αλλά και συμβατικών τηλεφωνικών συσκευών τα οποία έχουν δυνατότητα σύνδεσης στο διαδίκτυο. Για την επίτευξη αυτού του είδους επικοινωνίας είναι απαραίτητος ο κατάλληλος εξοπλισμός (λογισμικό, μικρόφωνο, ακουστικά, ειδικές τηλεφωνικές συσκευές κλπ.). Μια σχηματική αναπαράσταση της τηλεφωνικής υπηρεσίας μέσω δικτύου παρουσιάζεται στην Εικόνα 2.1 [ΥΟΝ06]. Οικονομικό Πανεπιστήμιο Αθηνών 29

30 Εικόνα 2.1: Σχηματική αναπαράσταση Διαδικτυακής Τηλεφωνίας Το VoIP ως υπηρεσία, αποκτά όλο και περισσότερους συνδρομητές με την πάροδο του χρόνου. Η συνεχώς αναπτυσσόμενη αγορά των VoIP τεχνολογιών επιφέρει ουσιαστικά πλεονεκτήματα στις επιχειρήσεις, στους απλούς χρήστες, αλλά και σε ολόκληρη τη βιομηχανία και αγορά επικοινωνιών [ZHA02]. Άλλωστε, το τελευταίο διάστημα γίνεται φανερό ότι δεν πρόκειται για μια απλή τάση, αλλά για μια συνειδητή επιλογή των χρηστών του διαδικτύου (βλ. Eικόνα 2.2). Θεωρείται ως μια σπουδαία εναλλακτική λύση έναντι της παραδοσιακής τηλεφωνίας και αυτό το ενισχύει, κυρίως, το χαμηλό κόστος των κλήσεων. Εικόνα 2.2 Εξέλιξη Αγοράς VoIP (Πηγή: ) Πολλές εταιρείες που προσφέρουν VoIP υπηρεσίες, δίνουν τη δυνατότητα πραγματοποίησης απεριόριστων κλήσεων με μια μικρή μηνιαία εισφορά. Το σημαντικότερο είναι ότι αυτές οι υπηρεσίες προσφέρονται, δίνοντας πολλές επιπλέον δυνατότητες και επιλογές. Από την άλλη, ο τελικός χρήστης μπορεί να εκμεταλλευτεί αυτές τις δυνατότητες, διαθέτοντας τον κατάλληλο εξοπλισμό. Αυτός αποκτάται εύκολα, αφού και οι παραδοσιακές τηλεφωνικές συσκευές με τον κατάλληλο προσαρμογέα (adapter) μπορούν να επιστρατευθούν για την αποτελεσματική χρήση VoIP υπηρεσιών. Στην εικόνα που ακολουθεί (Εικόνα 2.3), αποτυπώνεται η εξέλιξη της αγοράς VoIP εξοπλισμού, καθιστώντας φανερό, πλέον, ότι όλο και περισσότερα χρήματα επενδύονται στις τεχνολογίες VoIP με στόχο να γίνει εκμετάλλευση των πλεονεκτημάτων τους [ΥΟΝ06]. Οικονομικό Πανεπιστήμιο Αθηνών 30

31 Εικόνα 2.3: Εξέλιξη Αγοράς εξοπλισμού VoIP Εν κατακλείδι, η τεχνολογία VoIP συνοδεύεται από πολλά οφέλη που έχουν αντίκτυπο στην αγορά των ενσύρματων και των ασύρματων επικοινωνιών. Οι επιδράσεις είναι ήδη απτές και αντιληπτές από τους παρόχους υπηρεσιών και, κυρίως, από τους τελικούς χρήστες. Ο βασικός στόχος είναι η τεχνολογία VoIP να μπορεί να λειτουργεί κάτω από συνθήκες οι οποίες θα επιτρέπουν την περαιτέρω ανάπτυξη και εξάπλωσή της. Για παράδειγμα, η ανάπτυξη και υιοθέτηση προτύπων βοηθά προς αυτή την κατεύθυνση αντιμετωπίζοντας προβλήματα διαλειτουργικότητας μεταξύ των διαφόρων τεχνολογιών που έχουν ήδη αναπτυχθεί [JOH04] Τεχνολογίες VoIP Οι τεχνολογίες VoIP παρέχουν την απαραίτητη υποδομή που διευκολύνει την εγκαθίδρυση και πραγματοποίηση τηλεφωνικών κλήσεων μέσω του διαδικτύου. Για την πραγματοποίηση αυτών των κλήσεων ο χρήστης πρέπει να διαθέτει είτε ένα τηλέφωνο VoIP (hardware), είτε ειδικό λογισμικό τηλεφώνου, που λειτουργεί με βάση το πρωτόκολλο SIP (softphone) ή άλλα παρεμφερή πρωτόκολλα (π.χ. skype). Επιπρόσθετα, για την πραγματοποίηση των κλήσεων είναι απαραίτητη η χρήση κατάλληλων κωδικοποιητών αποκωδικοποιητών (coder-decoder), οι οποίοι θα είναι υπεύθυνοι για την μετατροπή των ηχητικών σημάτων σε μια συμπιεσμένη ψηφιακή μορφή και το αντίστροφο, χωρίς την απώλεια πληροφορίας. Παράλληλα, για να μπορέσουν όλες οι παραπάνω συσκευές και τα προγράμματα ή/και συσκευές να επικοινωνήσουν αποδοτικά μεταξύ τους, είναι αναγκαία η ύπαρξη πρωτοκόλλων που ορίζουν τις τεχνικές προδιαγραφές για την πραγματοποίηση των κλήσεων. Δύο κύριοι οργανισμοί έχουν καταθέσει τις προτάσεις τους για μετάδοση πολυμεσικών δεδομένων μέσω διαδικτύου. Οι οργανισμοί αυτοί είναι οι IETF (Internet Engineering Task Force) 1 και η ITU (International Telecommunication Union) 2. 1 The Internet Engineering Task Force ( 2 International Telecommunication Union ( Οικονομικό Πανεπιστήμιο Αθηνών 31

32 Ανεξάρτητα από το ποια εμπορική λύση και ποια πρωτόκολλα θα επιλεχθούν, τα συστήματα VoIP αποτελούνται από κάποια καθιερωμένα συστατικά μέρη (components) που απαρτίζουν και στηρίζουν τις υπηρεσίες VoIP. Τα συστατικά αυτά είναι [DOD06]: Δικτυακή υποδομή IP (IP network infrastucture): Απαραίτητη είναι η δικτυακή υποδομή που προσφέρουν τα IP δίκτυα. H υποδομή πρέπει να διασφαλίζει την παράδοση των προς μετάδοση πακέτων στους αποδέκτες των τηλεφωνικών κλήσεων, με στόχο να επιτυγχάνεται ικανοποιητική ποιότητα υπηρεσιών (QoS). Προκειμένου να επιτευχθεί αυτό, πρέπει το εκάστοτε IP δίκτυο να διαχειρίζεται τα πακέτα δεδομένων και φωνής με διαφορετικό τρόπο. Πιο συγκεκριμένα, λόγω της ύπαρξης καθυστέρησης (latency) στη μετάδοση της φωνής, σε σχέση με τα απλά πακέτα δεδομένων, απαιτείται διαφορετικός τρόπος μεταχείρισης τους. Αυτό επιτυγχάνεται μέσω ορισμού προτεραιοτήτων στα πακέτα έτσι ώστε εκείνα που μεταδίδουν φωνή να επισημαίνονται και η δρομολόγησή τους να γίνεται πιο γρήγορα. Επεξεργαστές κλήσεων (call controllers): Αφορά το λογισμικό που εγκαθίσταται για να εποπτεύει τις κλήσεις, να σχηματίζει τους τηλεφωνικούς αριθμούς, να εξουσιοδοτεί τους χρήστες και να συγχρονίζει τα σήματα των κλήσεων. Οι συσκευές αυτές παρέχουν και υπηρεσίες ελέγχου και ουσιαστικά συντονίζουν όλες τις λειτουργίες των ενδιάμεσων πυλών σηματοδοσίας. Πύλες σηματοδότησης (media gateways): Αφορά τις οντότητες που είναι υπεύθυνες για την μετατροπή του αναλογικού σήματος (στη συγκεκριμένη περίπτωση της φωνής) σε ψηφιακή και αντίστροφα, τη δημιουργία των πακέτων προς μετάδοση, καθώς επίσης και για τη συμπίεση (compression) της φωνής και την εξάλειψη της αντήχησης (echo) και του θορύβου (noise). Οι πύλες μπορούν να τοποθετούνται σε διάφορα σημεία του δικτύου, για αυτό και διατίθενται σε πολλές μορφές. Συνδρομητικές τερματικές συσκευές: Αφορά τις συσκευές που χρησιμοποιεί ο τελικός χρήστης για να πραγματοποιεί ή να δέχεται τηλεφωνικές κλήσεις. Οι συσκευές αυτές παρέχουν αμφίδρομη επικοινωνία σε πραγματικό χρόνο. Μπορούν να υποστηρίζουν και άλλες προαιρετικές υπηρεσίες, όπως μετάδοση δεδομένων και βίντεο. Έχουν διάφορες μορφές και διακρίνονται οι ακόλουθες κατηγορίες: τηλέφωνο VoIP, συμβατικό τηλέφωνο με τον αντίστοιχο VoIP προσαρμογέα, κατάλληλο λογισμικό με μικρόφωνο και ακουστικά, κλπ Βασικές αρχιτεκτονικές VoIP Μέχρι στιγμής υπάρχει μεγάλος αριθμός κατασκευαστών που προσφέρουν προϊόντα και υπηρεσίες VoIP. Ωστόσο, ο τρόπος με τον οποίο η κάθε λύση παρέχει τις υπηρεσίες VoIP, δηλαδή την αποστολή φωνής μέσω του διαδικτύου, ενδέχεται να ποικίλει. Στο πλαίσιο αυτό, στη συνέχεια παρουσιάζονται, οι βασικές αρχιτεκτονικές των VoIP συστημάτων [DOD06]. Οικονομικό Πανεπιστήμιο Αθηνών 32

33 IP centric Η αρχιτεκτονική αυτή σχεδιάστηκε γύρω από ένα κεντρικοποιημένο σύστημα μεταγωγής πακέτων IP. Οι IP συσκευές είναι κατανεμημένες σε διάφορα σημεία και όλες μαζί λειτουργούν συνεργατικά για να προσομοιάσουν το μηχανισμό ενός παραδοσιακού τηλεφωνικού κέντρου, όπως φαίνεται και στην παρακάτω εικόνα [DOD06]. Εικόνα 2.4: Αρχιτεκτονική IP Centric Σε αυτή την περίπτωση η συνδεσιμότητα με το υπόλοιπο δίκτυο μεταγωγής γίνεται μέσω μιας αντίστοιχης - αποκλειστικής χρήσης - τηλεφωνικής γραμμής που καλείται PRI (Primary Rate Interface) IP Enabled Η συγκεκριμένη αρχιτεκτονική ενσωματώνει τις υπηρεσίες που προσφέρει ένα παραδοσιακό τηλεφωνικό κέντρο, παρέχοντας παράλληλα στους τελικούς χρήστες-συνδρομητές, τερματικές συσκευές οι οποίες υποστηρίζουν VoIP υπηρεσίες. Βασίζεται σε ένα κύκλωμα μεταγωγής που χρησιμοποιεί πολυπλεξία χρονικής διαίρεσης (TDM-Time Division Multiplexing). Παρέχει, δηλαδή, τη δυνατότητα χρήσης τόσο παραδοσιακών τηλεφωνικών συσκευών, όσο και IP τηλεφώνων (softphones). Μια διεπαφή δικτύου Ethernet δίνει τη δυνατότητα σύνδεσης με το τοπικό δίκτυο (LAN-Local Area Network), το οποίο συνιστούν οι προαναφερθείσες τηλεφωνικές συσκευές. Σχηματικά η υποδομή αναπαρίσταται στην παρακάτω εικόνα [DOD06]. Οικονομικό Πανεπιστήμιο Αθηνών 33

34 Εικόνα 2.5: IP Enabled Αρχιτεκτονική Λειτουργικά Ζητήματα Η ανοιχτή φύση (openness) και η ευελιξία (flexibility) του διαδικτύου και του παγκόσμιου ιστού (WWW) βοηθούν και ενισχύουν την περαιτέρω εξάπλωση της τεχνολογίας VoIP. Ωστόσο, τα χαρακτηριστικά αυτά εισάγουν και διάφορα ζητήματα τα οποία χρήζουν ιδιαίτερης προσοχής και σημασίας, ενώ επηρεάζουν την αποτελεσματική και αποδοτική λειτουργία της τεχνολογίας VoIP. Στην ενότητα αυτή, θα παρουσιαστούν τα βασικότερα λειτουργικά ζητήματα τα οποία πρέπει να λαμβάνονται υπόψη κατά τη σχεδίαση, ανάπτυξη και τελικά χρήση των συστημάτων VoIP [DOD06], [SCH99], [SIS02], [ΔΗΜ08] Απλότητα και ευκολία χρήσης (Usability) Η ανάπτυξη συστημάτων VoIP πρέπει να είναι το ίδιο εύκολη όπως τα αντίστοιχα συστήματα της κλασικής τηλεφωνίας. Ανεξάρτητα της ήδη υπάρχουσας και εγκατεστημένης δικτυακής υποδομής (τοπικό δίκτυο, σύνδεση adsl κλπ.), η ευκολία εγκατάστασης και κατ επέκταση χρήσης, πρέπει να διατηρείται ανά πάσα στιγμή. Επιπρόσθετα, οι τηλεφωνικές συσκευές πρέπει να είναι το ίδιο εύκολο να χρησιμοποιηθούν, όπως οι κλασικές τηλεφωνικές συσκευές, ενώ η εμπλοκή του χρήστη (λ.χ. παραμετροποίηση της συσκευής κλπ.) να διατηρείται χαμηλή. Τέλος, η δυνατότητα των χρηστών να καλούν υπηρεσίες έκτακτης ανάγκης (911 services, 112 services), πρέπει να παρέχεται με την ίδια ευκολία, όπως στα κλασικά τηλεφωνικά δίκτυα Αξιοπιστία (Reliability) Ένα από τα βασικά προβλήματα που απαντώνται στη VoIP τεχνολογία είναι η αξιοπιστία. Το VoIP εξ ορισμού εξαρτάται από την παροχή ρεύματος. Τα κλασσικά τηλέφωνα λειτουργούν ακόμα και όταν δεν υπάρχει ρεύμα. Αντίθετα, η διακοπή παροχής ρεύματος ενδέχεται να θέσει εκτός λειτουργίας βασικά συστατικά (components) της υποδομής VoIP, με αποτέλεσμα να μην παρέχονται οι αντίστοιχες υπηρεσίες. Οικονομικό Πανεπιστήμιο Αθηνών 34

35 Παράλληλα, λόγω του ότι η τεχνολογία VoIP απαιτεί μόνιμη σύνδεση στο διαδίκτυο, είναι επιρρεπής σε παραμέτρους που επηρεάζουν τη σύνδεση αυτή (π.χ. εύρος ζώνης, καθυστερήσεις κλπ.) και μπορεί να έχουν αντίκτυπο στην ποιότητα των παρεχόμενων υπηρεσιών. Ενδεικτικά, αναφέρονται προβλήματα καθυστέρησης (delay), διακύμανσης (jitter) και απώλειας πακέτων (packet loss). Τέλος, το VoIP, λόγω της εξάρτησής του από το διαδίκτυο, είναι επιρρεπές σε απειλές εμφανιζόμενες σε αυτό. Επομένως, τα ζητήματα ασφάλειας του διαδικτύου ενδέχεται να περιορίσουν σε μεγάλο βαθμό την αξιοπιστία των τεχνολογιών VoIP Ποιότητα Υπηρεσιών (Quality of Service) Τα επιμέρους δικτυακά στοιχεία (networks components) των VoIP υποδομών πρέπει να λειτουργούν με τέτοιο τρόπο έτσι ώστε να επιτυγχάνεται ικανοποιητικός βαθμός της ποιότητας των παρεχόμενων υπηρεσιών (QoS) [JOH04]. Όπως έχουμε ήδη αναφέρει, η επιτυχία της τεχνολογίας VoIP συναρτάται από την αξιόπιστη και αποδοτική λειτουργία της σε αντιστοιχία με τα κλασικά δίκτυα τηλεφωνίας. Εν γένει, οποιαδήποτε VoIP υποδομή πρέπει να σχεδιάζεται και να αναπτύσσεται με τέτοιο τρόπο ώστε [KHA03]: (α) να παρέχεται μόνιμα ήχος κλήσης (dial tone), (β) η ποιότητα του φωνητικού σήματος να διατηρείται αρκετά υψηλή και (γ) να παρέχονται αξιόπιστες υπηρεσίες χρέωσης και εξυπηρέτησης των πελατών. Στη συνέχεια, παρουσιάζουμε τα βασικά στοιχεία τα οποία πρέπει να διατηρούνται σε ικανοποιητικά μεγέθη ώστε η ποιότητα των παρεχόμενων υπηρεσιών να διατηρείται σε ικανοποιητικά μεγέθη Καθυστέρηση (Delay) Η καθυστέρηση (delay-latency) ορίζεται ως το χρονικό διάστημα που απαιτείται για τη μετάδοση του ηχητικού σήματος από τον καλούντα (εκφωνητή) μέχρι τον καλούμενο (αποδέκτη). Υπάρχουν τρεις (3) διαφορετικοί τύποι καθυστέρησης οι οποίοι πρέπει να διασφαλίζονται για την αποδοτική παροχή των υπηρεσιών. Οι τύποι αυτοί είναι [VOI05]: 1. Καθυστέρηση Μετάδοσης (Propagation Delay), η οποία οφείλεται από τη ταχύτητα μετάδοσης του φωτός στις οπτικές ίνες ή στα δίκτυα χαλκού. 2. Καθυστέρησης Eπεξεργασίας (Processing Delay), η οποία οφείλεται σε διαφορετικούς λόγους, αλλά ο κυριότερος είναι η καθυστέρηση επεξεργασίας και προώθησης των πακέτων ανάμεσα στους διάφορους κόμβους της δικτυακής υποδομής, και 3. Καθυστέρηση Αλληλουχίας (Serialization Delay), όπου ορίζεται ως ο χρόνος που απαιτείται μέχρι το ηχητικό σήμα να εισέλθει ουσιαστικά στην εκάστοτε χρησιμοποιούμενη διεπαφή Διακύμανση (Jitter) H διακύμανση (jitter) [NIST05] οφείλεται στην άφιξη των πακέτων στον προορισμό τους σε διαφορετικό χρόνο και όχι διατηρώντας κάποια χρονική αλληλουχία. Το φαινόμενο αυτό εντοπίζεται μόνο στα δίκτυα που βασίζουν τη λειτουργία τους στη μεταγωγή πακέτων. Στην Οικονομικό Πανεπιστήμιο Αθηνών 35

36 περίπτωση των υπηρεσιών VoIP ενδέχεται να επιφέρει σημαντικά προβλήματα στην ποιότητα των τηλεφωνικών κλήσεων λόγω της καθυστέρησης μετάδοσης των πακέτων φωνής. Αν, επομένως, η εκάστοτε VoIP υποδομή διαμορφωθεί με χρήση κατάλληλων προληπτικών μηχανισμών (π.χ. κατάλληλου μεγέθους προσωρινού αποθηκευτικού χώρου (buffer)), η διαφορά στο χρόνο άφιξης των πακέτων μπορεί να ελεγχθεί, καθιστώντας ικανοποιητική την παρεχόμενη ποιότητα υπηρεσιών Αντήχηση (Echo) Η αντήχηση είναι ένα σύνηθες φαινόμενο στα τηλεφωνικά δίκτυα το οποίο επηρεάζει σημαντικά την ποιότητα των παρεχόμενων υπηρεσιών [NIST05]. Γενικά, στα VoIP δίκτυα, η αντιμετώπιση της αντήχησης πρέπει να γίνεται στα αρχικά στάδια εγκατάστασης και με χρήση κατάλληλων μηχανισμών (echo cancellation mechanism). Αν η τεχνοδιαμόρφωση των εν λόγω μηχανισμών δεν γίνει σωστά, τότε το φαινόμενο της αντήχησης θα είναι έντονο καθιστώντας δύσκολη τη χρήση των VoIP υπηρεσιών Απώλεια Πακέτων (Packet Loss) Η απώλεια των πακέτων είναι ένα σύνηθες φαινόμενο στα δίκτυα δεδομένων [NIST05]. Ωστόσο, πολλά πρωτόκολλα ενσωματώνουν μηχανισμούς μέσω των οποίων αποφεύγεται ή τουλάχιστον ελέγχεται η απώλεια των πακέτων. Εν γένει, η μετάδοση φωνής μέσω δικτύων δεδομένων απαιτεί τη διαμόρφωση της δικτυακής υποδομής με τρόπο που διασφαλίζει ότι η φωνή μεταδίδεται με αξιόπιστο τρόπο και εντός λογικών χρονικών διαστημάτων. Έτσι, η ύπαρξη μηχανισμών που διασφαλίζουν το δίκτυο από τη απώλεια πακέτων φωνής κρίνεται απαραίτητη ώστε η ποιότητα των παρεχόμενων υπηρεσιών να είναι ικανοποιητική Κλιμάκωση (Scalability) Η απαραίτητη δικτυακή υποδομή στην οποία θα βασίζονται οι υπηρεσίες VoIP πρέπει να λαμβάνει υπόψη της την ύπαρξη μεγάλου αριθμού χρηστών ή την ενδεχόμενη αύξηση αυτού. Στο πλαίσιο αυτό, καθίσταται αναγκαία η ύπαρξη κατάλληλων στοιχείων του δικτύου τα οποία θα διασφαλίζουν ότι ενδεχόμενη κλιμάκωσή του δε θα επηρεάσει αρνητικά την ποιότητα των παρεχόμενων υπηρεσιών αλλά ούτε και τη διαθεσιμότητα αυτών Διαλειτουργικότητα Η χρήση συστημάτων VoIP δεν πρέπει να γίνεται με τρόπο που ακυρώνει τις ήδη υπάρχουσες δικτυακές υποδομές και κατ επέκταση υπηρεσίες. Τα εκάστοτε υπό ανάπτυξη δίκτυα VoIP πρέπει να λειτουργούν αρμονικά με τα ήδη χρησιμοποιούμενα τηλεφωνικά δίκτυα με στόχο να συμπληρώνουν αυτά και όχι να τα αντικαθιστούν. Η διατήρηση, επομένως, της διαλειτουργικότητας μεταξύ των VoIP συστημάτων με τα κλασικά τηλεφωνικά Οικονομικό Πανεπιστήμιο Αθηνών 36

37 δίκτυα, πρέπει να παρέχεται μέσω της επιλογής και τελικής χρήσης συστημάτων, λογισμικού και υλικού, τα οποία θα υποστηρίζουν τόσο τα παραδοσιακά τηλεφωνικά συστήματα όσο και τα νέα Ασφάλεια Η καθιέρωση της τεχνολογίας VoIP σε συνδυασμό με την ανοικτή φύση και διείσδυση του διαδικτύου καθιστά τα συστατικά μια υποδομής VoIP αρκετά ευπαθή σε ενδεχόμενα περιστατικά ανασφάλειας. Οι απειλές και αδυναμίες είναι ποικίλες και ενδέχεται να επηρεάσουν σε μεγάλο βαθμό την αξιόπιστη, ασφαλή και εύρυθμη λειτουργία των συστημάτων VoIP [NIST05], [SAW06]. Επιπρόσθετα, το γεγονός ότι οι τεχνικές και οι πρακτικές που χρησιμοποιούν οι κακόβουλοι χρήστες αλλάζουν, εξελίσσονται και προσαρμόζονται συνεχώς στις νέες συνθήκες, καθιστούν αναγκαία την υιοθέτηση και χρησιμοποίηση συγκεκριμένων ελέγχων και μέτρων ασφάλειας. Απαιτείται, επομένως, η υιοθέτηση και χρησιμοποίηση μηχανισμών ασφάλειας, οι οποίοι θα διασφαλίζουν την εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα των υπηρεσιών VoIP. Ωστόσο, οι μηχανισμοί αυτοί πρέπει να χρησιμοποιούνται με τρόπο, ο οποίος δε θα οδηγεί στη δυσκολία χρήσης των υπηρεσιών από τους τελικούς χρήστες. Η διατήρηση, επομένως, της κατάλληλης ισορροπίας μεταξύ ενός ικανοποιητικού επιπέδου ασφάλειας και ευκολίας χρήσης (service usability) αποτελεί στοιχείο εκ των ουκ άνευ για την ομαλή λειτουργία των VoIP συστημάτων [SIS06] Ρυθμιστικό και κανονιστικό πλαίσιο (Laws and Regulations) H ανάπτυξη συστημάτων VoIP και οι αντίστοιχες προσφερόμενες υπηρεσίες επηρεάζουν σε μεγάλο βαθμό το σύνολο της τηλεπικοινωνιακής αγοράς. Οι εκάστοτε πάροχοι υπηρεσιών VoIP εμπλέκονται σε ένα πλήρως ανταγωνιστικό περιβάλλον το οποίο δρα υπέρ του τελικού καταναλωτή χρήστη. Ωστόσο, η κατάσταση αυτή απαιτεί την ύπαρξη κατάλληλων φορέων (π.χ. ανεξάρτητες αρχές), οι οποίοι θα ελέγχουν τις εκάστοτε υιοθετούμενες πρακτικές των παρόχων με στόχο αυτές να προσαρμόζονται και να σέβονται το ρυθμιστικό, νομικό και κανονιστικό πλαίσιο [MCT00]. Χαρακτηριστικό παράδειγμα, αποτελεί το γεγονός ότι ο οποιοσδήποτε πάροχος επιθυμεί να λάβει άδεια παροχής υπηρεσιών VoIP, θα πρέπει να παρέχει κατ ελάχιστο ένα συγκεκριμένο αριθμό υπηρεσιών Πλεονεκτήματα και Μειονεκτήματα τεχνολογίας VoIP Η χρήση της τεχνολογίας VoIP επιφέρει αρκετά οφέλη τόσο για τις επιχειρήσεις και τους οργανισμούς όσο και για τους μεμονωμένους χρήστες. Από την άλλη, όμως, υπάρχουν και διάφορα μειονεκτήματα. Στην ενότητα αυτή θα παρουσιάσουμε εν συντομία τα σημαντικότερα πλεονεκτήματα και μειονεκτήματα της τεχνολογίας VoIP [KHA03] Πλεονεκτήματα τεχνολογίας VoIP Το σημαντικότερο πλεονέκτημα της χρήσης της τεχνολογίας VoIP αφορά τη μείωση του κόστους. Οι περισσότερες εταιρείες και οργανισμοί με χρήση της εκάστοτε εσωτερικής δικτυακής τους υποδομής (internal network) και με χρήση μιας αξιόπιστης σύνδεσης με το Οικονομικό Πανεπιστήμιο Αθηνών 37

38 διαδίκτυο μπορούν να αναπτύξουν εύκολα και χωρίς σημαντικό κόστος μια υποδομή VoIP. Η αξιοποίηση της τεχνολογίας VoIP προσφέρει πολύ οικονομικές τηλεφωνικές κλήσεις, καθώς για τη μετάδοση της φωνής χρησιμοποιείται το δίκτυο IP και όχι τα παραδοσιακά κανάλια επικοινωνίας. Το δεύτερο βασικό πλεονεκτήματα των τεχνολογιών VoIP είναι η δυνατότητα φορητότητας (mobility). Μια επιχείρηση ή ένας οργανισμός μέσω των τεχνολογιών VoIP μπορεί να εξοικονομήσει πολλά χρήματα από τα τέλη περιαγωγής (roaming), πετυχαίνοντας οικονομίες κλίμακας, αν οι εργαζόμενοί της έχουν την ευχέρεια δρομολόγησης των κλήσεων μέσω του εσωτερικού δικτύου αυτής. Τέλος, τα πλεονεκτήματα σε ότι αφορά τους απλούς χρήστες είναι άμεσα εμφανή. Το κυριότερο, και σε αυτή την περίπτωση, είναι το χαμηλό κόστος των κλήσεων σε σχέση με το κόστος των παραδοσιακών τηλεφωνικών δικτύων. Ο εκάστοτε χρήστης με αρκετά χαμηλό κόστος μπορεί να προμηθευτεί τον απαραίτητο εξοπλισμό (π.χ. ειδική VoIP τηλεφωνική συσκευή) προκειμένου να επωφεληθεί των υπηρεσιών που παρέχουν οι τεχνολογίες VoIP Μειονεκτήματα τεχνολογίας VoIP Το βασικό πρόβλημα των τεχνολογιών VoIP το οποίο αντιμετωπίζουν τόσο οι απλοί χρήστες όσο και οι επιχειρήσεις και οργανισμοί είναι η αξιοπιστία (reliability). Η εύρυθμη και αποδοτική λειτουργία των συστημάτων VoIP απαιτεί τη σωστή τεχνοδιαμόρφωσή τους ώστε να μην υπάρχουν προβλήματα που μπορούν να επηρεάσουν την αξιόπιστη παροχή υπηρεσιών. Απλό παράδειγμα, αποτελεί η ενδεχόμενη διακοπή παροχής ρεύματος που μπορεί να επηρεάσει την εξ ολοκλήρου παροχή υπηρεσιών VoIP και κατ επέκταση την αξιοπιστία και τη φήμη μιας επιχείρησης ή και οργανισμού. Άλλο σημαντικό πρόβλημα αποτελεί η ποιότητα των κλήσεων (call quality). Η χρήση απλών συνδέσεων διαδικτύου (π.χ. απλές συνδέσεις dial-up ή/και μη αξιόπιστες adsl συνδέσεις) επηρεάζουν την ποιότητα μετάδοσης της φωνής με την ύπαρξη αντήχησης ή/και καθυστέρησης της μετάδοσης. Παρόλα, τα προβλήματα που εντοπίζονται σε ότι αφορά τις τεχνολογίες VoIP, οι εκάστοτε πάροχοι υπηρεσιών καθώς και οι διάφορες εταιρείες που αναπτύσσουν τον απαραίτητο εξοπλισμό παρέχουν πιο εξελιγμένα χαρακτηριστικά τα οποία αναμένεται ότι θα ελαχιστοποιήσουν στο έπακρο τα διάφορα μειονεκτήματα που εντοπίζονται Πρωτόκολλα VoIP Στην ενότητα αυτή θα παρουσιασθούν τα κυριότερα πρωτόκολλα που χρησιμοποιούνται στις υποδομές VoIP, με κύρια έμφαση το πρωτόκολλο σηματοδοσίας SIP Πρωτόκολλα Σηματοδοσίας Τα βασικά και πιο διαδεδομένα πρωτόκολλα σηματοδοσίας στη τηλεφωνία μέσω διαδικτύου είναι το πρωτόκολλο H.323, που αναπτύχθηκε από την ITU-T, και το πρωτόκολλο SIP Οικονομικό Πανεπιστήμιο Αθηνών 38

39 (Session Initiation Protocol) που αναπτύχθηκε από την IETF. Παρόλο που η φιλοσοφία λειτουργίας των δύο πρωτοκόλλων είναι η ίδια, αυτή επιτυγχάνεται με διαφορετικό τρόπο Πρωτόκολλο H.323 Το πρωτόκολλο Η.323 [H323] αναπτύχθηκε από τον οργανισμό ITU (International Telecommunications Union) και αποτελεί μέλος μίας ευρύτερης οικογένειας πρωτοκόλλων με τον γενικό τίτλο H.23x. Σκοπός της συγκεκριμένης σειράς πρωτοκόλλων είναι η παροχή υπηρεσιών πολυμεσικής επικοινωνίας διαμέσου δικτύων διαφορετικών τεχνολογιών, τα οποία στο σύνολό τους δεν παρέχουν εγγυημένη ποιότητα υπηρεσιών. Το πρωτόκολλο καθορίζει τον τρόπο με τον οποίο πληροφορία ήχου και εικόνας θα διαμορφωθεί και θα χωριστεί σε πακέτα δεδομένων προκειμένου να μεταδοθεί στο δίκτυο. Το πρωτόκολλο H.323 ήταν το πρώτο πρωτόκολλο που παρείχε τη δυνατότητα τηλεφωνίας μέσω δικτύων IP και ως τέτοιο εντοπίζεται σε πολλές VoIP υποδομές. Επίσης, το γεγονός ότι είναι ένα πρωτόκολλο το οποίο αναπτύχθηκε από ένα κατεξοχήν τηλεπικοινωνιακό οργανισμό προσανατολισμένο στα δίκτυα PSTN, το καθιστά δελεαστική επιλογή από εταιρείες παροχής υπηρεσιών VoIP. Η γενική αρχιτεκτονική του πρωτοκόλλου παρουσιάζεται στην παρακάτω εικόνα [H323]. Εικόνα 2.6: Γενική αρχιτεκτονική του H Πρωτόκολλο SIP Το πρωτόκολλο SIP (Session Initiation Protocol) [RFC3261] αναπτύχθηκε από το IETF (Internet Engineering Task Force) με σκοπό τη δημιουργία, τροποποίηση και τερματισμό συνόδων (sessions) μεταξύ δύο ή περισσοτέρων τερματικών σημείων σε δίκτυα IP. Το SIP δεν είναι από μόνο του ένα αυτάρκες πρωτόκολλο παροχής υπηρεσιών διαδικτυακής τηλεφωνίας, αλλά αντίθετα απαιτείται η συνέργεια του με άλλα πρωτόκολλα, τα οποία καθορίζουν τις διαδικασίες μεταφοράς της ροής πληροφορίας των μέσων. Το SIP είναι ανεξάρτητο του επιπέδου μεταφοράς και μπορεί να λειτουργεί είτε πάνω από TCP/UDP ή οποιοδήποτε άλλο πρωτόκολλο μεταφοράς [RFC3261]. Οικονομικό Πανεπιστήμιο Αθηνών 39

40 Ενώ αναλυτικές πληροφορίες θα αναφερθούν στην ενότητα 2.3, στο σημείο αυτό παρουσιάζουμε τα βασικότερα χαρακτηριστικά του πρωτοκόλλου, στα οποία βασίζεται η μεγάλη διείσδυση και αποδοχή του τα τελευταία χρόνια [CAM02], [JOH04], [SIN06]: Το πρωτόκολλο σχεδιάστηκε με στόχο την απλότητα και την ευκολία στη χρήση του, χαρακτηριστικά που όπως θα παρουσιαστεί στη συνέχεια ικανοποιούνται. Το πρωτόκολλο είναι ιδιαίτερα ευέλικτο και μπορεί να προσαρμοσθεί σε οποιαδήποτε υποδομή VoIP, ανεξάρτητα από τα ιδιαιτέρα χαρακτηριστικά της επιμέρους τεχνοδιαμόρφωσης αυτής. Η κωδικοποίηση και διαμόρφωση των μηνυμάτων του πρωτοκόλλου είναι σε απλό κείμενο (text based) κάτι που καθιστά τον χειρισμό και την εκμάθηση του αρκετά απλή (όμοια με το πρωτόκολλο HTTP). Η από άκρο σε άκρο (end-to-end) φιλοσοφία σχεδιασμού του πρωτοκόλλου μεταθέτει την λογική (logic) λειτουργίας του στα άκρα. Με αυτόν τον τρόπο, επιτυγχάνεται η απλότητα λειτουργίας του κυρίως δικτύου και κατ επέκταση οικονομίες κλίμακας κατά τη χρήση και ανάπτυξη υποδομών VoIP Σύγκριση Πρωτοκόλλων Η.323 και SIP Το Η.323 προτεινόμενο από την ITU-T, είναι ένα πρωτόκολλο βασισμένο σε προηγούμενα πρότυπα της ITU-T που προδιέγραφαν συστήματα ISDN. Στην αντίθετη κατεύθυνση το πρότυπο της IETF, το SIP, βασίζεται σε εντελώς διαφορετική φιλοσοφία, την ίδια φιλοσοφία που διέπει πετυχημένα πρωτόκολλα όπως το HTTP και το SΜTP. Στον πίνακα που ακολουθεί, παρουσιάζεται μια σύγκριση των πρωτοκόλλων ως προς τα βασικά χαρακτηριστικά αυτών και τις υπηρεσίες που προσφέρουν [GLA03], [ΝΑΚ07]. Πίνακας 2.1: Σύγκριση πρωτοκόλλων H.323 και SIP Ιδιότητες-Χαρακτηριστικά Αρχιτεκτονική Μεταφορά Περιαγωγή και Αναμονή κλήσεων Συνεδρίες (Conference) Κλιμάκωση H.323 SIP Το H.323 παρέχει πλήθος υπηρεσιών όπως σηματοδοσία, εγγραφή (registration), ανακάλυψη υπηρεσιών (service discovery), έλεγχο συνεδρίας (conference control), ποιότητα παρεχομένων υπηρεσιών (QoS) κ.λ.π. ΝΑΙ ΝΑΙ Η αρχική του έκδοση δεν παρείχε τέτοιες δυνατότητες. Νέες εκδόσεις ή/και επεκτάσεις του πρωτοκόλλου ενισχύουν τη δυνατότητα κλιμάκωσης του. Το SIP παρέχει κυρίως υπηρεσίες σηματοδοσίας, εγγραφής και εύρεσης τοποθεσίας χρήστη (user location) ΝΑΙ ΝΑΙ Το SIP ενδογενώς παρέχει δυνατότητες κλιμάκωσης. Οικονομικό Πανεπιστήμιο Αθηνών 40

41 Ιδιότητες-Χαρακτηριστικά Πρωτόκολλο μεταφοράς (Transport Protocol) Κωδικοποίηση μηνυμάτων (Message Encoding) Διευθυνσιοδότηση (Addressing) Διαλειτουργικότητα με δίκτυα PSTN H.323 SIP Δυνατότητα χρήσης τόσο αξιόπιστων (TCP) όσο και μη (UDP) πρωτοκόλλων μεταφοράς. Κυρίως χρησιμοποιείται το πρωτόκολλο TCP. Το H.323 χρησιμοποιεί κωδικοποίηση ASN.1 Ευέλικτοι μηχανισμοί συμπεριλαμβανομένων URLs και E.164. Εύκολη υποστήριξη διαλειτουργικότητας με δίκτυα PSTN. Ωστόσο απαιτούνται επιπρόσθετοι μηχανισμοί Δυνατότητα χρήσης τόσο αξιόπιστων (TCP) όσο και μη (UDP) πρωτοκόλλων μεταφοράς. Συνήθως χρησιμοποιείται το πρωτόκολλο UDP. Το SIP χρησιμοποιεί κωδικοποίηση κειμένου (ASCII). Το SIP χρησιμοποιεί αποκλειστικά URL-style διευθύνσεις. Μη εύκολη υποστήριξη διαλειτουργικότητας. Απαιτούνται εξειδικευμένοι μηχανισμοί. Συνοψίζοντας, μετά τις τελευταίες αναβαθμίσεις του πρωτοκόλλου Η.323, τα δυο πρωτόκολλα παρέχουν ένα πανομοιότυπο σύνολο υπηρεσιών. Ωστόσο, το SIP υπερτερεί ως προς την απλότητά του και τις δυνατότητες επέκτασής του. Τα δύο αυτά σημεία υπεροχής του SIP, είναι πολύ σημαντικά για μια αναπτυσσόμενη τεχνολογία όπως το VoIP και του δίνουν ένα ισχυρό προβάδισμα για την επιλογή του ως κυρίαρχου πρωτοκόλλου σηματοδοσίας Πρωτόκολλα Μεταφοράς Περιεχομένου Όπως προαναφέρθηκε, στη τηλεφωνία μέσω διαδικτύου ορίζεται ένα μέρος της επικοινωνίας σχετικό με τη σηματοδοσία (εγκαθίδρυση, τροποποίηση ή τερματισμό μίας συνόδου πολυμέσων) ενώ το άλλο μέρος αφορά την μεταφορών των πολυμέσων, δηλαδή της φωνής. Το βασικό πρωτόκολλο που χρησιμοποιείται για τη μεταφορά των πολυμέσων είναι το RTP Πρωτόκολλο RTP Ο βασικός ρόλος του RTP (Real-time Transport Protocol) [JOH04] είναι η παροχή της απαραίτητης διεπαφής (interface) μεταξύ των εφαρμογών πραγματικού χρόνου (real time applications) και των πρωτοκόλλων του επιπέδου μεταφοράς (transport layer) του υπάρχοντος δικτύου. Το RTP δημιουργήθηκε για να παρέχει απλές υπηρεσίες ανεξάρτητες του επιπέδου μεταφοράς, με μόνη προϋπόθεση την "σχετικά έγκυρη" μεταφορά των πακέτων, με κάποια λογική και αναμενόμενη καθυστέρηση και διασφαλίζοντας, από την άλλη, τη σωστή σειρά μετάδοσης των πακέτων [KHA03]. Το RTP κάνει χρήση του UDP γεγονός που σε καμία περίπτωση δε διασφαλίζει την επιθυμητή ποιότητα των παρεχόμενων υπηρεσιών (QoS), αλλά υποβοηθά και υποστηρίζει τον έλεγχο της μεταγωγής των πακέτων πολυμέσων από τον αποστολέα στον παραλήπτη. Οι βασικές υπηρεσίες που παρέχει το πρωτόκολλο είναι [KHA03]: Οικονομικό Πανεπιστήμιο Αθηνών 41

42 καθορισμός και αναγνώριση του τύπου των δεδομένων που μεταδίδονται, σειριακή αρίθμηση των πακέτων, χρονοσήμανση πακέτων, και έλεγχος των διαδικασιών μεταφοράς Πρωτόκολλο RTCP Όπως προαναφέρθηκε, το RTP είναι ένα απλό πρωτόκολλο μεταφοράς πολυμέσων. Συμπληρωματικά με το RTP δρα το πρωτόκολλο RTCP (RTP Control Protocol) [JOH04], του οποίου βασική λειτουργικότητα είναι να ελέγχει και να κατευθύνει τις RTP συνόδους μεταξύ των τερματικών, παρέχοντας πληροφορίες για την κατάσταση των ενεργών διασκέψεων. Δύο είναι οι τύποι πακέτων που ανταλλάσσονται: (α) Sender Reports (SR) και (β) Receiver Reports (RR), οι οποίοι περιέχουν πληροφορίες για την κατάσταση κάθε μίας από τις RTP συνόδους. Έτσι, λοιπόν, αυτό που κυρίως τα πακέτα RTCP μεταφέρουν, είναι πεδία που δίνουν τη δυνατότητα ανάλυσης του ποσοστού των πακέτων δεδομένων που έφτασαν επιτυχώς στον προορισμό τους, παρέχοντας αρκετά σαφή εικόνα της ικανότητας του δικτύου να υποστηρίξει αποτελεσματικά υπηρεσίες που απαιτούν υψηλό βαθμό ποιότητας (QoS). 2.3 Το Πρωτόκολλο SIP Τα τελευταία χρόνια, το πρωτόκολλο SIP, λόγω των πολλών πλεονεκτημάτων που προσφέρει, τείνει να αποτελέσει το κυρίαρχο πρωτόκολλο στο χώρο των VoIP τεχνολογιών. Έτσι, λοιπόν, στην ενότητα αυτή, θα παρουσιαστεί μια ανάλυση αυτού, ώστε ο αναγνώστης να κατανοήσει τις βασικές αρχές λειτουργίας του. Έτσι, λοιπόν, το SIP είναι ένα πρωτόκολλο σηματοδοσίας (signaling) που παρέχει υπηρεσίες: (α) εγκατάστασης, τροποποίησης και τερματισμού συνόδων πολυμέσων (multimedia sessions), (β) αίτησης και λήψης πληροφοριών παρουσίας οντοτήτων (presence), και (γ) αποστολής λήψης αμέσων μηνυμάτων (instant messages) μέσω του διαδικτύου. Το SIP σε συνδυασμό με άλλα πρωτόκολλα της οικογένειας πρωτοκόλλων του διαδικτύου (IP, TCP/UDP, RTP, SDP) παρέχει την απαραίτητη λειτουργική υποδομή για την υποστήριξη και παροχή πολυμεσικών υπηρεσιών μέσω του διαδικτύου. Οι βασικές λειτουργίες του SIP είναι [JOH04],[RFC3261],[ROS07a]: Εντοπισμός τελικής οντότητας (Locate an entity): Εντοπισμός της τελικής οντότητας που θα χρησιμοποιηθεί για την εγκαθίδρυση της επικοινωνίας. Διαθεσιμότητα οντότητας (Entity s Availability): Έλεγχος της διαθεσιμότητας της οντότητας που θα λάβει μέρος στην επικοινωνία. Δυνατότητες Οντότητας (Entity s Capabilities): Ανταλλαγή πληροφοριών σε ότι αφορά τον έλεγχο των δυνατοτήτων που διαθέτουν οι συμμετέχουσες σε μια επικοινωνία οντότητες. Οικονομικό Πανεπιστήμιο Αθηνών 42

43 Εγκατάσταση Συνόδου (Session Setup): Καθορισμός παραμέτρων συνόδου τόσο στην πλευρά του καλούντα, όσο και του καλουμένου μέρους. Διαχείριση Συνόδου (Session Management): Σύνολο διαδικασιών που άπτονται της διαχείρισης των συνόδων, όπως λ.χ. μεταφορά και τερματισμό συνόδων, τροποποίηση παραμέτρων συνόδων, ενεργοποίηση υπηρεσιών κλπ. Επιπρόσθετα, το SIP έχει επεκταθεί ώστε να προσφέρει περαιτέρω υπηρεσίες, όπως εξυπηρέτηση αιτήσεων και λήψεων πληροφοριών παρουσίας (π.χ. πληροφορίες κατάστασης on-line ή off-line), καθώς και υπηρεσίες αποστολής-λήψης στιγμιαίων μηνυμάτων (instant messages) Σηματοδοσία και εγκαθίδρυση συνόδου στο SIP Η βασική λειτουργία του SIP είναι η παροχή σηματοδοσίας η οποία θα επιτρέψει τη δημιουργία και εγκαθίδρυση συνόδου επικοινωνίας μεταξύ των οντοτήτων που θα επιθυμούν να επικοινωνήσουν. Πιο συγκεκριμένα, οι συμμετέχουσες σε μια επικοινωνία SIP οντότητες ανταλλάσουν μηνύματα τα οποία διακρίνονται σε αιτήσεις (requests) και απαντήσεις (responses). Το SIP ακολουθεί το μοντέλο πελάτη/ εξυπηρετητή (client/server). Ο πελάτης στέλνει την αίτηση ενώ ο εξυπηρετητής λαμβάνει την συγκεκριμένη αίτηση και αποστέλλει με τη σειρά του την απόκριση. Στην εικόνα που ακολουθεί (Εικόνα 2.7) παρουσιάζεται η ανταλλαγή μηνυμάτων μεταξύ δυο οντοτήτων με βάση το πρωτόκολλο SIP: Εικόνα 2.7: Ανταλλαγή μηνυμάτων στο SIP Η οντότητα που αντιπροσωπεύει το χρήστη Alice στέλνει ένα μήνυμα αίτησης (INVITE) προς την οντότητα που αντιπροσωπεύει το χρήστη Bob, προκειμένου οι δύο χρήστες να επικοινωνήσουν. Το μήνυμα INVITE περιέχει, μεταξύ άλλων, την IP διεύθυνση της συσκευής της Alice, της συσκευής του Bob και λεπτομέρειες για τον τύπο της συνόδου που ζητείται. Οικονομικό Πανεπιστήμιο Αθηνών 43

44 Μπορεί να είναι μια απλή κλήση για ομιλία ή μια κλήση για σύνοδο πολυμέσων (όπως τηλεδιάσκεψη). H καλούμενη οντότητα (Bob), λαμβάνει την αίτηση INVITE και ενημερώνει την Alice κάνοντας τη συσκευή της να χτυπά. Παράλληλα, ενεργώντας στην προκειμένη περίπτωση σαν εξυπηρετητής (server), αποστέλλει μια απόκριση (response) στην αίτηση INVITE δηλώνοντας ότι η συσκευή του καλούμενου χτυπά (180 RINGING) και κατ επέκταση, ότι αποδέχεται το αίτημα του καλούντα (200 ΟΚ). Κατόπιν, η οντότητα που αντιπροσωπεύει το χρήστη Alice αποστέλλει ένα μήνυμα ACK, στο οποίο επιβεβαιώνει ότι έλαβε το αίτημα αποδοχής της κλήσης. Στο στάδιο αυτό η σύνοδος έχει εγκαθιδρυθεί και οι χρήστες είναι σε θέση να μιλήσουν. Για τον τερματισμό της συνόδου, οποιαδήποτε από τις συμμετέχουσες οντότητες αποστέλλει ένα μήνυμα BYE. Στο παράδειγμα μας, η οντότητα που αντιπροσωπεύει τον Bob, ενεργώντας αυτή τώρα σαν πελάτης (client), στέλνει την αίτηση BYE και η οντότητα που αντιπροσωπεύει την Alice ενεργώντας τώρα ως εξυπηρετητής, στέλνει την απόκριση 200 ΟΚ ώστε να αποδεχθεί το αίτημα ολοκλήρωσης της επικοινωνίας Οι βασικές οντότητες του SIP Προκειμένου να επικοινωνήσουν δύο οντότητες και με στόχο, με χρήση του SIP, να εγκαθιδρυθεί η εκάστοτε σύνοδος θα πρέπει πρώτα οι δύο οντότητες να εντοπίσει η μία την άλλη και να αρχίσει η ανταλλαγή των μηνυμάτων. Αυτή η διαδικασία άπτεται κυρίως της λειτουργίας διευθυνσιοδότησης που χρησιμοποιείται στο SIP έτσι ώστε οι εκάστοτε οντότητες να επικοινωνούν με βάση τις διευθύνσεις τους. Η περίπτωση είναι ανάλογη με το κλασσικό τηλεφωνικό δίκτυο, όπου ο τηλεφωνικός αριθμός ενός χρήστη αντιπροσωπεύει τη διεύθυνσή του και με χρήση αυτής ορίζεται το κύκλωμα το οποίο θα φιλοξενήσει την επικοινωνία. Στην περίπτωση του SIP, χρησιμοποιούνται διευθύνσεις τύπου για να επιτευχθεί η επικοινωνία μεταξύ των χρηστών. Αυτό το σχήμα διευθυνσιοδότησης είναι τμήμα της οικογένειας διευθύνσεων διαδικτύου και είναι γνωστό ως Uniform Resource Identifier URI ενώ στην περίπτωση του SIP καλείται SIP URI. Στο πλαίσιο αυτό, σε ένα μήνυμα SIP υπάρχει συνήθως μια διεύθυνση URI η οποία αντιστοιχεί σε μια διεύθυνση IP και κατόπιν με βάση τις βασικές αρχές δρομολόγησης που χρησιμοποιούνται στο διαδίκτυο επιτυγχάνεται η επικοινωνία. Η αντιστοίχηση μιας διεύθυνσης URI στην αντίστοιχη IP διεύθυνση γίνεται με χρήση της υπηρεσίας DNS (Domain Name System) 3. Η λειτουργία του πρωτοκόλλου βασίζεται σε συγκεκριμένες οντότητες που έχουν οριστεί για το SIP. Ο ρόλος των οντοτήτων είναι διακριτός και κάθε μία από αυτές αναλαμβάνει να 3 Με χρήση του πρωτοκόλλου ENUM (Telephone Number Mapping) παρέχεται και η δυνατότητα χρήσης κλασσικών τηλεφωνικών αριθμών. Πιο συγκεκριμένα, με χρήση του συγκεκριμένου πρωτοκόλλου οι κλασσικοί τηλεφωνικοί αριθμοί (Ε. 164) αντιστοιχίζονται σε μια δικτυακή διεύθυνση και αποθηκεύονται στις εγγραφές NAPTR (Name Authority Pointers) του πρωτοκόλλου DNS. Με αυτό τον τρόπο ο εκάστοτε χρήστης είναι προσπελάσιμος στο πλαίσιο μιας υποδομής VoIP (μέσω επερωτήσεων στις NAPRT εγγραφές) ακόμα και αν δίνει το τηλεφωνικό του νούμερο [ΠΑΣ07]. Οικονομικό Πανεπιστήμιο Αθηνών 44

45 φέρει εις πέρας ένα σύνολο λειτουργιών ώστε να παρέχεται το σύνολο των υπηρεσιών του πρωτοκόλλου SIP. Οι οντότητες είναι [RFC3261], [JOH04]: Αντιπρόσωποι χρήστη SIP (SIP User Agents UAs), Αντιπρόσωποι Παρουσίας (Presence Agents - PAs) Back-to-Back Αντιπρόσωποι Χρήστη (B2BUAs) Πύλες SIP (SIP Gateways) Πληρεξούσιοι εξυπηρετητές (Proxy Servers) Εξυπηρετητές επανακατεύθυνσης (Redirection Servers) Εξυπηρετητές εγγραφής (Registrar Servers) Εξυπηρετητές τοποθεσίας (Location Servers) Στη συνέχεια παρουσιάζουμε λεπτομέρειες για τις οντότητες αυτές καθώς και για το σύνολο των λειτουργιών και υπηρεσιών που παρέχουν Αντιπρόσωποι χρήστη SIP Η οντότητα Αντιπρόσωπος Χρήστη (User Agent - UA) αναφέρεται στις οντότητες εκείνες που δρουν ως τερματικά σημεία σε μια επικοινωνία στο πλαίσιο του πρωτοκόλλου SIP. Τα τερματικά αυτά σημεία, που μπορεί να είναι είτε συγκεκριμένο λογισμικό ή υλικό, είναι υπεύθυνα αφενός για την αποστολή και λήψη μηνυμάτων SIP προκειμένου να εγκαθιδρυθεί μια σύνοδος και αφετέρου, μετά την εγκαθίδρυση της συνόδου, για την κυρίως επικοινωνία (φωνή, εικόνα, στιγμιαία μηνύματα). Εν γένει, ο αντιπρόσωπος χρήστη δρα εκ μέρους του χρήστη των VoIP υπηρεσιών, δέχεται εντολές από αυτόν και εκτελεί όλες τις απαραίτητες ενέργειες που απαιτούνται για την εγκατάσταση και τερματισμό SIP συνδέσεων (συνόδων). Η λειτουργία των UAs είναι διττή: Από την μία, ο εκάστοτε UA δρα ως πελάτης (User Agent Client - UAC) και έχει ευθύνη για τη δημιουργία των αιτήσεων (request messages) καθώς και για την επεξεργασία των αποκρίσεων (responses). Από την άλλη, δρα ως εξυπηρετητής (User Agent Server - UAS) και η λειτουργία του στην συγκεκριμένη περίπτωση σχετίζεται με την επεξεργασία των εισερχόμενων αιτήσεων καθώς και με τη δημιουργία και αποστολή των αποκρίσεων Αντιπρόσωποι Παρουσίας Ο Αντιπρόσωπος Παρουσίας (Presence Agents - PA) είναι η λογική εκείνη οντότητα η οποία λαμβάνει αιτήματα εγγραφής (registration requests) μιας οντότητας σε ένα δίκτυο VoIP, ενώ από την άλλη είναι υπεύθυνη για την αποστολή μηνυμάτων σχετικών με την κατάσταση ενός UA (state notification). Ένας PA αποκρίνεται σε αιτήσεις SUBSCRIBE και στέλνει αιτήματα NOTIFY. Ενεργώντας σαν αντιπρόσωπος παρέχει πληροφορίες παρουσίας, ενώ ενεργώντας σαν πληρεξούσιος (proxy) προωθεί αιτήματα εγγραφής σε άλλους PAs. Ένας αντιπρόσωπος παρουσίας, πρώτα αυθεντικοποιεί το αίτημα εγγραφής. Αν η Οικονομικό Πανεπιστήμιο Αθηνών 45

46 αυθεντικοποίηση επιτύχει, εγκαθιστά ένα διάλογο και στέλνει τις ανακοινώσεις στα πλαίσια αυτού. Στην εικόνα που ακολουθεί φαίνεται ένα παράδειγμα παρουσίας και στιγμιαίου μηνύματος (instant messaging). Εικόνα 2.8: Παρουσία και άμεσο μήνυμα στο SIP Back-to-Back Αντιπρόσωποι Χρήστη (B2BUAs) Η συγκεκριμένη λογική οντότητα χρησιμοποιείται κυρίως για την παροχή υπηρεσιών διατήρησης της ανωνυμίας στο πλαίσιο μιας συνόδου SIP. Πιο συγκεκριμένα, με χρήση των οντοτήτων B2BUA κατά την αποστολή ή/και λήψη ενός αιτήματος SIP συγκεκριμένα πεδία των επικεφαλίδων των SIP πακέτων (κυρίως τα πεδία From, Via, Contact, Call-ID 4 ) τροποποιούνται και αποστέλλονται με νέα στοιχεία με στόχο να διατηρηθεί η ανωνυμία των συμμετεχουσών οντοτήτων. Πέρα από την παροχή υπηρεσιών ανωνυμίας, οι συγκεκριμένες οντότητες παρέχουν και άλλες υπηρεσίες. Το κύριο μειονέκτημα της χρήσης τους είναι ότι αναιρείται η από άκρο σε άκρο φύση του πρωτοκόλλου, αφού όλες οι επικοινωνίες διέρχονται από τις εν λόγω οντότητες. Με αυτό τον τρόπο, ενδέχεται να μειωθεί η αξιοπιστία των συνόδων SIP με άμεση επίπτωση στην ποιότητα των παρεχόμενων υπηρεσιών, λόγω ενδεχόμενης ύπαρξης συμφόρησης (bottleneck) Πύλες SIP (SIP Gateways) Μια πύλη SIP είναι ένας ειδικός τύπος αντιπροσώπου χρήστη (UA) που παρέχει την απαραίτητη εκείνη διεπαφή (interface) για την επικοινωνία του SIP με κάποιο άλλο πρωτόκολλο σηματοδοσίας. Για παράδειγμα, η πύλη SIP μπορεί να χρησιμοποιηθεί μεταξύ δικτύου SIP και δικτύου Η.323 ή του δημόσιου τηλεφωνικού δικτύου (PSTN) Πληρεξούσιοι εξυπηρετητές (Proxy servers) Οι πληρεξούσιοι εξυπηρετητές είναι από τις πιο βασικές οντότητες στη λειτουργία του πρωτοκόλλου SIP. Είναι οι οντότητες εκείνες που διευκολύνουν την εγκατάσταση συνόδων 4 Για την λεπτομερή παρουσίασης της δομής των μηνυμάτων SIP βλ. Παράρτημα Α. Οικονομικό Πανεπιστήμιο Αθηνών 46

47 επικοινωνίας λαμβάνοντας αιτήσεις ή/και αποκρίσεις και προωθώντας τις σε κάποιο άλλο εξυπηρετητή ή αντιπρόσωπο χρήστη. Επιπρόσθετα, ένας πληρεξούσιος εξυπηρετητής παρέχει και υπηρεσίες εύρεσης τοποθεσίας (location services), όπου διατηρεί εκείνα τα στοιχεία που σχετίζονται με την κατάσταση του εκάστοτε χρήστη (π.χ. καταχωρήσεις SIP, πληροφορίες παρουσίας ή άλλου τύπου πληροφορίες) 5. Στην παρακάτω εικόνα παρουσιάζεται η εμπλοκή ενός πληρεξούσιου εξυπηρετητή στο πλαίσιο μιας συνόδου του πρωτοκόλλου SIP. Εικόνα 2.9: Λειτουργία πληρεξούσιων εξυπηρετητών Εν γένει, η λειτουργία των πληρεξούσιων εξυπηρετητών άπτεται μόνο της προώθησης του αιτήματος ή/και της απόκρισης στην αμέσως επόμενη οντότητα που συμμετέχει στην επικοινωνία. Οι πληρεξούσιοι εξυπηρετητές δεν αλλάζουν τη σειρά των πεδίων των επικεφαλίδων του πρωτοκόλλου SIP, ούτε τροποποιούν με οποιονδήποτε τρόπο το περιεχόμενο των μηνυμάτων. Οι βασικές ιδιότητες ενός πληρεξούσιου εξυπηρετητή, οι οποίες αποτελούν και τις βασικές διαφορές τους με κάποιον UA, είναι οι εξής: Ένας πληρεξούσιος εξυπηρετητής δεν δημιουργεί αιτήσεις, παρά μόνο αποκρίνεται σε αιτήσεις 6. Ένας πληρεξούσιος εξυπηρετητής δεν έχει δυνατότητες αποστολής/λήψης ή/και διαχείρισης μηνυμάτων πολυμέσων. Ένας πληρεξούσιος εξυπηρετητής δεν αναλύει το σώμα του μηνύματος, βασίζεται αποκλειστικά στα πεδία των επικεφαλίδων. Ένα μήνυμα αίτησης (request message) το οποίο αποστέλλεται από ένα αντιπρόσωπο χρήστη ενδέχεται να περάσει από αρκετούς πληρεξούσιους εξυπηρετητές μέχρι να φτάσει στον τελικό παραλήπτη του. Καθένας από αυτούς, τους ενδιάμεσους εξυπηρετητές, προωθεί στο επόμενο σημείο (next hop) το μήνυμα αίτησης, λαμβάνοντας ταυτόχρονα τις 5 Τα στοιχεία αυτά διατηρούνται σε ειδική βάση δεδομένων στο πλαίσιο λειτουργίας της εκάστοτε VoIP υποδομής. Η επικοινωνία μεταξύ της βάσης δεδομένων και του πληρεξούσιο εξυπηρετητή δεν γίνεται με χρήση του πρωτοκόλλου SIP, αλλά με άλλο πρωτόκολλο π.χ. LDAP. 6 Εξαίρεση αποτελεί το μήνυμα CANCEL το οποίο αποστέλλεται όταν επιθυμείται να διακοπεί η επικοινωνία. Οικονομικό Πανεπιστήμιο Αθηνών 47

48 απαραίτητες αποφάσεις δρομολόγησης. Κατά την αποστολή του μηνύματος απόκρισης ακολουθείται πάλι το ίδιο δρομολόγιο, όπως στην περίπτωση του μηνύματος αίτησης. Ένας πληρεξούσιος εξυπηρετητής μπορεί να λειτουργήσει σε δύο καταστάσεις: (α) κατάσταση stateful εξυπηρετητή και (β) κατάσταση stateless εξυπηρετητή. Στην πρώτη περίπτωση ο εξυπηρετητής διατηρεί διάφορα στοιχεία σχετικά με τα αιτήματα που λαμβάνει και τις αποκρίσεις που αποστέλλει. Τα στοιχεία αυτά τα χρησιμοποιεί για την επεξεργασία περαιτέρω (μελλοντικών) μηνυμάτων που αφορούν τη συγκεκριμένη σύνοδο. Αντίθετα, ένας stateless πληρεξούσιος εξυπηρετητής δε διατηρεί κανένα στοιχείο και η μόνη του λειτουργία σχετίζεται με την προώθηση των μηνυμάτων αιτήσεων και αποκρίσεων Εξυπηρετητές επανακατεύθυνσης (Redirection servers) Οι εξυπηρετητές επανακατεύθυνσης παρέχουν πληροφορίες εναλλακτικής δρομολόγησης για ένα μήνυμα και δε μετέχουν με κανένα τρόπο σε ότι αφορά την εγκαθίδρυση της συνόδου. Πιο συγκεκριμένα, όπως φαίνεται και από την παρακάτω εικόνα (βλ. Εικόνα 2.10), όταν ο συγκεκριμένος εξυπηρετητής λάβει ένα μήνυμα πληροφορεί τον εκάστοτε αποστολέα (UA), που θα πρέπει να στείλει το μήνυμα και σε αντίθεση με έναν πληρεξούσιο εξυπηρετητή, δεν αναλαμβάνει ο ίδιος να δρομολογήσει το εκάστοτε μήνυμα. Εικόνα 2.10: Λειτουργία του εξυπηρετητή επανακατεύθυνσης Εξυπηρετητές εγγραφής (Registrar servers) Οι εξυπηρετητές εγγραφής χρησιμοποιούνται από τους αντιπροσώπους χρήστη (UA) για να εγγράψουν και δηλώσουν την τοποθεσία στην οποία βρίσκονται. Πιο συγκεκριμένα, ένας UA αποστέλλοντας ένα κατάλληλο μήνυμα εγγραφής (REGISTER) δηλώνει το δικτυακό τομέα στον οποίο ανήκει και μέσω αυτής της εγγραφής μπορεί να λάβει δικτυακή διεύθυνση (IP address) και να συμμετάσχει σε μελλοντικές SIP επικοινωνίες- συνόδους. Οι εξυπηρετητές εγγραφής, στην πλειονότητα των περιπτώσεων, για κάθε αίτημα εγγραφής, απαιτούν πληροφορίες αυθεντικοποίησης, προκειμένου να αποφεύγεται ενδεχόμενη πλαστοπροσωπία. Στην εικόνα που ακολουθεί (Εικόνα 2.11), παρουσιάζεται ένα αίτημα εγγραφής από ένα χρήστη σε ένα εξυπηρετητή εγγραφής. Ο χρήστης Bob, μέσω του αντιπροσώπου του (UA), Οικονομικό Πανεπιστήμιο Αθηνών 48

49 αποστέλλει ένα μήνυμα REGISTER στον εξυπηρετητή εγγραφής προκειμένου να εγγραφεί στο δικτυακό τομέα που επιθυμεί να κάνει χρήση των υπηρεσιών VoIP που αυτός παρέχει. Ο εξυπηρετητής λαμβάνει το μήνυμα, το εξετάζει και σε περίπτωση που ο έλεγχος είναι θετικός, τότε ενημερώνει τη βάση δεδομένων του. Έτσι, παρέχει τις απαραίτητες εκείνες πληροφορίες (π.χ. δικτυακή διεύθυνση), ώστε ο χρήστης Bob να είναι προσπελάσιμος και να μπορεί κάποιος να επικοινωνήσει μαζί του. Στην αντίθετη περίπτωση, το αίτημα REGISTER απορρίπτεται και ο χρήστης Bob δεν καθίσταται διαθέσιμος για επικοινωνία μέσω του συγκεκριμένου δικτυακού τομέα. Εικόνα 2.11: Διαδικασία εγγραφής Εξυπηρετητές τοποθεσίας (Location servers) Οι εξυπηρετητές τοποθεσίας παρέχουν υπηρεσίες τοποθεσίας (location services) και αποθηκεύουν τις πληροφορίες τοποθεσίας που αφορούν έναν αντιπρόσωπο χρήστη σε μια βάση δεδομένων. Στην ουσία οι εξυπηρετητές τοποθεσίας είναι βάσεις δεδομένων στις οποίες διατηρούνται πληροφορίες των χρηστών (και κατ επέκταση και των αντιπροσώπων τους-uas), όπως URLs, IP διευθύνσεις, κλπ. Οι υπηρεσίες των εξυπηρετητών τοποθεσίας, συνήθως παρέχονται από τους εξυπηρετητές εγγραφής. Εν γένει, οι εξυπηρετητές τοποθεσίας χρησιμοποιούνται από τους εξυπηρετητές εγγραφής προκειμένου να αντιστοιχίζεται κάθε φορά η διεύθυνση ενός χρήστη (SIP URI) με την εκάστοτε δικτυακή του διεύθυνση (IP address) και με αυτόν τον τρόπο να διασφαλίζεται η δυνατότητα επικοινωνίας με το χρήστη Ανάλυση Πρωτοκόλλου SIP Το SIP, όπως έχει ήδη αναφερθεί, είναι ένα πρωτόκολλο πελάτη εξυπηρετητή (client server), παρόμοιο στη λειτουργία με το πρωτόκολλο HTTP. Η σηματοδοσία στο SIP βασίζεται στα UTF-8 (8-bit UCS/Unicode Transformation Format) μηνύματα κειμένου. Το μήνυμα του SIP αποτελείται από μια επικεφαλίδα (header) και ένα προαιρετικό σώμα μηνύματος (message body). Τα μηνύματα διαχωρίζονται είτε σε μηνύματα αιτήσεων (requests messages) είτε σε μηνύματα αποκρίσεων (responses messages) 7. Η αρχική έκδοση του πρωτοκόλλου αναφέρει έξι (6) τύπους μεθόδων αιτημάτων: INVITE, BYE, ACK, OPTIONS, 7 Στο Παράρτημα Α παρουσιάζονται παραδείγματα μηνυμάτων αιτήσεων και αποκρίσεων του SIP πρωτοκόλλου, ώστε ο αναγνώστης να κατανοήσει σαφέστερα τον τρόπο λειτουργίας του πρωτοκόλλου. Οικονομικό Πανεπιστήμιο Αθηνών 49

50 CANCEL, REGISTER. Σε νεότερες εκδόσεις του SIP, περιγράφονται επιπλέον επτά (7) μέθοδοι. Στον πίνακα που ακολουθεί φαίνονται οι 6 βασικές και οι 7 πρόσθετες μέθοδοι αιτημάτων καθώς και μια σύντομη περιγραφή τους [JOH04], [RFC3261]. Πίνακας 2.2: Μέθοδοι πρωτοκόλλου SIP Αιτήματα SIP INVITE BYE OPTIONS CANCEL REGISTER ACK REFER SUBSCRIBE NOTIFY MESSAGE UPDATE INFO PRACK Αίτηση δημιουργίας συνόδου SIP. Περιγραφή Αίτηση τερματισμού μιας ήδη εγκατεστημένης συνόδου SIP. Αίτηση προς ένα αντιπρόσωπο χρήστη ή έναν εξυπηρετητή με στόχο να δηλωθούν οι δυνατότητές του καθώς και η τρέχουσα κατάσταση του (π.χ. online ή offline). Αίτηση ακύρωσης ενδεχόμενων εκκρεμών μηνυμάτων. Αίτηση εγγραφής σε ένα δικτυακό τομέα SIP. Μήνυμα από πελάτη που υποδηλώνει επιτυχή απόκριση σε κάποιο IN- VITE που είχε ληφθεί. Αίτημα ενός UA προς έναν άλλο UA για προσπέλαση ενός URI ή URL. Αίτημα από έναν UA για λήψη ενημέρωσης (μέσω NOTIFY) για ένα συγκεκριμένο συμβάν ή για τη λήψη πληροφοριών σε ότι αφορά την κατάσταση μιας συνόδου. Μήνυμα ενημέρωσης ενός UA για ύπαρξη συγκεκριμένου συμβάντος (π.χ. αλλαγή κατάστασης μιας συνόδου). Αίτημα μετάδοσης στιγμιαίων μηνυμάτων. Αίτημα για αλλαγή της κατάστασης μιας συνόδου χωρίς αλλαγή της κατάστασης του διαλόγου (dialog). Μέθοδος που χρησιμοποιείται από ένα UA προς ένα άλλο UA με τον οποίο ήδη επικοινωνεί και με στόχο την αποστολή πληροφοριών σηματοδοσίας που αφορούν την ήδη εγκατεστημένη σύνοδο. Μέθοδος για επιβεβαίωση της αξιόπιστης λήψης προσωρινών μηνυμάτων (provisional responses (1XX)). Όταν μια οντότητα SIP λάβει ένα μήνυμα αίτησης, τότε εκτελεί την αντίστοιχη ενέργεια που ζητήθηκε και επιστρέφει ένα μήνυμα απόκρισης στον αποστολέα του αρχικού αιτήματος. Οι αποκρίσεις έχουν τη μορφή ενός τριψήφιου κωδικού κατάστασης (status code παρόμοιου με του HTTP) και κατηγοριοποιούνται σε έξι κλάσεις. Στον πίνακα που ακολουθεί [JOH04], [RFC3261], παρουσιάζονται οι κατηγορίες των μηνυμάτων αποκρίσεων και οι αντίστοιχοι κωδικοί τους. Πίνακας 2.3: Μηνύματα απόκρισης του πρωτοκόλλου SIP Κωδικοί Αποκρίσεων 1xx 2xx Περιγραφή Μηνύματα παροχής πληροφοριών. Αίτημα ελήφθη, συνέχιση επεξεργασίας του αιτήματος. Μηνύματα επιτυχούς ενέργειας. Το μήνυμα παραλήφθηκε και η ενέργεια εκτελέστηκε. Οικονομικό Πανεπιστήμιο Αθηνών 50

51 3xx 4xx 5xx 6xx Μηνύματα επανακατεύθυνσης: Απαιτούνται περαιτέρω ενέργειες προκειμένου να εκτελεστεί το εκάστοτε αίτημα Μηνύματα σφάλματος πελάτη (client): Το αίτημα περιέχει συντακτικό λάθος ή δε μπορεί να ικανοποιηθεί απ αυτόν τον εξυπηρετητή. Μηνύματα σφάλματος εξυπηρετητή (server): Ο εξυπηρετητής απέτυχε να ικανοποιήσει ένα αίτημα Γενική Βλάβη Το αίτημα δεν είναι έγκυρο για οποιονδήποτε εξυπηρετητή Μορφή μηνυμάτων SIP Το είδος των εκάστοτε μηνυμάτων SIP καθορίζεται από τη πρώτη γραμμή του μηνύματος. Στα μηνύματα αίτησης καλείται Request-line και περιέχει την μέθοδο της αίτησης, ένα URI στο οποίο θα κατευθυνθεί η αίτηση (Request-URI) και τη χρησιμοποιούμενη έκδοση του SIP. Στα μηνύματα απόκρισης, αυτή καλείται Response-line, και περιέχει ένα δεκαδικό αριθμό τριών ψηφίων που καλείται κωδικός κατάστασης (status-code), μια λεκτική περιγραφή του κωδικού απόκρισης, καθώς και τη χρησιμοποιούμενη έκδοση SIP. Μετά την πρώτη γραμμή του μηνύματος SIP, ακολουθούν τα πεδία επικεφαλίδων (headers) στα οποία περιέχονται όλες οι επικεφαλίδες του μηνύματος. Η σειρά με την οποία τοποθετούνται οι επικεφαλίδες δεν έχει σημασία, εκτός από τις επικεφαλίδες Via, για τις οποίες πρέπει να ακολουθηθεί η σωστή σειρά Οι επικεφαλίδες των μηνυμάτων SIP Οι επικεφαλίδες (headers) περιέχουν πληροφορίες που αφορούν τον αποστολέα, τον παραλήπτη, την δρομολόγηση καθώς και το περιεχόμενο του σώματος του μηνύματος. Οι επικεφαλίδες των μηνυμάτων χωρίζονται σε τέσσερεις κατηγορίες, ανάλογα με το εκάστοτε μήνυμα και το σκοπό που αυτό έχει: (α) γενικές επικεφαλίδες, (β) επικεφαλίδες μηνυμάτων αιτήσεων, (γ) επικεφαλίδες μηνυμάτων αποκρίσεων, και (δ) επικεφαλίδες κυρίου σώματος μηνύματος. Στις επόμενες παραγράφους αναφέρονται εν συντομία αυτές οι κατηγορίες επικεφαλίδων. Α) Γενικές Επικεφαλίδες: Οι εν λόγω επικεφαλίδες περιέχουν πεδία τα οποία υπάρχουν στην πλειονότητα των μηνυμάτων SIP ανεξάρτητα αν αυτά είναι μηνύματα αιτήσεων ή/και αποκρίσεων και παρουσιάζονται στον παρακάτω πίνακα [JOH04], [RFC3261]: Πίνακας 2.4: Γενικές επικεφαλίδες πρωτοκόλλου SIP Επικεφαλίδα (Header) Περιγραφή Επικεφαλίδας Alert-Info Παρέχει δυνατότητα διακριτού κουδουνίσματος για κάποιο URI. Allow-Events Εμφανίζει τη λίστα των υποστηριζόμενων συμβάντων. Call-id Προσδιορίζει μοναδικά το διάλογο μεταξύ UA ή τις εγγραφές ενός UAC. Contact Περιέχει διευθύνσεις του αποστολέα της αίτησης. Cseq Προσδιορίζει τη σειρά των αιτήσεων σε ένα διάλογο. Date Ημερομηνία αποστολής της αίτησης ή της απόκρισης. From Προσδιορίζει τον αποστολέα της αίτησης. Organization Οργανισμός στον οποίο ανήκει ο αποστολέας του μηνύματος. Οικονομικό Πανεπιστήμιο Αθηνών 51

52 Επικεφαλίδα (Header) Record-route Retry-After Subject Supported Timestamp To User-Agent Via Περιγραφή Επικεφαλίδας Χρησιμοποιείται από έναν proxy για να αναγκάσει μελλοντικές αιτήσεις σ ένα διάλογο να περνούν απ αυτόν. Δείχνει πότε ένας πόρος ή υπηρεσία θα είναι πάλι διαθέσιμη. Προσδιορίζει τη φύση της κλήσης. Εμφανίζει τις επιλογές που εφαρμόζονται από ένα UA ή server. Δείχνει την ακριβή ώρα που στάλθηκε ένα αίτημα. Καθορίζει τον παραλήπτη της αίτησης. Δηλώνει τον τύπο του κυρίου μηνύματος. Δείχνει τη διαδρομή που ακολούθησε ένα αίτημα. B) Επικεφαλίδες Μηνυμάτων Αιτήσεων: Οι συγκεκριμένες επικεφαλίδες εντοπίζονται μόνο σε μηνύματα αιτήσεων (request messages). Στον παρακάτω πίνακα [JOH04], [RFC3261], συνοψίζονται οι επιμέρους επικεφαλίδες που ανήκουν στη συγκεκριμένη κατηγορία. Περιέχουν επιπλέον πληροφορίες που αφορούν τον πελάτη και την αίτηση SIP από αυτές που υπάρχουν στην request-line. Πίνακας 2.5: Επικεφαλίδες μηνυμάτων αιτήσεων Επικεφαλίδα (Header) Accept Accept-Contact Accept-Encoding Accept-Language Authorization Call-Info Event In-Reply-To Join Priority Privacy Proxy-Authorization Proxy-Require P-OSP-Auth-Token P-Asserted-Identity P-Preferred-Identity Περιγραφή Επικεφαλίδας Δείχνει τους αποδεκτούς τύπους μέσων στο σώμα του μηνύματος Καθορίζει ποιοι URIs εξουσιοδοτούνται να χειριστούν το αίτημα Καθορίζει τα αποδεκτά σχήματα κωδικοποίησης του σώματος μηνύματος Καθορίζει την προτιμώμενη γλώσσα Μεταφέρει τα πιστοποιητικά ενός UA σ ένα αίτημα προς ένα server Ενσωματώνεται σ ένα αίτημα για να εφοδιάσει ένα URI με πληροφορίες σχετικές με την εγκατάσταση συνόδου. Χρησιμοποιείται στις μεθόδους SUBSCRIBE ή NOTIFY για να δείξει ποιο πακέτο συμβάντων υποστηρίζεται από μια μέθοδο. Δείχνει το Call-ID στο οποίο παραπέμπει ή επιστρέφεται ένα αίτημα Αίτηση ώστε μια σύνοδος να συνενωθεί με μια υπάρχουσα σύνοδο. Χρησιμοποιείται από ένα UAC για δήλωση προτεραιότητας αιτήματος. Χρησιμοποιείται από ένα UAC για αίτηση διάφορων βαθμών και τύπων εμπιστευτικότητας. Μεταφέρει τα πιστοποιητικά ενός UA σ ένα αίτημα προς ένα server Δείχνει τα χαρακτηριστικά και επεκτάσεις που απαιτεί ένας UA να υποστηρίζει ο server, προκειμένου να επεξεργαστεί το αίτημα. Μεταφορά ενός συμβόλου Open Settlements Protocol OSP, μαζί με ένα αίτημα INVITE. Χρησιμοποιείται μεταξύ έμπιστων ενδιάμεσων (proxies) για να βεβαιώσουν την ταυτότητα ενός UA που έχει αυθεντικοποιηθεί. Χρησιμοποιείται από ένα UA για να δηλώσει σε ένα έμπιστο ενδιάμεσο, ποια ταυτότητά του προτιμά να επιβεβαιωθεί. Οικονομικό Πανεπιστήμιο Αθηνών 52

53 Επικεφαλίδα (Header) Max-Forwards Reason Refer-To Referred-By Reply-To Replaces Reject-Contact Request-Disposition Require Route Session-Expires Subscription-State Περιγραφή Επικεφαλίδας Δείχνει τον μέγιστο αριθμό βημάτων (προωθήσεων) που μπορεί να δεχτεί ένα αίτημα. Χρησιμοποιείται στο BYE και CANCEL για να δηλώσει τον λόγο τερματισμού της κλήσεως. Σε ένα αίτημα REFER περιλαμβάνει το URI ή το URL στο οποίο αναφέρεται. Σε ένα αίτημα REFER ενημερώνει τον παραλήπτη για τον αποστολέα του αιτήματος. Δείχνει το SIP ή SIPS URI που πρέπει να χρησιμοποιηθεί για την απάντηση στο αίτημα. Αντικαθιστά ένα διάλογο με ένα νέο διάλογο. Προσδιορίζει τα URIs που δεν πρέπει να εξουσιοδοτηθούν για επεξεργασία ενός αιτήματος. Χρησιμοποιείται σαν αίτημα προς τους servers για εξουσιοδότηση, επανακατεύθυνση ή έναρξη σειριακής ή παράλληλης αναζήτησης. Περιλαμβάνει την λίστα των χαρακτηριστικών που αναμένει ένας UAC να υποστηρίζει o εξυπηρετητής Χρησιμοποιείται για να υποχρεώσει μια αίτηση να διατρέξει συγκεκριμένη σειρά proxies Προσδιορίζει το χρόνο λήξης μια συνόδου Χρησιμοποιείται στο αίτημα NOTIFY και δείχνει την τρέχουσα κατάσταση εγγραφής. Γ) Επικεφαλίδες Μηνυμάτων Αποκρίσεων: Οι συγκεκριμένες επικεφαλίδες εντοπίζονται μόνο σε μηνύματα αποκρίσεων (response messages). Στον παρακάτω πίνακα [JOH04], [RFC3261], συνοψίζονται οι επιμέρους επικεφαλίδες που ανήκουν στη συγκεκριμένη κατηγορία. Πίνακας 2.6: Επικεφαλίδες μηνυμάτων αποκρίσεων Επικεφαλίδα (Header) Authentication-Info Error-Info Min-Expires Min-SE Proxy-Authenticate Server Unsupported Περιγραφή Επικεφαλίδας Μπορεί να εισαχθεί σε αποκρίσεις όταν εκτελείται αμοιβαία αυθεντικοποίηση HTTP. Χρησιμοποιείται σε αποκρίσεις σφάλματος για να παράσχει περισσότερες πληροφορίες για το σφάλμα. Χρησιμοποιείται σε απορριπτική απάντηση από έναν Registrar, όταν στο αίτημα REGISTER υπάρχει contact με πολύ μικρό χρόνο ισχύος. Υποχρεωτικό πεδίο σε απάντηση 422 Session Timer Interval Too Small Χρησιμοποιείται σε πρόκληση αυθεντικοποίησης από έναν server προς έναν UAC. Χρησιμοποιείται για παροχή πληροφοριών για τον UAS που δημιούργησε την απάντηση. Δείχνει χαρακτηριστικά που δεν υποστηρίζονται από τον server. Οικονομικό Πανεπιστήμιο Αθηνών 53

54 Επικεφαλίδα (Header) Warning WWW-Authenticate RSeq Περιγραφή Επικεφαλίδας Χρησιμοποιείται σε μια απάντηση, προκειμένου να παράσχει πιο συγκεκριμένη πληροφορία από αυτήν που δίνει ο status code. Χρησιμοποιείται σε πρόκληση αυθεντικοποίησης από έναν UA ή registar server προς ένα UAC. Χρησιμοποιείται σε προσωρινές απαντήσεις επί αιτήσεων INVITE για αίτηση αξιόπιστης μεταφοράς. Δ) Επικεφαλίδες κύριου σώματος μηνύματος (Entity ή Message Body Headers Field): Οι συγκεκριμένες επικεφαλίδες εντοπίζονται στο κυρίως σώμα ενός μηνύματος SIP και παρέχουν πληροφορίες που το αφορούν. Στον παρακάτω πίνακα συνοψίζονται οι επικεφαλίδες της κατηγορίας αυτής [JOH04], [RFC3261]: Πίνακας 2.7: Επικεφαλίδες κυρίου σώματος μηνύματος Allow Επικεφαλίδα (Header) Content-Encoding Content-Disposition Content-Language Content-Length Content-Type Expires MIME-Version Περιγραφή Επικεφαλίδας Χρησιμοποιείται για να δείξει τις μεθόδους που υποστηρίζονται από τον UA ή proxy που στέλνει την απόκριση. Δείχνει το σχήμα κωδικοποίησης που έχει εφαρμοστεί στο σώμα του μηνύματος. Περιγράφει την λειτουργία του σώματος μηνύματος. Δηλώνει τη γλώσσα του σώματος μηνύματος. Δηλώνει το μήκος του σώματος του μηνύματος Δηλώνει τον τύπο του μέσου στο σώμα του μηνύματος Δηλώνει το χρονικό διάστημα για το οποίο ισχύει ένα αίτημα ή περιεχόμενο μηνύματος. Δηλώνει την έκδοση του πρωτοκόλλου ΜΙΜΕ που χρησιμοποιήθηκε για την κατασκευή του σώματος του μηνύματος. Στις παρακάτω εικόνες παρουσιάζεται ένα παράδειγμα μηνύματος αίτησης (INVITE) και ενός μηνύματος απόκρισης (200 OK) στις οποίες διαφαίνονται οι επιμέρους επικεφαλίδες. Οικονομικό Πανεπιστήμιο Αθηνών 54

55 Εικόνα 2.12: Παράδειγμα μηνύματος INVITE Οικονομικό Πανεπιστήμιο Αθηνών 55

56 Εικόνα 2.13: Παράδειγμα μηνύματος 200 ΟΚ Εγκατάσταση κλήσης με χρήση του πρωτοκόλλου SIP - Τραπέζιο SIP Προκειμένου να καταστεί σαφής η λειτουργία και η εμπλοκή του πρωτοκόλλου SIP σε ένα περιβάλλον VoIP, είναι χρήσιμο να παρουσιαστεί ένα παράδειγμα εγκατάστασης μιας τηλεφωνικής κλήσης με χρήση αυτού [JEN06]. Στο παράδειγμα αυτό, δυο αντιπρόσωποι χρηστών που ανήκουν σε διαφορετικούς δικτυακούς τομείς, εγκαθιστούν μια σύνοδο χρησιμοποιώντας δυο πληρεξούσιους εξυπηρετητές (proxies), ένα για κάθε δικτυακό τομέα. Το σενάριο αυτό, αποτελεί την κλασσική τοπολογία της επικοινωνίας στο SIP και χαρακτηρίζεται ως τραπέζιο SIP, λόγω του ότι σχηματίζεται ένα τραπέζιο (βλ. Εικόνα 2.14). Σ αυτή τη διάταξη, κάθε αντιπρόσωπος χρήστη συνδυάζεται με έναν προκαθορισμένο εξυπηρετητή εξερχόμενης κίνησης (outbound proxy server), στον οποίο προωθεί όλα τα αιτήματα. Σε μια συναλλαγή μεταξύ διαφορετικών δικτυακών τομέων, χρησιμοποιούνται αναζητήσεις DNS (DNS queries) για τον εντοπισμό του πληρεξούσιου εξυπηρετητή που αφορά το δικτυακό τομέα του καλούμενου. Αυτός ο εξυπηρετητής καλείται πληρεξούσιος εξυπηρετητής εισερχόμενης κίνησης (inbound proxy server) και παρέχει τις υπηρεσίες δρομολόγησης σε ότι αφορά τον καλούμενο. Οικονομικό Πανεπιστήμιο Αθηνών 56

57 Εικόνα 2.14: Τραπέζιο SIP Στη συνέχεια παρατίθεται ένα παράδειγμα στο οποίο αποτυπώνονται τα επιμέρους βήματα που λαμβάνουν χώρα κατά τη διαδικασία εγκατάστασης κλήσης μεταξύ δύο χρηστών (Bob, Alice) με την μεσολάβηση των πληρεξούσιων (atlanta.com και biloxi.com). Υποθέτουμε ότι και οι δύο UAs έχουν εγγραφεί στον οικείο εξυπηρετητή εγγραφής τους. 1. H Alice με διεύθυνση alice@atlanta.com δημιουργεί μια αίτηση INVITE για τον Bob με διεύθυνση bob@biloxi.com. Η Alice, όμως, δεν γνωρίζει την ακριβή διεύθυνση του Bob και γι αυτό αποστέλλει το αίτημα μέσω του οικείου proxy atlanta.com. 2. Ο proxy atlanta.com αποδέχεται την αίτηση της Alice και της αποστέλλει μια απόκριση 100 Trying. 3. Ο proxy atlanta.com μέσω DNS ή κάποιας άλλη υπηρεσίας μαθαίνει την διεύθυνση του proxy biloxi.com και του αποστέλλει την αίτηση. 4. Ο proxy biloxi.com αποδέχεται την αίτηση και αποστέλλει επίσης ένα μήνυμα 100 Trying στον Atlanta.com. 5. Ο biloxi.com μέσω μιας υπηρεσίας τοποθεσίας εντοπίζει την ακριβή διεύθυνση του Bob και του αποστέλλει την αίτηση INVITE. 6. Ο Bob λαμβάνει την αίτηση και αποφασίζει να την αποδεχτεί στέλνοντας μια απόκριση 200 ΟΚ προς τον biloxi.com. 7. Ο biloxi.com λαμβάνει την απόκριση και την προωθεί στον atlanta.com. 8. Ο atlanta.com λαμβάνει με τη σειρά του την απόκριση και την προωθεί στον τελικό παραλήπτη, την Alice. 9. Η Alice λαμβάνει την απόκριση και αποστέλλει απευθείας την αίτηση ACK στον Bob, αφού μέσω της απόκρισης έχει μάθει την ακριβή διεύθυνση. Οι δύο proxy μπορούν να παραμείνουν, αν το επιθυμούν, μέσα στο μονοπάτι των αιτήσεων, εισάγοντας ένα πεδίο επικεφαλίδας Record-Route στην αρχική αίτηση INVITE. Οικονομικό Πανεπιστήμιο Αθηνών 57

58 2.4 Σύνοψη Στο κεφάλαιο αυτό παρουσιάστηκαν, εν συντομία, οι βασικές έννοιες και συνιστώσες που διέπουν την τεχνολογία VoIP καθώς και τα επιμέρους λειτουργικά ζητήματα αυτής. Επιπρόσθετα, περιγράφηκε και αναλύθηκε το πρωτόκολλο SIP, το οποίο αποτελεί το βασικό πρωτόκολλο που χρησιμοποιείται στις σύγχρονες VoIP υποδομές. H εν λόγω ανάλυση βοηθά τον αναγνώστη να κατανοήσει τα βασικά στοιχεία αυτού, τόσο σε επίπεδο λειτουργίας του, όσο και σε επίπεδο δομής, μιας και το αντικείμενο που πραγματεύεται η συγκεκριμένη διατριβή επικεντρώνεται στο εν λόγω πρωτόκολλο. Στη συνέχεια, παρουσιάζεται μια εισαγωγή σε ότι αφορά τα θέματα ασφάλειας των VoIP υποδομών και του πρωτοκόλλου SIP, ενώ γίνεται μια εισαγωγή στο SPIT και παρουσιάζεται το ερευνητικό πρόβλημα που πραγματεύεται η παρούσα διατριβή. Οικονομικό Πανεπιστήμιο Αθηνών 58

59 3 Ασφάλεια VoIP Υποδομών. Ορισμός και Επισκόπηση του SPIT If everything is coming your way then you're in the wrong lane. Anonymous 3 Ασφάλεια VoIP Υποδομών. Ορισμός και Επισκόπηση του SPIT 3.1 Εισαγωγή Πέρα από τα σημαντικά πλεονεκτήματα που προσφέρει η τεχνολογίαvoip (ενισχύοντας με αυτό τον τρόπο τη δημοφιλία της και κατ επέκταση υιοθέτησή της) από την άλλη πλευρά, οι ευπάθειες και οι απειλές που υπεισέρχονται της χρήσης της κρίνονται ιδιαίτερα σημαντικές καθιστώντας αναγκαία τη διασφάλισή τους. Έτσι, απαιτείται ολοκληρωμένη και προσεχτική αντιμετώπιση των ζητημάτων ασφάλειας και ιδιαίτερα των κύριων χαρακτηριστικών αυτής, δηλαδή την προστασία της εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας. Στο κεφάλαιο αυτό, λοιπόν, θα παρουσιαστούν τα βασικά θέματα ασφάλειας σε ότι αφορά, αφενός την τεχνολογία VoIP και αφετέρου το πρωτόκολλο SIP. Επιπρόσθετα, θα παρουσιαστεί και η έννοια του SPIT, ενώ θα γίνει μια εισαγωγή στο ερευνητικό πρόβλημα που καλείται η παρούσα διατριβή να αντιμετωπίσει καθώς και την ακολουθούμενη για αυτό το σκοπό μεθοδολογία. 3.2 Ασφάλεια Πληροφοριακών Συστημάτων Στη ενότητα αυτή παρουσιάζεται, εν συντομία, το εννοιολογικό πλαίσιο που διέπει την ασφάλεια των Πληροφοριακών και Επικοινωνιακών Συστημάτων (ΠΕΣ), με στόχο ο αναγνώστης να αποκτήσει το απαραίτητο θεωρητικό υπόβαθρο για την κατανόηση των εννοιών που θα χρησιμοποιηθούν στο σύνολο της παρούσας διατριβής Το ζήτημα της Ασφάλειας των ΠΕΣ Η επίτευξη των στόχων ενός οργανισμού εξαρτάται σε μεγάλο βαθμό από τη δυνατότητά του να διασφαλίσει τις υποδομές που είναι απαραίτητες για την αποτελεσματική λειτουργία του. Στους σύγχρονους οργανισμούς, οι Τεχνολογίες Πληροφορικής και Επικοινωνιών (ΤΠΕ) παίζουν ιδιαίτερα σημαντικό ρόλο, επηρεάζοντας το σύνολο των επιχειρησιακών και Οικονομικό Πανεπιστήμιο Αθηνών 59

60 οργανωσιακών του λειτουργιών και διαδικασιών. Η διαπίστωση αυτή, οδηγεί στο συμπέρασμα ότι οι ΤΠΕ και κατ επέκταση τα ΠΕΣ ενός οργανισμού ή μίας επιχείρησης αποτελούν κρίσιμα στοιχεία των υποδομών τους και συνδέονται άμεσα με την αποτελεσματική λειτουργία τους. Στο πλαίσιο αυτό, γίνεται φανερό ότι η ασφάλεια των ΠΕΣ αποτελεί μια σημαντική συνιστώσα σε ότι αφορά την εύρυθμη, αποτελεσματική και αποδοτική λειτουργία του οργανισμού/επιχείρησης. Εν γένει, η ασφάλεια ενός ΠΕΣ εξαρτάται και επηρεάζεται από πολλούς παράγοντες οι οποίοι πρέπει να λαμβάνονται υπόψη ανά πάσα στιγμή και σε άμεση συνάρτηση των εξελίξεων στις ΤΠΕ όσο και στο ευρύτερο πλαίσιο (context) λειτουργίας του οργανισμού/επιχείρησης [ΓΚΡΙ04]. Οι παράγοντες αυτοί, στην πλειονότητα των περιπτώσεων, είναι τόσο τεχνικοί, όσο και διοικητικοί-οργανωτικοί. Για το λόγο αυτό, κάθε προσπάθεια προστασίας και διασφάλισης ενός ΠΕΣ πρέπει να λαμβάνει υπόψη τις εξής γενικές διαπιστώσεις [ΓΚΡΙ03], [ΓΚΡΙ96]: Η ασφάλεια των ΠΣ εξαρτάται από πολλούς παράγοντες και δεν είναι ούτε αποκλειστικά, ούτε κυρίως τεχνικό ζήτημα. Η επίτευξη απόλυτης ασφάλειας δεν είναι εφικτός στόχος, σε πραγματικές συνθήκες. Για κάθε επίπεδο ασφάλειας υπάρχει ένα αντίστοιχο κόστος που θα πρέπει να καταβληθεί για την επίτευξή του. Τα μέτρα προστασίας που θα ληφθούν θα πρέπει να αντιστοιχούν στο επίπεδο και τη φύση των κινδύνων που αντιμετωπίζει το ΠΕΣ Η έννοια της Ασφάλειας Τα πέντε συστατικά στοιχεία ενός Πληροφοριακού Συστήματος (ΠΣ) είναι το υλικό, το λογισμικό, οι διαδικασίες, οι άνθρωποι και τα δεδομένα [ΚΙΟΥ95]. Στη βιβλιογραφία, υπάρχουν αρκετοί ορισμοί της ασφάλειας ΠΣ και στις διαφορετικές εκφάνσεις της. Στα πλαίσια αυτής της διατριβής θα χρησιμοποιηθούν οι κάτωθι ορισμοί [ΚΙΟΥ04]: Ασφάλεια ΠΣ (Information Systems Security): ένα οργανωμένο πλαίσιο από έννοιες, αντιλήψεις, αρχές, πολιτικές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται για να προστατευθούν τα στοιχεία του Πληροφοριακού Συστήματος, αλλά και το σύστημα ολόκληρο, από κάθε σκόπιμη ή τυχαία απειλή. Ασφάλεια Τεχνολογίας Πληροφορικής και Επικοινωνιών ΤΠΕ (Information Technology & Communications Security ITC Security): η ασφάλεια της τεχνολογικής υποδομής των ΠΣ, συμπεριλαμβανομένων και των επικοινωνιακών (υπο) συστημάτων του. 1 Η εν λόγω διαπίστωση αποτελεί την αρχή της αναλογικότητας, σύμφωνα με την οποία τα εκάστοτε χρησιμοποιούμενα μέτρα ασφάλειας πρέπει να είναι ανάλογα των κινδύνων και απειλών που αντιμετωπίζουν τα ΠΕΣ. Οικονομικό Πανεπιστήμιο Αθηνών 60

61 Ασφάλεια Πληροφοριών (Information Security): η ασφάλεια των δεδομένων που διακινούνται, επεξεργάζονται και αποθηκεύονται στα στοιχεία του ΠΣ. Από τους παραπάνω ορισμούς είναι φανερό ότι όσον αφορά την ασφάλεια ΠΣ, υπάρχει στενή σχέση τόσο με τα τεχνικά, διαδικαστικά και οργανωσιακά μέτρα όσο και με τις κρατούσες ηθικό-κοινωνικές αντιλήψεις, αρχές και παραδοχές [ΤΣΟΥ07]. Επιπρόσθετα, η ασφάλεια ΤΠΕ δίνει έμφαση στους τεχνικούς παράγοντες της ασφάλειας των ΠΣ, ενώ η ασφάλεια πληροφοριών αναφέρεται αποκλειστικά στην προστασία των πληροφοριών που διακινούνται, επεξεργάζονται και αποθηκεύονται σε ένα ΠΣ και είναι στενότερη έννοια από αυτή της ασφάλειας ΠΣ [ΜΟΥ03] Βασικές ιδιότητες και χαρακτηριστικά της Ασφάλειας ΠΣ Η ασφάλεια των πληροφοριών αναφέρεται στην προστασία των σχετικών με την ασφάλεια ιδιοτήτων και χαρακτηριστικών της πληροφορίας. Ως θεμελιώδεις ιδιότητες ασφάλειας θεωρούνται η ακεραιότητα, η εμπιστευτικότητα και η διαθεσιμότητα, οι οποίες ορίζονται ως εξής [ΓΚΡΙ03]: Ακεραιότητα πληροφοριών (integrity): είναι η ιδιότητα των δεδομένων να υφίστανται σε προκαθορισμένο φυσικό μέσο ή χώρο και να είναι ακριβή. Δηλαδή, η μηεξουσιοδοτημένη τροποποίηση της πληροφορίας πρέπει να αποτρέπεται ενώ κάθε αλλαγή του περιεχομένου των δεδομένων να είναι αποτέλεσμα εξουσιοδοτημένης και ελεγχόμενης ενέργειας. Εμπιστευτικότητα πληροφοριών (confidentiality): η ιδιότητα των δεδομένων να καθίστανται αναγνώσιμα μόνο από εξουσιοδοτημένα λογικά υποκείμενα, όπως φυσικές οντότητες και διεργασίες λογισμικού. Διαθεσιμότητα πληροφοριών (availability): η αποτροπή της προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας σε κάθε εξουσιοδοτημένο λογικό υποκείμενο του συστήματος. Παρόλο που οι τρεις προαναφερθείσες ιδιότητες θεωρούνται ότι επαρκούν για τον ορισμό της έννοιας της ασφάλειας, υπάρχουν αρκετές ερευνητικές εργασίες οι οποίες ισχυρίζονται το αντίθετο [ΜΟΥ03]. Στις επιπλέον ιδιότητες που έχουν προταθεί είναι η αυθεντικότητα (authenticity), δηλ. η απόδειξη της προέλευσης και του ιδιοκτήτη της πληροφορίας, η εγκυρότητα (validity), δηλαδή ότι η πληροφορία αντιπροσωπεύει την πραγματικότητα και είναι επίκαιρη, ενώ σε άλλες έρευνες αναφέρονται οι ιδιότητες της μοναδικότητας (uniqueness), δηλαδή η αδυναμία αντιγραφής και αναπαραγωγής της πληροφορίας χωρίς εξουσιοδότηση και η μη αποποίηση (non-repudiation), δηλαδή η αδυναμία άρνησης των ενεργειών που έχουν εκτελεστεί για την τροποποίηση, την αποστολή ή τη λήψη μίας πληροφορίας [ΓΚΡΙ04], [ΓΚΡΙ03]. Έτσι, γίνεται αντιληπτό, ότι δεν πρέπει να είμαστε αυστηροί σε σχέση με τις ιδιότητες που διέπουν την έννοια της ασφάλειας. Η ασφάλεια, στον επιστημονικό χώρο της πληροφορικής, έχει μεταφερθεί ως μία αφηρημένη έννοια η οποία επιδέχεται πολλές Οικονομικό Πανεπιστήμιο Αθηνών 61

62 ερμηνείες συναρτώμενες από το πλαίσιο λειτουργίας (context) του εκάστοτε ΠΣ, αλλά και την οπτική του ερευνητή [ΜΟΥ03] Ασφάλεια και Συναφείς Έννοιες Η ασφάλεια ενός ΠΣ έχει ως στόχο να προστατέψει τα αγαθά που έχουν αξία για τον οργανισμό ή/και την επιχείρηση, είτε πρόκειται για πληροφορίες είτε για υπολογιστικούς πόρους. Τα τελευταία αναγνωρίζονται ως περιουσιακά στοιχεία ή Αγαθά (Assets) και η αξία τους είναι ανάλογη της Επίπτωσης (Impact) που θα έχει μία πιθανή Ζημία (Damage) ή απώλειά τους. Απαραίτητη προϋπόθεση, ώστε να υπάρξει μία Απώλεια στα Αγαθά του πληροφοριακού συστήματος, είναι να συμβεί Παραβίαση (Violation) της Ασφάλειάς του. Οι Παραβιάσεις, με τη σειρά τους, προϋποθέτουν την ύπαρξη κάποιας Αδυναμίας (Vulnerability) στο σύστημα και την εμφάνιση σχετικής Απειλής (Threat). Στην εικόνα που ακολουθεί παρουσιάζονται το σύνολο των εννοιών που διέπουν την έννοια της ασφάλειας, αλλά και πως αυτές συνδέονται εννοιολογικά μεταξύ τους. Εικόνα 3.1: Ασφάλειας και οι συναφείς έννοιες Συνοψίζοντας, μία Απειλή εκμεταλλεύεται μία Αδυναμία του συστήματος και προξενεί Ζημία σε ένα Αγαθό. Το γεγονός αυτό αναγνωρίζεται ως Παραβίαση της Ασφάλειας του Πληροφοριακού Συστήματος και προξενεί Επιπτώσεις στον Οργανισμό, ανάλογες της Αξίας του Αγαθού. Η Επικινδυνότητα (Risk) ενός Πληροφοριακού Συστήματος ορίζεται ως συνάρτηση τριών παραγόντων, των Απειλών που αντιμετωπίζει το ΠΣ, των Ευπαθειών (ή Αδυναμιών) του και των Επιπτώσεων που θα υπάρξουν από την πραγματοποίηση των Απειλών. Στον πίνακα που ακολουθεί συνοψίζονται οι βασικές έννοιες που διέπουν την ασφάλεια των ΠΣ και που θα χρησιμοποιηθούν ευρύτατα στο πλαίσιο της διατριβής. Οικονομικό Πανεπιστήμιο Αθηνών 62

63 Βασικές Συνιστώσες της Ασφάλειας ΠΣ Ασφάλεια στη Διαδικτυακή Τηλεφωνία: Πίνακας 3.1: Ορισμοί βασικών εννοιών ασφάλειας ΠΣ [ΓΚΡΙ04] ΟΡΟΣ Πληροφοριακό Σύστημα (Information System, ΙS) Αγαθά ή Περιουσιακά Στοιχεία (Αssets) Ασφάλεια Πληροφοριακού Συστήματος (IS Security) Εγκυρότητα (Validity) Αυθεντικότητα (Authenticity) Ακεραιότητα (Integrity) Εμπιστευτικότητα (Confidentiality) Διαθεσιμότητα (Availability) Σημείο Ευπάθειας- Αδυναμία (Vulnerability) Απειλή (Threat) Ζημία (Damage) Παραβίαση (Breach) Περιστατικό (Incident) ΟΡΙΣΜΌΣ Ένα οργανωμένο σύνολο αλληλεπιδρώντων στοιχείων (άνθρωποι, δεδομένα, λογισμικό, υλικός εξοπλισμός, διαδικασίες), το οποίο επεξεργάζεται δεδομένα και παράγει πληροφορίες για λογαριασμό μιας επιχείρησης ή ενός οργανισμού. Πληροφορίες, δεδομένα ή υπολογιστικοί πόροι που έχουν αξία, άρα σπουδαιότητα εκφραζόμενη σε χρηματικούς ή άλλους όρους. Το οργανωμένο πλαίσιο από έννοιες, αρχές, διαδικασίες, τεχνικές και μέτρα που απαιτούνται, για να προστατευθούν τόσο τα στοιχεία του ΠΣ όσο και ολόκληρο το ΠΣ από τυχαία ή σκόπιμη απειλή. Απόλυτη ακρίβεια και πληρότητα μιας πληροφορίας. Αποφυγή ατελειών και ανακριβειών κατά την εξουσιοδοτημένη τροποποίηση μιας πληροφορίας. Αποφυγή μη εξουσιοδοτημένης τροποποίησης μιας πληροφορίας. Αποφυγή αποκάλυψης πληροφοριών σε μη εξουσιοδοτημένες οντότητες. Αποφυγή προσωρινής ή μόνιμης άρνησης διάθεσης της πληροφορίας ή των υπολογιστικών πόρων σε νόμιμα εξουσιοδοτημένους χρήστες. Σημείο ενός ΠΣ που μπορεί να επιτρέψει να συμβεί μία παραβίαση. Μία πιθανή ενέργεια ή ένα γεγονός που μπορεί να προκαλέσει την απώλεια ενός ή περισσοτέρων χαρακτηριστικών ασφάλειας ενός πληροφοριακού συστήματος. Η απώλεια, μερική ή ολική, της αξίας ενός αγαθού. Ένα γεγονός το οποίο προσβάλλει μία ή περισσότερες από τις ιδιότητες της Ασφάλειας. Ένα γεγονός, το οποίο έχει ως συνέπεια μία παραβίαση ή που αποτελεί μία απόπειρα παραβίασης ή που θέτει σε κίνδυνο την ασφάλεια ενός ΠΣ Επίπτωση (Impact) Επικινδυνότητα (Risk) Μέσο/μέτρο ασφάλειας/προστασίας (Security Countermeasure) Η απώλεια μιας αξίας, η αύξηση του κόστους ή άλλη απώλεια που προκύπτει ως αποτέλεσμα μιας παραβίασης. Συνάρτηση της αξίας ενός αγαθού, της έντασης των απειλών και της σοβαρότητας των αντίστοιχων αδυναμιών. Ένα μέτρο σχεδιασμένο με σκοπό να εμποδίσει μία παραβίαση ή να μειώσει μία αδυναμία-σημείο ευπάθειας ή να μειώσει τις δυνητικές επιπτώσεις. 3.3 Ασφάλεια στο VoIP Στην ενότητα αυτή θα γίνει μια σύντομη περιγραφή των ζητημάτων ασφάλειας που χαρακτηρίζουν τις υποδομές VoIP. Επιπρόσθετα, θα παρουσιασθούν οι αδυναμίες ασφάλειας Οικονομικό Πανεπιστήμιο Αθηνών 63

64 του πρωτοκόλλου SIP καθώς και οι μηχανισμοί ασφάλειας που υιοθετούνται στο πλαίσιο λειτουργίας του Αδυναμίες και Απειλές της τεχνολογίας VoIP Πέρα από τα πλεονεκτήματα που εισάγει η χρήση των συστημάτων VoIP, το γεγονός ότι η λειτουργικότητα τους βασίζεται στην υποδομή του διαδικτύου τα καθιστά αρκετά ευάλωτα σε γνωστές επιθέσεις που συναντώνται στο διαδίκτυο. Οι απειλές που διέπουν το διαδίκτυο μεταφέρονται και στο χώρο του VoIP, γεγονός που ενδέχεται να επιφέρει αρνητικές συνέπειες στην εύρυθμη και ασφαλή λειτουργία των συστημάτων VoIP [POR06]. Εν γένει, τα συστήματα VoIP αντιμετωπίζουν ένα σύνολο απειλών οι οποίες μπορούν να ταξινομηθούν στις εξής κατηγορίες (βλ. Εικόνα 3.2): Απειλές σχετικές με τα δίκτυα TCP/IP. Απειλές που σχετίζονται με τα πρωτόκολλα που χρησιμοποιούνται στο VoIP (π.χ. SIP, H.323 κλπ.). Απειλές που αφορούν τις ίδιες τις υπηρεσίες και εφαρμογές VoIP. Εικόνα 3.2: Ταξινόμηση απειλών συστημάτων VoIP Στη συνέχεια της ανάλυσης παρουσιάζονται οι βασικότερες απειλές που απαντώνται στα συστήματα VoIP [VOI05]. Ορισμένες από τις απειλές αυτές είναι ιδιαίτερα γνωστές από το χώρο του διαδικτύου και τις εφαρμογές και υπηρεσίες του, άλλες, όμως, απαντώνται μόνο σε συστήματα VoIP Παραποίηση στοιχείων Η παραποίηση στοιχείων αφορά την επεξεργασία των στοιχείων που χαρακτηρίζουν την επικοινωνία με στόχο να παραπλανήσουν ή να εξαπατήσουν τον εκάστοτε αποδέκτη μιας κλήσης (ή μηνύματος). Η επεξεργασία των στοιχείων από τον κακόβουλο χρήστη, δεν αφορά στην καταπάτηση της ιδιότητας της εμπιστευτικότητας, αλλά αποσκοπεί στην παράθεση ψευδών πληροφοριών. Η παραποίηση στοιχείων στο πλαίσιο των συστημάτων Οικονομικό Πανεπιστήμιο Αθηνών 64

65 VoIP διακρίνεται σε: (α) παραποίηση ταυτότητας, (β) παραποίηση αρχής, (γ) παραποίηση δικαιωμάτων, και (δ) παραποίηση περιεχομένου. Η παραποίηση της ταυτότητας σχετίζεται με την αλλαγή της ταυτότητας του αποστολέα ενός μηνύματος ή του καλούντα σε μια κλήση. Ο στόχος στη συγκεκριμένη περίπτωση, δεν είναι η απόκρυψη της ταυτότητας, αλλά η ηθελημένη παραποίησή της ώστε να εξαπατηθεί το υποψήφιο θύμα. Η παραποίηση αρχής αφορά την ηθελημένη τροποποίηση των στοιχείων που αφορούν μια αρχή (authority) ενώ η παραποίηση δικαιωμάτων σχετίζεται με την παράθεση ψευδών διαπιστευτηρίων κατά τον έλεγχο αυθεντικοποίησης και εξουσιοδότησης. Σκοπός και των δύο τεχνικών είναι ο κακόβουλος χρήστης να παρουσιάσει ψευδή στοιχεία έτσι ώστε να ξεπεράσει την ενδεχόμενη ύπαρξη ενός μηχανισμού αυθεντικοποίησης ή να ξεγελάσει αυτόν και κατ επέκταση να αποκτήσει πρόσβαση σε πόρους ή/και υπηρεσίες που δε δικαιούται. Τέλος, η παραποίηση περιεχομένου αφορά την παρουσίαση ψευδούς περιεχόμενου ενός μηνύματος ή μιας κλήσης. Σκοπός στη συγκεκριμένη περίπτωση είναι η αλλαγή του περιεχόμενου με στόχο να παραπλανηθεί ο παραλήπτης του μηνύματος ή/και της κλήσης. Παραδείγματα αποτελούν η παραποίηση της φωνής, η παραποίηση του συνδέσμου που αναφέρεται σε ένα διαφορετικό ιστοτόπο κλπ. Το σύνολο των προαναφερθέντων απειλών χρησιμοποιούνται για την εκδήλωση επιθέσεων phishing 2 [EMI05] Κλοπή υπηρεσιών Η κλοπή των υπηρεσιών αφορά το σύνολο των ενεργειών και δράσεων είτε ενός χρήστη είτε ενός παρόχου υπηρεσιών με απώτερο σκοπό το οικονομικό του όφελος. Παραδείγματα τέτοιων ενεργειών αποτελούν η μη εξουσιοδοτημένη τροποποίηση των στοιχείων χρέωσης που διατηρούνται, η μη εξουσιοδοτημένη χρέωση υπηρεσιών κλπ Ανεπιθύμητη επικοινωνία Η συγκεκριμένη απειλή αφορά οποιαδήποτε επικοινωνία λαμβάνει χώρα με τρόπο ο οποίος αγνοεί την εκ των προτέρων θετική συναίνεση του αποδέκτη αυτής. Η συγκεκριμένη απειλή μπορεί να εκδηλωθεί με αρκετούς τρόπους, οι βασικότεροι εκ των οποίων παρουσιάζονται στις επόμενες παραγράφους. Μια κλασσική μορφή μη επιθυμητής επικοινωνίας σχετίζεται με την παρενόχληση (harassment) του αποδέκτη μιας κλήσης ή/και μηνύματος. Στη συγκεκριμένη περίπτωση, 2 Οι επιθέσεις τύπου phising αποσκοπούν στη λήψη εμπιστευτικών πληροφοριών από κάποιο χρήστη από τον εκάστοτε επιτιθέμενο, ο οποίος προσποιούμενος κάποια νόμιμη οντότητα ή πρόσωπο επικοινωνεί με τον αρχικό χρήστη. Οικονομικό Πανεπιστήμιο Αθηνών 65

66 αναφέρονται ενέργειες των κακόβουλων χρηστών ως προς τον αποδέκτη της επικοινωνίας. Τέτοιες ενέργειες αποτελούν η προσβολή του αποδέκτη, ο εκβιασμός αυτού κλπ. Μια άλλη συχνά συναντώμενη μορφή μη επιθυμητής επικοινωνίας σχετίζεται με την αποστολή μηνυμάτων ή/και κλήσεων των οποίων το περιεχόμενό τους είναι μεν έννομο, αλλά από την άλλη χαρακτηρίζεται ως μη επιθυμητό από την πλειονότητα των χρηστών. Κλασσική περίπτωση της συγκεκριμένης κατηγορίας αποτελεί το VoIP SPAM (γνωστό ως SPIT) [SAW06], όπου μέσω των υπηρεσιών VoIP αποστέλλονται μηνύματα ή/και κλήσεις διαφημιστικού ή άλλου μη επιθυμητού περιεχομένου Παρακολούθηση Επικοινωνιών Η παρακολούθηση των επικοινωνιών (eavesdropping) σχετίζεται με τις ενέργειες του εκάστοτε κακόβουλου χρήστη με στόχο την παρακολούθηση των μεταδιδόμενων μηνυμάτων VoIP, είτε σε επίπεδο σηματοδοσίας (π.χ. SIP), είτε σε επίπεδο μεταφοράς του κυρίως περιεχομένου μιας κλήσης (π.χ. RTP). Στη συγκεκριμένη περίπτωση έχουμε μόνο παραβίαση της εμπιστευτικότητας των επικοινωνιών και όχι της ακεραιότητας, αφού δεν υπάρχει τροποποίηση των μεταδιδόμενων μηνυμάτων. Οι βασικότεροι τρόποι για την παρακολούθηση των επικοινωνιών παρουσιάζονται στη συνέχεια. Ένας συνήθης τρόπος παρακολούθησης των περιεχομένων των μηνυμάτων είναι η ανάλυση της δικτυακής κίνησης κλήσεων μεταξύ των κόμβων μιας υποδομής VoIP (call pattern tracking). Παραπλήσια μέθοδος αποτελεί η συλλογή της δικτυακής κίνησης (traffic capture), όπου σχετίζεται με τη μη εξουσιοδοτημένη συγκέντρωση και μετέπειτα ανάλυση των μεταδιδόμενων VoIP μηνυμάτων. Με αυτόν τον τρόπο, επιτυγχάνεται η συλλογή αριθμών (number harvesting). Στην εν λόγω περίπτωση, ο στόχος του επιτιθέμενου είναι η συλλογή των ταυτοτήτων των διαφόρων εξουσιοδοτημένων χρηστών και η χρήση αυτών προς όφελος του, ώστε να προβεί σε περαιτέρω μη νόμιμες ενέργειες. Τέλος, η ανακατασκευή του περιεχομένου της επικοινωνίας (content reconstruction) αποτελεί μια συνήθης τεχνική για την παρακολούθηση των επικοινωνιών. Στη περίπτωση αυτή, οι ενέργειες του επιτιθέμενου αφορούν τη μη εξουσιοδοτημένη παρακολούθηση, καταγραφή, αποθήκευση, ανακατεύθυνση και ερμηνεία του περιεχομένου των επικοινωνιών με στόχο την εξαγωγή πληροφοριών που μπορούν να χρησιμοποιηθούν προς όφελος του Υποκλοπή και τροποποίηση επικοινωνιών Η συγκεκριμένη κατηγορία απειλών αφορά τις ενέργειες ενός κακόβουλου χρήστη με στόχο όχι μόνο την παρακολούθηση των επικοινωνιών, αλλά και την τροποποίηση αυτών. Προφανώς, στη συγκεκριμένη περίπτωση, έχουμε παραβίαση τόσο της εμπιστευτικότητας όσο και της ακεραιότητας των μεταδιδόμενων μηνυμάτων. Στον παρακάτω πίνακα (Πίνακας 3.2) συνοψίζονται οι βασικότερες μορφές που ανήκουν στη συγκεκριμένη κατηγορία απειλών [VOI05]. Οικονομικό Πανεπιστήμιο Αθηνών 66

67 Πίνακας 3.2: Απειλές σχετικές με την υποκλοπή και τροποποίηση των επικοινωνιών Απειλή Call Black Holing Εκτροπή κλήσης (Call Rerouting) Τροποποίηση περιεχομένων φαξ (FAX Alteration) Τροποποίηση περιεχομένων συνομιλίας (Conversation Alteration) Τροποποίηση ποιότητας υπηρεσιών (QoS) της επικοινωνίας (Conversation Degrading) Αλλαγή Ταυτότητας Καλούντα (False Caller Identification) Τροποποίηση περιεχομένου κλήσης ή/και ταυτότητας οντότητας (Conversation Impersonation and Hijacking) Κατάχρηση Υπηρεσιών Περιγραφή Οποιαδήποτε μη εξουσιοδοτημένη ενέργεια η οποία αποσκοπεί στη μη σωστή λειτουργία ενός VoIP πρωτοκόλλου (π.χ. η εισαγωγή λανθασμένων στοιχείων στις επικεφαλίδες ενός πακέτου SIP). Με αυτό τον τρόπο εμποδίζεται ή τερματίζεται η επικοινωνία. Οποιαδήποτε μη εξουσιοδοτημένη ενέργεια για την εκτροπή της δικτυακής κίνησης σε μη έμπιστα σημεία του δικτύου (π.χ. σε μη εξουσιοδοτημένους κόμβους του δικτύου κλπ.). Μη εξουσιοδοτημένη τροποποίηση των περιεχομένων ενός εγγράφου φαξ. Μη εξουσιοδοτημένη τροποποίηση των περιεχομένων μιας συνομιλίας (π.χ. ήχου, βίντεο, κλπ.), συμπεριλαμβανομένων της ταυτότητας και της πληροφορίας παρουσίας (presence information) των εμπλεκομένων στην επικοινωνία οντοτήτων. Οποιαδήποτε μη εξουσιοδοτημένη και σκόπιμη τροποποίηση της ποιότητας των υπηρεσιών (QoS) μιας επικοινωνίας. Οποιαδήποτε ενέργεια του κακόβουλου χρήστη που αποσκοπεί στην τροποποίηση της ταυτότητας του καλούντα. Μη εξουσιοδοτημένη τροποποίηση του περιεχομένου μιας κλήσης, της ταυτότητας ή/και της κατάστασης (status) μιας από τις εμπλεκόμενες στην επικοινωνία οντότητες. Η Κατάχρηση Υπηρεσιών (Service Abuse) αφορά το σύνολο των ενεργειών ενός κακόβουλου χρήστη με στόχο την αντικανονική χρήση των υπηρεσιών. Οι χαρακτηριστικότερες περιπτώσεις αυτής της κατηγορίας είναι οι εξής : Call Abuse: Αφορά την κατάχρηση των υπηρεσιών με στόχο την απόκρυψη της ταυτότητας και την εκτέλεση κακόβουλων ενεργειών. Premium Rate Service (PRS) Fraud: Αφορά οποιαδήποτε ενέργεια για τη χρήση υπηρεσιών (κυρίως ρυθμού μετάδοσης), χωρίς την συνεπακόλουθη χρέωση αυτής. Improper Bypass or Adjustment to Billing: Αναφέρεται σε οποιαδήποτε ενέργεια με σκοπό την αποφυγή χρέωσης ή/και την αλλαγή των στοιχείων χρέωσης (Call Detail Records-CDRs) των υπηρεσιών. Οικονομικό Πανεπιστήμιο Αθηνών 67

68 Άλλες περιπτώσεις κατάχρησης των υπηρεσιών περιλαμβάνουν την κλοπή της ταυτότητας με στόχο την απόκτηση διαπιστευτηρίων, κακόβουλες ενέργειες που στοχεύουν στις υπηρεσίες αυθεντικοποίησης (π.χ. RADIUS, LDAP κλπ.), μη σωστή τεχνοδιαμόρφωση των τελικών σημείων (end-points) του δικτύου κλπ Ηθελημένη Διακοπή Παροχής Υπηρεσιών Μια υποδομή VoIP αποτελείται από ένα σύνολο ετερογενών φυσικών δικτύων τα οποία συνδέονται με σκοπό την παροχή VoIP υπηρεσιών. H πολυπλοκότητα αυτή, είναι αναμενόμενο να ενισχύει το ενδεχόμενο εκδήλωσης περιστατικού διακοπής της παροχής των υπηρεσιών. Ένα τέτοιο περιστατικό ενδέχεται να οφείλεται στους εξής λόγους : (α) επιθέσεις άρνησης παροχής υπηρεσιών (DoS attacks), (β) φυσική εισβολή (physical intrusion), (γ) εξάντληση πόρων (resource exhaustion), (δ) διακοπή παροχής ηλεκτρικού ρεύματος και (ε) διακυμάνσεις της απόδοσης (performance latency). Στις επόμενες παραγράφους αναλύονται αυτές οι κατηγορίες περιστατικών Επιθέσεις Άρνησης Παροχής Υπηρεσιών Εν γένει, οι επιθέσεις άρνησης παροχής των VoIP υπηρεσιών ταξινομούνται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία αναφέρεται σε επιθέσεις που αφορούν αποκλειστικά στοιχεία της τεχνολογίας VoIP, όπως συγκεκριμένα πρωτόκολλα (π.χ. SIP), εφαρμογές (softphones) κλπ. H δεύτερη κατηγορία αναφέρεται σε όλους τους υπόλοιπους τύπους επιθέσεων. Στον πίνακα που ακολουθεί παρουσιάζονται οι απειλές που σχετίζονται με την άρνηση παροχής υπηρεσιών [VOI05], [NIST05]. Πίνακας 3.3: Απειλές και επιθέσεις άρνησης παροχής υπηρεσιών (DoS) Γενική Απειλή Request Flooding: Αφορά τη μαζική αποστολή μηνυμάτων αιτήσεων. VoIP Specific DoS Επιμέρους Απειλές User Call Flooding: Αφορά τη μαζική αποστολή έγκυρων μηνυμάτων αιτήσεων. Ενώ το τελικό σημείο μπορεί να διαχειριστεί τα μηνύματα αυτά, ο χρήστης συνεχώς διακόπτεται από την εργασία του. User Call Flooding Overflowing to Other Devices: Όμοια περίπτωση με προηγουμένως. Η διαφορά σχετίζεται με το ότι ορισμένα μηνύματα ενδέχεται να προωθηθούν προς άλλα σημεία (π.χ. τηλεφωνητές) των οποίων οι διαθέσιμοι πόροι ενδέχεται να εξαντληθούν. Endpoint Request Flooding: Αποστολή μαζικών μηνυμάτων αιτήσεων με στόχο η συσκευή του χρήστη να καταστεί μη διαθέσιμη. Endpoint Request Flooding after Call Setup: Αποστολή μαζικών μηνυμάτων ελέγχου των κλήσεων, αφού η κλήση Οικονομικό Πανεπιστήμιο Αθηνών 68

69 Malformed Requests and Messages: Αφορά την εσκεμμένη τροποποίηση μηνυμάτων αιτήσεων και αποκρίσεων QoS Abuse Spoofed Messages: Αφορά τη εισαγωγή παραποιημένων μηνυμάτων που ενδέχεται να προκαλέσει προβλήματα στην επικοινωνία και παροχής της υπηρεσίας. Call Hijacking: Αφορά το hijacking των πληροφοριών που ανταλλάσσονται κατά τη διάρκεια μιας VoIP κλήσης. έχει ήδη εγκαθιδρυθεί, με στόχο η τελική συσκευή του χρήστη να καταστεί μη διαθέσιμη. Call Controller Flooding: Μαζική αποστολή μηνυμάτων προς την οντότητα που ελέγχει και προωθεί τις κλήσεις (π.χ. SIP Proxy Server) με στόχο να καταστεί μη διαθέσιμη. Request Looping: Η συνεχής προώθηση προς την οντότητα που ελέγχει τις κλήσεις (π.χ. SIP Proxy Server) από δυο οντότητες που επιθυμούν να επικοινωνήσουν με στόχο να καταστήσουν την οντότητα μη διαθέσιμη. Directory Service Flooding: Η μαζική αποστολή επερωτήσεων προς εξυπηρετητές που υποστηρίζουν την παροχή υπηρεσιών VoIP (π.χ. προ τον εξυπηρετητή τοποθεσίας (location server)). Disabling Endpoints with Invalid Requests: Αφορά τη αποστολή τροποποιημένων μηνυμάτων αιτήσεων προς τους εκάστοτε παραλήπτες με στόχο την δυσλειτουργία των συσκευών τους. Injecting Invalid Media into Call Processor: Αφορά την εισαγωγή μη αποδεκτού περιεχομένου ώστε να καθίσταται μη δυνατή η χρήση του από τον εκάστοτε επεξεργαστή των κλήσεων. Malformed Protocol Messages: Αφορά την τροποποίηση των μηνυμάτων που ανταλλάσσονται στο πλαίσιο λειτουργίας κάποιου πρωτοκόλλου (π.χ. SIP). Η συγκεκριμένη απειλή αφορά τις ενέργειες που ενδέχεται να εκτελέσει ένας κακόβουλος χρήστης με στόχο να καταπατήσει την ποιότητα υπηρεσιών που ορίστηκαν κατά τη περίοδο εγκαθίδρυσης της συνόδου. Για παράδειγμα η χρήση διαφορετικού κωδικοποιητή (coder) από τον αρχικά συμφωνημένο. Faked Call Teardown Message: Στην περίπτωση αυτή ο επιτιθέμενος προκαλεί την πρώιμη λήξη μιας συνόδου με αποτέλεσμα να μη λαμβάνει ο εκάστοτε χρήστης την υπηρεσία την οποία αιτείται. Faked Response: Ο επιτιθέμενος αποστέλλει ψευδές μήνυμα απόκρισης (response) και αρνείται στον καλούντα την κλήση. Έτσι ο καλούντας, πλέον, δεν είναι σε θέση να λάβει κλήση. Registration Hijacking: Ο κακόβουλος χρήστης μπορεί να τροποποιήσει τα μηνύματα εγγραφής (request messages) έτσι ώστε να τα προωθεί σε άλλες ελεγχόμενες από τον ίδιο οντότητες εντός του δικτύου. Με αυτό τον τρόπο το θύμα δεν είναι σε θέση να λάβει ούτε να κάνει κλήσεις. Media Session Hijacking: Ο επιτιθέμενος προωθεί την κλήση σε άλλο σημείο του δικτύου, του οποίου έχει τον Οικονομικό Πανεπιστήμιο Αθηνών 69

70 έλεγχο, με αποτέλεσμα το θύμα να μην είναι σε θέση να επικοινωνήσει με αυτόν που αρχικά επιθυμούσε. Server Masquerading: Η παραποίηση ενός εξυπηρετητή ενδέχεται να προκαλέσει την άρνηση των υπηρεσιών λόγω του ότι ο εν λόγω εξυπηρετητής δεν είναι σε θέση να εκπληρώσει τα αιτήματα που επιθυμεί ο χρήστης. Network Services DoS Στην κατηγορία αυτή ανήκουν το πλήθος των επιθέσεων που στοχεύον στη μη παροχή ή την υποβάθμιση των προσφερόμενων δικτυακών υπηρεσιών. Οι επιθέσεις αυτές αφορούν την εκμετάλλευση αδυναμιών που σχετίζονται με την εκάστοτε VoIP δικτυακή υποδομή και τα κύρια συστατικά αυτής (π.χ. δρομολογητές, δικτυακούς εξυπηρετητές κλπ.). Underlying Operating System/Firmware DoS Στη συγκεκριμένη κατηγορία αναφέρονται οι απειλές και οι αδυναμίες που εντοπίζονται στο λογισμικό που έχει εγκατασταθεί στα υπολογιστικά συστήματα που απαρτίζουν μια υποδομή VoIP. Για παράδειγμα όταν ένας VoIP εξυπηρετητής εκτελείται σε ένα υπολογιστικό σύστημα με λειτουργικό σύστημα Windows, αυτόματα υιοθετεί και ενδεχόμενες αδυναμίες που υπάρχουν στο εν λόγω λειτουργικό σύστημα. Κατανεμημένη Άρνηση Παροχής Υπηρεσιών (Distributed Denial of Service) Η συγκεκριμένη κατηγορία αφορά τις επιθέσεις στις οποίες ένας μεγάλος αριθμός υπολογιστικών συστημάτων χρησιμοποιείται με στόχο να δημιουργείται κίνηση στο δίκτυο. Η κίνηση αυτή επηρεάζει άμεσα το σύνολο των δικτυακών πόρων, συμπεριλαμβανομένης και της εκάστοτε VoIP υποδομής, με αποτέλεσμα να υπάρχει υποβάθμιση της ποιότητας των παρεχόμενων υπηρεσιών ή ακόμα και μη παροχή τους Φυσική Εισβολή Η φυσική εισβολή (physical intrusion) αφορά, κυρίως, στις ενέργειες που καταφεύγει ο κακόβουλος χρήστης αφού έχει αποκτήσει φυσική πρόσβαση στους χώρους όπου στεγάζονται κρίσιμα για τις υπηρεσίες VoIP υπολογιστικά συστήματα. Με αυτόν τον τρόπο, μπορεί να θέσει εσκεμμένα εκτός λειτουργίας τα εν λόγω συστήματα, γεγονός που οδηγεί εν τέλει, στην άρνηση παροχής υπηρεσιών. Η φυσική εισβολή δεν περιορίζεται μόνο στην πρόσβαση σε κρίσιμες εγκαταστάσεις, αλλά περιλαμβάνει και ενδεχόμενες ενέργειες που σχετίζονται με επιθέσεις προς τις φυσικές διασυνδέσεις των συστημάτων, όπως για παράδειγμα στις δικτυακές καλωδιώσεις που υποστηρίζουν μια υπηρεσία. Εν γένει, η φυσική εισβολή μπορεί να γίνει με διάφορους τρόπους οι κυριότεροι εκ των οποίων είναι: (α) η φυσική πρόσβαση σε εγκαταστάσεις που στεγάζουν δικτυακό εξοπλισμό, (β) η φυσική πρόσβαση στις καλωδιώσεις που εντοπίζονται στις εγκαταστάσεις, (γ) φυσική πρόσβαση σε υπολογιστικό και δικτυακό εξοπλισμό, και (δ) μέσω επιθέσεων κοινωνικής μηχανικής (social engineering). Οικονομικό Πανεπιστήμιο Αθηνών 70

71 Απώλεια Ηλεκτρικού Ρεύματος Το σύνολο του υπολογιστικού και δικτυακού εξοπλισμού το οποίο υποστηρίζει τη λειτουργία των πληροφοριακών και επικοινωνιακών συστημάτων και κατ επέκταση τη λειτουργία των συστημάτων VoIP στηρίζεται στην αδιάλειπτη και συνεχή παροχή ηλεκτρικού ρεύματος. Στο πλαίσιο αυτό, ενδεχόμενη εσκεμμένη ή τυχαία διακοπή του ηλεκτρικού ρεύματος θα οδηγήσει σε μη λειτουργία βασικού εξοπλισμού και κατ επέκταση σε μη παροχή των υπηρεσιών. Απαιτείται, επομένως, η χρήση συστημάτων παροχής αδιάλειπτης λειτουργίας (UPS), τα οποία θα διασφαλίζουν τη λειτουργία του εξοπλισμού ακόμα και σε περιπτώσεις διακοπής του ηλεκτρικού ρεύματος Εξάντληση Πόρων Η τεχνολογία VoIP απαιτεί σημαντικό αριθμό πόρων προκειμένου να διασφαλίζεται η αδιάλειπτη και εύρυθμη λειτουργία της. Η έλλειψη διαθεσιμότητας των απαραίτητων υπολογιστικών και δικτυακών πόρων ενδέχεται να οδηγήσει σε σημαντική υποβάθμιση της ποιότητας των παρεχόμενων υπηρεσιών ή ακόμα και μη παροχή αυτών. Οι κυριότεροι λόγοι που μπορούν να οδηγήσουν στην εξάντληση των διαθέσιμων πόρων είναι οι εξής: Άστοχη τεχνοδιαμόρφωση ή εγκατάσταση λογισμικού ή/και υλικού που μπορεί να οδηγήσει στην εξάντληση των πόρων μνήμης ή/και επεξεργαστικής ισχύς (CPU resource) ενός δικτυακού στοιχείου (network element) της υποδομής. Σφάλματα λογισμικού ή/και υλικού τα οποία ενδέχεται να περιορίσουν το ρυθμό μετάδοσης μίας τηλεπικοινωνιακής ζεύξης. Λανθασμένη τεχνοδιαμόρφωση του εξοπλισμού η οποία οδηγεί σε δημιουργία μη αναγκαίων μηνυμάτων τα οποία περιορίζουν το ρυθμό μετάδοσης των δεδομένων. Λάθη χειρισμού από το υπεύθυνο προσωπικό το οποίο μπορεί να οδηγήσει σε περιορισμό των πόρων μνήμης ή/και της υπολογιστικής ισχύος. Επιθέσεις σε συγκεκριμένο υπολογιστικό και δικτυακό εξοπλισμό που οδηγεί σε εξάντληση των διαθέσιμων πόρων Διακύμανση απόδοσης Η διακύμανση της απόδοσης (performance latency) σε μια υποδομή VoIP επηρεάζει σε μεγάλο βαθμό την ποιότητα των υπηρεσιών τόσο κατά τη σηματοδοσία όσο και κατά την αποστολή των πολυμέσων (π.χ. φωνής). Σε ότι αφορά τη σηματοδοσία, οι διακυμάνσεις στην απόδοση ενδέχεται να επηρεάσουν σημαντικά το χρόνο εγκαθίδρυσης της κλήσης. Κατά τη φάση της αποστολής των πολυμέσων (φωνής), η διακύμανση της απόδοσης υποβαθμίζει σε μεγάλο βαθμό την ποιότητα της επικοινωνίας, αφού μπορεί να οδηγήσει σε απώλεια πακέτων ή σε διαφορετικό χρόνο άφιξής τους στον εκάστοτε προορισμό (jitter). Οικονομικό Πανεπιστήμιο Αθηνών 71

72 3.3.2 Συνολική Εικόνα Η ανάλυση των προηγούμενων παραγράφων καθιστά σαφές ότι το ζήτημα της ασφάλειας των VoIP υποδομών κρίνεται ιδιαίτερα σημαντικό. Έτσι, η εξασφάλιση των υποδομών VoIP δεν πρέπει να θεωρείται και να αποτελεί μια διαδικασία ad-hoc, αλλά απαιτεί μια εμπεριστατωμένη και προσεχτική μελέτη. Η ανάλυση αυτή, πρέπει να γίνεται από τα αρχικά στάδια σχεδιασμού και ανάπτυξης των συστημάτων VoIP και όχι σε μετέπειτα χρονικά περίοδο. Επιπρόσθετα, η εξασφάλιση των υποδομών VoIP δεν αφορά μόνο τα επιμέρους συστατικά (components) αυτής, αλλά συναρτάται και επηρεάζεται από το συνολικό πλαίσιο λειτουργίας της. Για παράδειγμα, δεν είναι δυνατόν προκειμένου να διασφαλιστεί μια υποδομή VoIP να αγνοηθούν οι παράγοντες που άπτονται της φυσικής ασφάλειας. Στον πίνακα που ακολουθεί παρουσιάζεται μια συνοπτική εικόνα των βασικών αδυναμιών και απειλών που αφορούν την τεχνολογία VoIP και πώς κάθε μία από αυτές επηρεάζει τις βασικές συνιστώσες της ασφάλειας, δηλαδή την εμπιστευτικότητα, διαθεσιμότητα και ακεραιότητα. Πίνακας 3.4: Απειλές και αδυναμίες τεχνολογίας VoIP σε συνάρτηση επιπέδου πρωτοκόλλων Επίπεδο Απειλή Αδυναμία Φυσικό Επίπεδο και Επίπεδο Διασύνδεσης Δεδομένων Επίπεδο Δικτύου Επίπεδο Μεταφοράς Επίπεδο Εφαρμογής Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Physical Attacks ARP cache ARP flood MAC spoofing IP spoofing Device Redirect via IP spoof Malformed packets IP frag ICMP flood Jolt TCP / UDP flood TCP / UDP replay TFTP server insertion DHCP server insertion DHCP starvation SPAM over IP Registration Hijacking Οικονομικό Πανεπιστήμιο Αθηνών 72

73 Επίπεδο Απειλή Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Αδυναμία MGCP Hijack Message modification RTP insertion Spoof via header Cancel / bye attack Malformed method Redirect method RTP SDP redirect RTP payload RTP tampering Encryption Default configuration Unnecessary services Buffer overflow Legacy Network DNS Availability Γενικές Συστάσεις Διασφάλισης Υποδομών VoIP Η λεπτομερής ανάλυση των απειλών και αδυναμιών μιας υποδομής VoIP καθορίζει σε μεγάλο βαθμό το σύνολο των ελέγχων και μέτρων που πρέπει να υιοθετηθούν έτσι ώστε η επικινδυνότητα που αντιμετωπίζουν οι υποδομές VoIP να ελαχιστοποιηθούν [TSO05]. Οι απειλές και αδυναμίες που παρουσιάστηκαν δεν είναι οι ίδιες για κάθε οργανισμό ή/και επιχείρηση που αναπτύσσει VoIP συστήματα. Ωστόσο είναι ιδιαίτερα γενικές και θα πρέπει να μελετηθούν προσεκτικά έτσι ώστε να διασφαλιστούν οι βασικές συνιστώσες της ασφάλειας, δηλαδή η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα [NIST05]. Επιπλέον, λόγω του ότι το ζήτημα της ασφάλειας δεν εξαρτάται μόνο από τις εκάστοτε χρησιμοποιούμενες τεχνολογίες, αλλά επηρεάζεται και από το πλαίσιο λειτουργίας (context) των πληροφοριακών συστημάτων απαιτείται και η ενδελεχής μελέτη των οργανωσιακών, επιχειρησιακών και νομικών θεμάτων και προτεραιοτήτων που διέπουν τον εκάστοτε οργανισμό/επιχείρηση [DOD06],[JAE06]. Στον πίνακα που ακολουθεί παρουσιάζεται ένα σύνολο γενικών συστάσεων διασφάλισης των υποδομών VoIP, το οποίο πρέπει να λαμβάνεται σοβαρά υπόψη κατά το σχεδιασμό και ανάπτυξη συστημάτων VoIP [NIST05]. Οικονομικό Πανεπιστήμιο Αθηνών 73

74 Πίνακας 3.5: Γενικές συστάσεις ασφάλειας υποδομών VoIP [NIST05] Γενικές Συστάσεις Ασφάλειας Υποδομών VoIP Ενδελεχής και προσεχτική τεχνοδιαμόρφωση δικτυακής υποδομής Λογικός διαχωρισμός των δικτύων φωνής και δεδομένων. Ορισμός υπο-δικτύων (subnets) με κατάλληλη διευθυνσιοδότηση για το καθένα γεγονός που θα διευκολύνει την αποτελεσματικότερη λειτουργία των αναχωμάτων ασφάλειας και των συστημάτων ανίχνευσης εισβολών. Υιοθέτηση ισχυρών μηχανισμών αυθεντικοποίησης και εξουσιοδότησης στα υποδίκτυα φωνής και ιδιαίτερα στις πύλες διασύνδεσης (voice gateways) των δικτύων με τα υπόλοιπα δίκτυα που χρησιμοποιούνται. Χρήση μηχανισμών που θα επιτρέπουν τη χωρίς προβλήματα διέλευση των δεδομένων φωνής (VoIP traffic) από τα εκάστοτε χρησιμοποιούμενα αναχώματα ασφάλειας (firewall traversal). Χρήση ισχυρών μηχανισμών ασφάλειας (π.χ. IPSec, SSH κλπ.) όταν γίνεται χρήση υπηρεσιών απομακρυσμένης σύνδεσης (remote management). Προσεχτική χρήση μηχανισμών κρυπτογράφησης με στόχο να εξασφαλίζεται ικανοποιητική ποιότητα των παρεχόμενων υπηρεσιών. Μελέτη των ενδεχόμενων κινδύνων που υπεισέρχονται της χρήσης VoIP τεχνολογιών. Υιοθέτηση συγκεκριμένων ελέγχων και μέτρων διασφάλισης των πληροφοριακών και επικοινωνιακών του συστημάτων για την αντιμετώπιση των κινδύνων αυτών. Ενδελεχής μελέτη των νέων απειλών, αδυναμιών και κινδύνων που οφείλονται στη υιοθέτηση της τεχνολογίας VoIP. Λεπτομερής ανάλυση των απαιτήσεων ασφάλειας όπως αυτές διαμορφώνονται από τη χρήση της νέας τεχνολογίας. Εκπαίδευση σχετικά με τα ζητήματα ασφάλειας που οφείλονται στις τεχνολογίες VoIP. Μελέτη και αντιμετώπιση ζητημάτων φυσικής ασφάλειας. Σαφής διαχωρισμός των χώρων που στεγάζεται κρίσιμος δικτυακός και υπολογιστικός εξοπλισμός Χρήση μηχανισμών ελέγχου φυσικής πρόσβασης στα κρίσιμα σημεία της δικτυακής υποδομής των VoIP συστημάτων (π.χ. σε σημεία που εντοπίζονται εξυπηρετητές, δικτυακές πύλες κλπ.). Χρήση συστημάτων αδιάλειπτης παροχής ηλεκτρικής ενέργειας. Απαιτείται η ενδελεχής μελέτη των ζητημάτων που άπτονται της παροχής ηλεκτρικού ρεύματος. Χρήση κατάλληλου εξοπλισμού (UPS, ηλεκτρικές γεννήτριες) που θα διασφαλίζουν την παροχή υπηρεσιών VoIP ακόμα και σε περιπτώσεις διακοπής ηλεκτρικού ρεύματος. Οικονομικό Πανεπιστήμιο Αθηνών 74

75 Γενικές Συστάσεις Ασφάλειας Υποδομών VoIP Χρησιμοποίηση μηχανισμών ασφάλειας για την προστασία των VoIP συστημάτων. Χρησιμοποίηση των μηχανισμών ασφάλειας που προσφέρει εξ ορισμού ο εκάστοτε χρησιμοποιούμενος εξοπλισμός VoIP (enable built-in security mechanisms). Η χρήση αναχωμάτων ασφάλειας (firewalls) θεωρείται βασικό συστατικό (component) μιας υποδομής VoIP. Χρήση μηχανισμών ασφάλειας στις συσκευές (soft-phones) που χρησιμοποιούνται από τους εκάστοτε χρήστες έτσι ώστε ενδεχόμενη εμφάνιση περιστατικών ασφάλειας (ιομορφικό λογισμικό) να μην επηρεάζουν τη συνολική υποδομή VoIP. Συμμόρφωση στο εκάστοτε νομικό και ρυθμιστικό πλαίσιο. Ο εκάστοτε οργανισμός που αναπτύσσει υποδομή VoIP πρέπει να συμμορφώνεται στο νομικό και ρυθμιστικό πλαίσιο που διέπει την τεχνολογία VoIP και ενδέχεται να είναι διαφορετικό από αυτό των κλασσικών τηλεφωνικών δικτύων. 3.4 Ασφάλεια στο SIP Το πρωτόκολλο SIP λόγω της ευκολίας χρήσης του, αλλά και της ευελιξίας τείνει να αποτελέσει το πρότυπο πρωτόκολλο σηματοδοσίας για τη τεχνολογία VoIP. Ωστόσο, η φύση του πρωτοκόλλου το καθιστά αρκετά ευάλωτο σε διάφορες επιθέσεις, γεγονός που οδηγεί σε υποβάθμιση των υπηρεσιών ασφάλειας των VoIP υποδομών. Παράλληλα, η χρήση του πρωτοκόλλου, μαζί με τα πρωτόκολλα μεταφοράς (TCP και UDP), οδηγεί άμεσα στην ενσωμάτωση των προβλημάτων ασφάλειας που έχουν τα εν λόγω πρωτόκολλα. Περαιτέρω, η διασύνδεση του SIP με τα κλασικά τηλεφωνικά δίκτυα, μέσω των κατάλληλων πυλών VoIP, εισάγει νέα σημεία τα οποία μπορεί να εκμεταλλευτεί ο επίδοξος επιτιθέμενος με στόχο να πετύχει νέα ρήγματα ασφάλειας. Σε μια υποδομή VoIP βασιζόμενη στο πρωτόκολλο SIP, όπως συμβαίνει στο σύνολο των πληροφοριακών υποδομών, εντοπίζονται δύο κατηγορίες απειλών. Η πρώτη κατηγορία αναφέρεται σε εξωτερικές απειλές και επιθέσεις που προκαλούνται από μια οντότητα η οποία δεν ανήκει στην υποδομή VoIP και κατ επέκταση δε συμμετέχει στη ροή των μηνυμάτων [YAN07], [ONO07]. Συνήθως, οι εν λόγω απειλές προκύπτουν όταν τα μεταδιδόμενα μηνύματα διέρχονται από μη έμπιστα δίκτυα εκτός της υποδομής VoIP. Από την άλλη μεριά, οι εσωτερικές απειλές είναι πιο σύνθετες λόγω του ότι προκαλούνται από οντότητες οι οποίες ανήκουν στην εκάστοτε δικτυακή υποδομή VoIP και συμμετέχουν στην αποστολή και λήψη των μηνυμάτων. Το γεγονός αυτό, σε συνδυασμό με το ότι οι οντότητες αυτές θεωρούνται έμπιστες καθιστά την ανίχνευση τέτοιου είδους επιθέσεων αρκετά πιο δύσκολη Μηχανισμοί Ασφάλειας του SIP Όλα τα συστατικά μιας υποδομής VoIP που βασίζεται στο πρωτόκολλο SIP είναι επιρρεπή και τρωτά σε γνωστές επιθέσεις που εμφανίζονται στο διαδίκτυο. Επιπρόσθετα, το σύνολο Οικονομικό Πανεπιστήμιο Αθηνών 75

76 των απειλών και αδυναμιών που παρουσιάστηκαν στην ενότητα συναντώνται και στην περίπτωση δικτύων VoIP που χρησιμοποιούν το πρωτόκολλο SIP. Οι μηχανισμοί ασφάλειας που έχουν προταθεί για το πρωτόκολλο SIP προσπαθούν κατ ελάχιστο να καλύψουν τις εξής απαιτήσεις ασφάλειας [SAW06], [VOI05]: Διατήρηση της εμπιστευτικότητας και ακεραιότητας των μεταδιδόμενων μηνυμάτων. Προστασία από επιθέσεις επανα-αποστολής μηνυμάτων (replay attacks) και επιθέσεις παραποίησης περιεχομένων μηνυμάτων (message spoofing). Υπηρεσίες αυθεντικοποίησης μεταξύ των συμμετεχόντων σε μια σύνοδο. Αποτροπή επιθέσεων άρνησης παροχής υπηρεσιών. Λόγω του ότι το πρωτόκολλο SIP είναι παρόμοιο στη λειτουργία του με το πρωτόκολλο http, πολλοί μηχανισμοί που έχουν προταθεί για αυτό μπορούν να εφαρμοσθούν και στην περίπτωση του SIP. Επιπλέον, μηχανισμοί ασφάλειας που έχουν προταθεί για τα επιμέρους επίπεδα του OSI μπορούν να εφαρμοσθούν εξίσου εύκολα. Για παράδειγμα ο μηχανισμός ασφάλειας για την προστασία του επιπέδου δικτύου που βασίζεται στο πρωτόκολλο IPSEC μπορεί να χρησιμοποιηθεί και στο πλαίσιο λειτουργίας του SIP. Στις επόμενες παραγράφους παρουσιάζονται οι βασικοί μηχανισμοί ασφάλειας που έχουν προταθεί στο πρωτόκολλο SIP προκειμένου να αντιμετωπιστούν το σύνολο των προαναφερθέντων απειλών Βασικός Μηχανισμός Αυθεντικοποίησης Η αυθεντικοποίηση αποτελεί το μέσο εκείνο με το οποίο γίνεται η εξακρίβωση της ταυτότητας μιας οντότητας η οποία αιτείται τη χρήση μιας υπηρεσίας [ΓΚΡΙ04]. Στο πλαίσιο λειτουργίας του πρωτοκόλλου SIP, οι μηχανισμοί αυθεντικοποίησης εντοπίζονται κυρίως στους πληρεξούσιους εξυπηρετητές (proxy servers),οι οποίοι ελέγχουν την ταυτότητα του εκπροσώπου του χρήστη (User Agent). Σε περίπτωση που απαιτείται αμοιβαία αυθεντικοποίηση τότε και ο εκάστοτε εκπρόσωπος χρήστη ελέγχει την ταυτότητα του πληρεξούσιου εξυπηρετητή. Εξ ορισμού, στο SIP χρησιμοποιούνται συγκεκριμένες επικεφαλίδες των μηνυμάτων για τις υπηρεσίες αυθεντικοποίησης [RFC3261]. Οι επικεφαλίδες αυτές περιέχουν μια υπογραφή (signature) η οποία έχει προέλθει από διάφορα συστατικά που απαρτίζουν ένα μήνυμα SIP. Η εν λόγω επικεφαλίδα δεν αλλάζει κατά τη μετάδοση του μηνύματος διαμέσου των επιμέρους πληρεξούσιων εξυπηρετητών που περνά το μήνυμα SIP. Απλά, στο τέλος ελέγχεται το περιεχόμενό της με βάση τα ίδια συστατικά του μηνύματος και αν συμπίπτει με το αρχικό τότε έχει ικανοποιηθεί η απαίτηση της αυθεντικοποίησης HTTP digest authentication Η συγκεκριμένη μέθοδος αυθεντικοποίησης είναι ισχυρότερη από την μέθοδο που αναφέρθηκε προηγουμένως λόγω του ότι ενσωματώνει μηχανισμούς κρυπτογράφησης [RFC3261], [PET06]. Πιο συγκεκριμένα, σε αντίθεση με τη μετάδοση του συνθηματικού του Οικονομικό Πανεπιστήμιο Αθηνών 76

77 εκάστοτε χρήστη σε απλό κείμενο, χωρίς κρυπτογράφηση, στην περίπτωση αυτή δε μεταδίδεται το συνθηματικό, αλλά η τιμή μιας συνάρτηση σύνοψης (hash value) που προκύπτει από το συνθηματικό και από τυχαία σειρά αλφαριθμητικών. Η συνάρτηση σύνοψης που προτείνεται στο πλαίσιο λειτουργίας του SIP είναι η MD5 ή SHA1. Παρόλο που ο εν λόγω μηχανισμός είναι πιο ισχυρός, λόγω της χρήσης κρυπτογραφικών μηχανισμών, ωστόσο παραμένει ευάλωτος σε εξαντλητικές επιθέσεις (brute force attacks). Επιπρόσθετα, ούτε σε αυτή την περίπτωση παρέχονται υπηρεσίες διατήρησης της εμπιστευτικότητας λόγω του ότι τα μηνύματα SIP δεν κρυπτογραφούνται Πρωτόκολλο IPSec Το πρωτόκολλο IPSec αποτελεί ένα ισχυρό μηχανισμό προστασίας των πακέτων IP σε επίπεδο δικτύου [RFC2401]. Το πρωτόκολλο παρέχει υπηρεσίες διατήρησης της εμπιστευτικότητας, ακεραιότητας και αυθεντικοποίησης της προέλευσης των δεδομένων (data origin). Στο πλαίσιο λειτουργίας του SIP παρέχεται η δυνατότητα χρήσης του πρωτοκόλλου IPSEC και χρησιμοποιείται κυρίως για την προστασία της κίνησης μεταξύ των πληρεξούσιων εξυπηρετητών Πρωτόκολλο TLS Το πρωτόκολλο TLS [RFC4346], παρέχει υπηρεσίες ασφάλειας, όμοια με το πρωτόκολλο IPSec, αλλά στο επίπεδο μεταφοράς. Αντίθετα με το πρωτόκολλο IPSec, δεν προϋποθέτει την εκ των προτέρων σχέση εμπιστοσύνης μεταξύ των οντοτήτων. Το πρωτόκολλο παρέχει αμοιβαία αυθεντικοποίηση ενώ στην πλειονότητα των περιπτώσεων χρησιμοποιείται για την αυθεντικοποίηση μεταξύ των δικτυακών τομέων (network domains). Το βασικό μειονέκτημά του είναι ότι απαιτεί για τη λειτουργία του το πρωτόκολλο TCP ενώ συνήθως στο πλαίσιο λειτουργίας του SIP χρησιμοποιείται το πρωτόκολλο UDP. Το πρόβλημα αυτό αντιμετωπίζεται με χρήση του πρωτοκόλλου DTLS (TLS over UDP) Μηχανισμός S/MIME Όπως έχει προαναφερθεί, κρυπτογράφηση ολόκληρου του μηνύματος SIP από άκρο σε άκρο δεν είναι μπορεί να εφαρμοστεί, λόγω της ανάγκης τροποποίησης και ελέγχου ορισμένων πεδίων επικεφαλίδας από ενδιάμεσα στοιχεία δρομολόγησης. Το S/MIME (Secure/ Multipurpose Internet Mail Extensions) επιτρέπει την κρυπτογράφηση μόνο των MIME σωμάτων των μηνυμάτων SIP, παρέχοντας έτσι σ αυτά ασφάλεια από άκρο σε άκρο, χωρίς να επηρεάζονται οι επικεφαλίδες του μηνύματος. Με το S/MIME μπορεί να εξασφαλιστεί η από άκρο σε άκρο εμπιστευτικότητα και ακεραιότητα για τα σώματα των μηνυμάτων, όπως και υπηρεσίες αμοιβαίας αυθεντικοποίησης. [RFC3261] 3 Μόλις πρόσφατα (Απρίλιος 2006) υιοθετήθηκε ως Standard (RFC 4347) το πρωτόκολλο DTLS (Datagram Transport Layer Security) το οποίο υποστηρίζει την χρήση του TLS πάνω από το UDP. Οικονομικό Πανεπιστήμιο Αθηνών 77

78 Σχήμα SIPS-URI Το ασφαλές SIP (Secure SIP - SIPS) αποτελεί έναν από άκρο σε άκρο μηχανισμό ασφάλειας που χρησιμοποιείται κατά την αίτηση χρήσης από μια οντότητα ενός πόρου ή μιας υπηρεσίας. Αποτελεί έναν ανάλογο μηχανισμό με το HTTPS και διασφαλίζει την ασφάλεια από άκρο σε άκρο. Η χρήση διεύθυνσης SIPS είναι όμοια με τη χρήση απλή διεύθυνσης SIP ενώ η μόνη διαφορά είναι η χρήση της ασφαλούς διεύθυνσης της οντότητας (π.χ. sips:john@domain.com) Αξιολόγηση Μηχανισμών Ασφάλειας του SIP Από το σύνολο των προαναφερθέντων μηχανισμών δεν καλύπτουν όλοι το σύνολο των απαιτήσεων ασφάλειας που ορίζονται στις υποδομές VoIP. Στον πίνακα που ακολουθεί παρουσιάζονται ποιες από τις βασικές απαιτήσεις ασφάλειας καλύπτουν οι οριζόμενοι στο SIP μηχανισμοί ασφάλειας. Πίνακας 3.6: Απαιτήσεις ασφάλειας που ικανοποιούν οι μηχανισμοί ασφάλειας του SIP Μηχανισμός Εμπιστευτικότητα Ακεραιότητα Αυθεντικοποίηση HTTP Authentication - - S/MIME TLS IPSec Επιπρόσθετα, έχοντας υπόψη το «βασικό τραπεζοειδές» του SIP όπως αυτό φαίνεται στην Εικόνα 2.14, κρίνεται σκόπιμο να αναφερθούν επιγραμματικά οι περιοχές στις οποίες συνήθως 4 εφαρμόζονται οι παραπάνω μηχανισμοί. Έτσι η βασιζόμενη στο HTTP αυθεντικοποίηση (HTTP Authentication), εφαρμόζεται μεταξύ αντιπροσώπων χρήστη και εξυπηρετητών. Τα πρωτόκολλα TLS και IPSec εφαρμόζονται μεταξύ των εξυπηρετητών και μεταξύ εξυπηρετητών και αντιπροσώπων χρήστη με σκοπό την παροχή υπηρεσιών αυθεντικοποίησης και την εξασφάλιση της εμπιστευτικότητας και ακεραιότητας των μεταδιδόμενων μηνυμάτων. Τέλος, το S/MIME, εφαρμόζεται μεταξύ των αντιπροσώπων χρήστη με στόχο μία από-άκρο-σε-άκρο (end-to-end) ασφαλή επικοινωνία (βλ. Εικόνα 3.3). 4 Υπό την έννοια ότι μπορεί να υπάρχουν και εξαιρέσεις διαφορετικών υλοποιήσεων. Οικονομικό Πανεπιστήμιο Αθηνών 78

79 Εικόνα 3.3: Σημείο εφαρμογής μηχανισμών ασφάλειας SIP [ΝΑΚ07] Στη συνέχεια της ανάλυσής μας, παρουσιάζονται κάποιες βασικές αδυναμίες και ζητήματα ασφάλειας, που αφορούν τον κάθε μηχανισμό που προαναφέρθηκε. Αρχικά, ο τρόπος λειτουργίας της βασιζόμενης στο HTTP αυθεντικοποίησης, προϋποθέτει την ύπαρξη ενός συνθηματικού (password, secret) το οποίο σε κάποια φάση του μηχανισμού αυθεντικοποίησης πρέπει να μεταδίδεται από τον κάτοχό του προς τον πιστοποιούντα. Ένα πρώτο ζήτημα προκύπτει από το γεγονός ότι εάν η μετάδοση αυτή του συνθηματικού γίνει μέσω μη ασφαλούς καναλιού τότε είναι υπαρκτός ο κίνδυνος επιθέσεως τύπου MITM (man-in-the-middle). Ένα επιπλέον ζήτημα αφορά τη διαχείριση του εν λόγω συνθηματικού. Ενώ η κάθε φορά εισαγωγή του ενδέχεται να μην είναι λειτουργική για την πλειονότητα των χρηστών, από την άλλη η αποθήκευση του στην εκάστοτε συσκευή του χρήστη εγκυμονεί κινδύνους σχετικά με την ενδεχόμενη αποκάλυψή του. Τέλος, όπως έχουμε ήδη αναφέρει, η μη κρυπτογραφημένη μετάδοση του εν λόγω συνθηματικού καθιστά ιδιαίτερα ευάλωτο τον εν λόγω μηχανισμό στο σύνολό του. Όσον αφορά τώρα τους υπόλοιπους μηχανισμούς ασφάλειας, ένα σημαντικό ζήτημα αφορά τη χρήση ψηφιακών πιστοποιητικών που απαιτούνται για τη λειτουργία των μηχανισμών του S/MIME και του TLS. Για τη λειτουργία των μηχανισμών αυτών απαιτούνται Υποδομές Δημόσιου Κλειδιού (Public Key Infrastructure) οι οποίες τόσο η λειτουργία τους όσο και η διαχείρισή τους είναι αρκετά δύσκολο να επιτευχθεί λόγω των προβλημάτων που υπεισέρχονται όταν εφαρμόζεται σε μεγάλης κλίμακας υποδομές. Ένα άλλο θέμα που τίθεται ως προβληματισμός σχετικά με τους παραπάνω μηχανισμούς έχει να κάνει με την επιβάρυνση τόσο του δικτύου με επιπλέον κίνηση όσο και του υπολογιστικού φόρτου των εκάστοτε χρησιμοποιούμενων συσκευών. Αρκετοί από τους μηχανισμούς, ιδιαίτερα αυτοί που υιοθετούν τεχνικές κρυπτογράφησης, απαιτούν σημαντικούς υπολογιστικούς πόρους που ενδέχεται να επιβαρύνουν το σύνολο των υπολογιστικών και δικτυακών συστημάτων. Η επιβάρυνση αυτή δεν είναι αμελητέα αν λάβουμε υπόψη μας αφενός το όραμα για ένα παγκόσμιο δίκτυο τηλεφωνίας μέσω διαδικτύου αφετέρου την ύπαρξη κινητών συσκευών περιορισμένης (μέχρι στιγμής) υπολογιστικής ισχύος. Οικονομικό Πανεπιστήμιο Αθηνών 79

80 Τέλος, αξίζει να αναφερθεί ότι κανένας από τους μηχανισμούς δεν προσφέρει κάτι ολοκληρωμένο για την προστασία της ιδιωτικότητας. Ακόμα και η αποτελεσματική λειτουργία όλων των παραπάνω μηχανισμών δεν εξασφαλίζει τους τελικούς χρήστες από καταγραφή π.χ. των κλήσεων που πραγματοποίησαν ή δέχτηκαν, τις χρονικές στιγμές που έγιναν αυτές οι κλήσεις, τις τοποθεσίες που βρίσκονταν συγκεκριμένες ημέρες και ώρες κλπ. Η φύση του πρωτοκόλλου SIP είναι τέτοια που πληροφορίες ιδιωτικότητας διακινούνται μέσω ενδιάμεσων οντοτήτων (proxies, redirect Servers κλπ), οι οποίες είναι σε θέση και να τις καταγράψουν. Παρόλα αυτά, μερικές φορές ιδιωτικές πληροφορίες πιθανόν να είναι χρήσιμες ή και απαραίτητες (περιπτώσεις επειγουσών κλήσεων σε συνάρτηση με τον τόπο της κλήσης ή για λόγους που αφορούν χρεώσεις των χρηστών κλπ.). Είναι γεγονός ότι η προστασία της ιδιωτικότητας στο SIP παραμένει ένα ανοιχτό ερευνητικό θέμα που χρήζει ιδιαίτερης προσοχής στο μέλλον. 3.5 Ορισμός και Επισκόπηση του SPIT Από την ανάλυση των απειλών και ζητημάτων ασφάλειας που χαρακτηρίζουν τις υποδομές VoIP και η οποία παρουσιάστηκε προηγουμένως, αναδεικνύεται μια νέου τύπου απειλή η οποία μέχρι στιγμής δεν έχει λάβει σημαντικές διαστάσεις, αλλά και τη δέουσα προσοχή και ενδιαφέρον στο χώρο της ασφάλειας. Η απειλή αυτή είναι το SPIT και αναφέρεται στη μεταφορά του SPAM από το χώρο της ηλεκτρονικής αλληλογραφίας στην περίπτωση των τεχνολογιών VoIP [ROS07], [SAW06]. Πριν παρουσιαστούν κάποιες λεπτομέρειες σε ότι αφορά το φαινόμενο SPIT, θεωρείται χρήσιμο να γίνει αναφορά σε κάποια στοιχεία για το SPAM, με στόχο να αναδειχθούν τα κοινά σημεία και χαρακτηριστικά με το SPIT Η Απειλή του SPAM Το φαινόμενο του SPAM έχει εμφανιστεί εδώ και αρκετά χρόνια 5, ενώ τα τελευταία χρόνια έχει λάβει σημαντικές διαστάσεις, μιας και θεωρείται ότι ένα μεγάλο μέρος των ανταλλασσόμενων μηνυμάτων ηλεκτρονικού ταχυδρομείου είναι τύπου SPAM, όπως παρουσιάζεται και στην επόμενη εικόνα 6. 5 Η πρώτη τεκμηριωμένη περίπτωση SPAM είναι η επιστολή που εστάλη το 1978 από την εταιρεία Digital Equipment Corporation σε όλους τους χρήστες του ArpaNet στη Δυτική ακτή των Η.Π.Α, διαφημίζοντας τον υπολογιστή DEC Available at: Οικονομικό Πανεπιστήμιο Αθηνών 80

81 Εικόνα 3.4: Εξέλιξη φαινομένου SPIT Παρόλο που οι διάφοροι ορισμοί σε ότι αφορά το SPAM ποικίλλουν, ωστόσο ο πιο αντιπροσωπευτικός από αυτούς που συνήθως παρουσιάζεται στη σχετική βιβλιογραφία, αναφέρει ότι το SPAM σχετίζεται με τη μαζική και αυτόκλητη (μη επιθυμητή) αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου [SPA04], [SCH04], [HAS04]. Η φύση του SPAM, στην πλειονότητα των περιπτώσεων, σχετίζεται με την προώθηση εμπορεύσιμων προϊόντων, τα οποία ενδέχεται πολλές φορές να είναι και παράνομα 7. Εκτός, όμως, από αυτά τα χαρακτηριστικά του, το SPAM μπορεί να παίρνει αρκετές μορφές με διάφορα περιεχόμενα και τεχνικά χαρακτηριστικά [RAM06], [GOO04]. Ωστόσο, ο χαρακτηρισμός ενός μηνύματος αν αυτό αποτελεί ή όχι SPAM έχει υποκειμενικό χαρακτήρα, αφού αρκετές φορές κάτι που μπορεί να χαρακτηρισθεί ως SPAM από κάποιο χρήστη, μπορεί για κάποιον άλλο χρήστη να μην είναι. Με βάση τα παραπάνω, για να χαρακτηρισθεί ένα ηλεκτρονικό μήνυμα ως SPAM, θα πρέπει να ικανοποιούνται και τα δύο βασικά χαρακτηριστικά αυτών: (α) η μαζικότητα (bulk) της αποστολής και (β) η απουσία συγκατάθεσης λήψης από τον εκάστοτε παραλήπτη SPAM: Τρέχουσα Κατάσταση και Εξέλιξη Το φαινόμενο του SPAM, παρόλο τις προσπάθειες αντιμετώπισης του, συνεχώς εξελίσσεται και παίρνει διάφορες μορφές. Ενώ οι τεχνικές και οι μηχανισμοί αντιμετώπισης που προτείνονται, αρκετές φορές, έχουν ικανοποιητικά αποτελέσματα, από την άλλη οι τεχνικές και οι τρόποι που υιοθετούν και χρησιμοποιούν οι κακόβουλοι χρήστες (spammers), συνεχώς εξελίσσονται, καθιστώντας τους εν λόγω anti-spam μηχανισμούς ανεπαρκείς [PRI05]. Επιπρόσθετα, καθίσταται αναγκαία και η εφαρμογή ενός αυστηρού και σαφούς νομοθετικού και ρυθμιστικού πλαισίου διαχείρισης του SPAM, το οποίο θα προστατεύει τους χρήστες από περιπτώσεις περιστατικών τύπου SPAM [OECD06]. Εν γένει, όπως φαίνεται και από την παρακάτω εικόνα, η εξέλιξη του SPAM πραγματοποιείται με ταχείς ρυθμούς σε όλα τα επίπεδα: από τον τεχνολογικό τομέα και τα μέσα που 7 Για παράδειγμα στις περιπτώσεις όπου προωθείται υλικό που αφορά τη διαφήμιση ιστοσελίδων που περιέχουν υλικό παιδικής πορνογραφίας. Οικονομικό Πανεπιστήμιο Αθηνών 81

82 χρησιμοποιούν οι κακόβουλοι χρήστες έως τις κοινωνικές και νομικές επιπτώσεις που αυτό επιφέρει [OECD06]. Εικόνα 3.5: Εξέλιξη του SPAM Συνολικά, λοιπόν, μπορεί να ειπωθεί ότι η εξέλιξη του SPAM οφείλεται, κυρίως, στους εξής παράγοντες [OECD06], [SPA04]: 1. Οι κακόβουλοι χρήστες συνεχώς αναπτύσσουν και υιοθετούν νέες προσεγγίσεις με στόχο να προωθήσουν τα εκάστοτε SPAM μηνύματα τους. Χαρακτηριστικό παράδειγμα αποτελεί η υιοθέτηση αυτοματοποιημένων λογισμικών (software bots), τα οποία αποσκοπούν στη μαζική αποστολή μηνυμάτων ηλεκτρονικού ταχυδρομείου. 2. Τα τελευταία χρόνια το SPAM αποτελεί το μέσο εκείνο που διευκολύνει την εκδήλωση νέων τύπων επιθέσεων, ενισχύοντας με αυτό τον τρόπο τις ενδεχόμενες επιπτώσεις του και καθιστώντας αναγκαία παρά ποτέ την αποτελεσματική του αντιμετώπιση. Παραδείγματα επιθέσεων που διευκολύνονται μέσω του SPAM είναι η εξάπλωση ιομορφικού λογισμικού, το phising κλπ. 3. Η εξέλιξη των τεχνολογιών διευκολύνει την αποστολή SPAM μηνυμάτων όχι μόνο μέσω ηλεκτρονικού ταχυδρομείου, αλλά και με χρήση νέων τεχνολογιών. Χαρακτηριστικότερα παραδείγματα αποτελεί η αποστολή SPAM μηνυμάτων μέσω δικτύων κινητής τηλεφωνίας, η επικοινωνία μέσω εφαρμογών στιγμιαίων μηνυμάτων (MSN, Google Talk, Skype κλπ.). Επιπρόσθετα, παρόλο που τα αρχικά μηνύματα SPAM είχαν στόχο την διαφημιστική και εμπορική προώθηση ενός προϊόντος, ωστόσο τα τελευταία χρόνια το περιεχόμενο τους συνεχώς εμπλουτίζεται με στόχο να περιλαμβάνει και νέους τύπους (π.χ. σεξιστικό περιεχόμενο). Στην εικόνα που ακολουθεί 8, παρουσιάζεται πώς διαμορφώνεται το περιεχόμενο των SPAM μηνυμάτων στην τρέχουσα χρονική συγκυρία. 8 Διαθέσιμο στη διεύθυνση: Οικονομικό Πανεπιστήμιο Αθηνών 82

83 Εικόνα 3.6: Μορφές SPAM Μηνυμάτων Το Φαινόμενο SPIT Όπως αναφέρθηκε ήδη, το SPIT αποτελεί μεταφορά του φαινομένου SPAM στο χώρο της διαδικτυακής τηλεφωνίας. Ενώ σαν πρακτική το SPIT υπάρχει αρκετά χρόνια, ωστόσο το υψηλό κόστος των κλήσεων που βασίζονταν στα κλασσικά PSTN τηλεφωνικά δίκτυα, αποτελούσε σημαντικό ανασταλτικό παράγοντα εξάπλωσής του. Η κατάσταση αυτή, με την εμφάνιση της τεχνολογίας VoIP, όπου το κόστος των τηλεφωνικών κλήσεων μειώνεται σημαντικά, διευκολύνει σε μεγάλο βαθμό την εξάπλωση του SPIT [DRI07]. Το γεγονός αυτό ενδέχεται να αποτελέσει σημαντική τροχοπέδη στην περαιτέρω ανάπτυξη και χρήση των VoIP υπηρεσιών. Το SPIT αντιπροσωπεύει ένα νέο είδος απειλής για τη διαδικτυακή τηλεφωνία, που είτε άμεσα είτε έμμεσα επηρεάζει το συνολικό επίπεδο της ασφάλειας των VoIP υποδομών. Μέσω του SPIT, διευκολύνονται οι ενδεχόμενοι κακόβουλοι χρήστες να πετύχουν διάφορου τύπου επιθέσεις ασφάλειας (βλ. εικόνα 3.7), ενισχύοντας τις επιπτώσεις τόσο για τους απλούς χρήστες όσο και για τους παρόχους των VoIP υπηρεσιών [VOI05]. (Ιούνιος 2008) Οικονομικό Πανεπιστήμιο Αθηνών 83

84 Εικόνα 3.7: Το SPIT σε σχέση με την ασφάλεια των VoIP υποδομών. Γενικά, το SPIT παρουσιάζει αρκετές ομοιότητες με το SPAM στο ηλεκτρονικό ταχυδρομείου. Οι τεχνικές και τα μέσα που χρησιμοποιούν οι επίδοξοι επιτιθέμενοι είναι κοινά, ενώ η βασική υποδομή για την εκδήλωση περιστατικών SPIT/SPAM αποτελεί, κατά κύριο λόγο, το Διαδίκτυο. Ωστόσο, παρά τις προφανείς ομοιότητες, τα δύο φαινόμενα έχουν και ουσιαστικές διαφορές. Στον παρακάτω πίνακα παρουσιάζεται μια συγκριτική αποτίμηση του SPIT και του SPAM [MAR07]. Πίνακας 3.7: Σύγκριση SPAM και SPIT Επικοινωνία Σκοπός Κόστος Επίθεσης Κύριο Αντίκτυπο Προτεινόμενα Αντίμετρα SPAM Ασύγχρονη. (Αποθήκευση και προώθηση) Μαζική αποστολή μη επιθυμητών μηνυμάτων ηλεκτρονικού ταχυδρομείου Χαμηλό για κάθε ένα μήνυμα Διακοπή των δραστηριοτήτων - Μέτρια ενόχληση των χρηστών λόγω του κειμένου των μηνυμάτων Κυρίως, έλεγχος και φιλτράρισμα του περιεχομένου του μηνύματος SPIT Ασύγχρονη κατά τη διάρκεια έναρξης της συνόδου. Σύγχρονη κατά τη σύνοδο. Διενέργεια μη επιθυμητών και μαζικών τηλεφωνικών κλήσεων ή αποστολή σε μεγάλη ποσότητα, μη επιθυμητών άμεσων μηνυμάτων Σημαντικό κατά τον διάλογο έναρξης της συνόδου υψηλό κατά τη διάρκεια της συνόδου Σημαντική επιβάρυνση (υπερφόρτωση) του δικτύου Υπολογίσιμη ενόχληση των χρηστών λόγω ήχου Έλεγχος, σε πραγματικό χρόνο, της διαδικασίας σηματοδοσίας του SIP προ της έναρξης της συνόδου. Έλεγχος του περιεχομένου των κλήσεων που έχουν αποθηκευτεί στον αυτόματο τηλεφωνητή. Οικονομικό Πανεπιστήμιο Αθηνών 84

85 Μέθοδος Κυρίως μήνυμα, επισυναπτόμενο video, ήχος, εικόνα Κυρίως σύνοδοι τηλεφωνικών κλήσεων ή video, και δευτερευόντως άμεσων μηνυμάτων Μορφές του SPIT Παρά την πρόσφατη εμφάνιση του SPIT, οι τύποι που έχουν οριστεί μέχρι στιγμής φαίνεται ότι καλύπτουν την πλειονότητα των περιπτώσεων που μπορούν να χρησιμοποιηθούν από τους ενδεχόμενους κακόβουλος χρήστες. Έτσι, λοιπόν, οι μορφές του SPIT που έχουν οριστεί είναι [RFC5039]: Call SPIT: Αυτός ο τύπος SPIT ορίζεται ως μαζικές και αυτόκλητες απόπειρες έναρξης τηλεφωνικών κλήσεων (π.χ. αιτήματα SIP INVITE). Σε περίπτωση που ο χρήστης απαντήσει στην κλήση, το περιεχόμενο του SPIT μηνύματος μεταδίδεται σε πραγματικό χρόνο μέσω της τηλεφωνικής κλήσης (φωνή). Ιnstant Μessage SPIΤ (SPIM): Ο συγκεκριμένος τύπος SPIT, που έχει πολλά κοινά με την περίπτωση του SPAM στο ηλεκτρονικό ταχυδρομείου, ορίζεται ως τη μαζική και μη επιθυμητή αποστολή άμεσων-στιγμιαίων μηνυμάτων (instant messages). Το περιεχόμενο των μηνυμάτων αυτών αποτελεί αυτό που επιθυμεί ο κακόβουλος χρήστης (spitter) να προωθήσει. Presence SPIT: Στη συγκεκριμένη περίπτωση, αναφερόμαστε στη μαζική και μη επιθυμητή αποστολή αιτημάτων παρουσίας (presence requests) προς τους χρήστες. Ο σκοπός του κακόβολου χρήστη είναι να γίνει μέλος της λευκής λίστας (white lists) των χρηστών, προκειμένου, εν συνεχεία, να προωθήσει το μήνυμα που επιθυμεί ή να αποκαταστήσει άλλες μορφές επικοινωνίας που δικό του όφελος και με κακόβουλο, στην πλειονότητα των περιπτώσεων, στόχο. 3.6 Προσεγγίσεις στη Διαχείριση του SPIT Η πρόσφατη εμφάνιση του φαινομένου SPIT έχει οδηγήσει στην πρόταση ενός περιορισμένου αριθμού τεχνικών και μηχανισμών που επιδιώκουν να αντιμετωπίσουν και διαχειριστούν το φαινόμενο στο σύνολο του. Η πλειονότητα των προτεινόμενων προσεγγίσεων βασίζονται στην υιοθέτηση τεχνικών και προσεγγίσεων που υλοποιούνται και χρησιμοποιούνται για την αντιμετώπιση του SPAM στο ηλεκτρονικό ταχυδρομείο [MAR07]. Έτσι, και σε συνδυασμό με το γεγονός ότι οι περισσότεροι μηχανισμοί αγνοούν τα επιμέρους και ιδιαίτερα χαρακτηριστικά των υποδομών VoIP, και κυρίως την σε πραγματικό χρόνο απαίτηση επικοινωνίας, καθιστά το σύνολο των προτεινόμενων προσεγγίσεων ανεπαρκές για τη ουσιαστική, αποδοτική και αποτελεσματική διαχείριση του φαινομένου SPIT [GRI08]. Η διαχείριση του φαινομένου SPIT δεν αποτελεί μια απλή διαδικασία, αλλά απαιτεί συγκεκριμένη και συσσωρευμένη προσπάθεια καθώς και την υιοθέτηση σαφώς οριζόμενων και κατανοητών πρακτικών και ενεργειών. Στην επόμενη εικόνα, αποτυπώνονται οι βασικές Οικονομικό Πανεπιστήμιο Αθηνών 85

86 συνιστώσες που αφορούν το κύκλο ζωής της διαχείρισης του φαινομένου SPIT. Κάθε επιμέρους συνιστώσα, απαιτεί ιδιαίτερη προσοχή και σημασία, δεν πρέπει να αμελείται και πρέπει να λαμβάνεται μόνιμα υπόψη για την αποτελεσματική, ουσιαστική και ολιστική διαχείριση του SPIT. Εικόνα 3.8: SPIT Management Lifecycle 3.7 Το Ερευνητικό Πρόβλημα και η Προτεινόμενη Προσέγγιση Από την περιγραφή που αναφέρθηκε στην προηγούμενη ενότητα, το ερευνητικό πρόβλημα που πραγματεύεται η παρούσα διατριβή είναι το εξής: στο συνεχές μεταβαλλόμενο περιβάλλον των σύγχρονων Τεχνολογιών Πληροφορικής και Επικοινωνιών, που επιφέρει την μεγάλη εξάπλωση και ανάπτυξη VoIP συστημάτων και υποδομών, η ανάγκη ύπαρξης ενός πλαισίου αποτελεσματικής, αποδοτικής και ολιστικής διαχείρισης του φαινομένου SPIT καθίσταται επιτακτική. Η τρέχουσα πρακτική αντιμετώπιση του SPIT, χωρίς να θεωρείται μη σημαντική, βασίζεται σε ανεπαρκείς προσεγγίσεις και τελικά κρίνονται μη ικανοποιητικές. Το γεγονός ότι οι τωρινές προσεγγίσεις βασίζονται σε συνδυαστικές μεθόδους, υιοθετούμενες από το χώρο αντιμετώπισης του SPAM, ενώ παρέχουν κάποιο βαθμό προστασίας από το SPIT, ωστόσο δεν αντιμετωπίζουν το πρόβλημα στο σύνολό του [GRI08]. Η διατριβή προτείνει μια νέα προσέγγιση στο θέμα της διαχείρισης του SPIT, αξιοποιώντας αποτελεσματικά το σύνολο των πηγών που είναι διαθέσιμες και αφορούν τόσο τη λειτουργία των VoIP υποδομών όσο και τα ιδιαίτερα και επιμέρους χαρακτηριστικά του φαινομένου SPIT. Επίσης, παρέχεται ένα τεκμηριωμένο μεθοδολογικό πλαίσιο, το οποίο επιτυγχάνει να συνδυάσει τις συνθήκες ανίχνευσης και ταυτοποίησης ενδεχόμενων επιθέσεων SPIT με τις εκάστοτε υιοθετούμενες και εφαρμοζόμενες ενέργειες αντιμετώπισής τους. Οικονομικό Πανεπιστήμιο Αθηνών 86

87 3.7.1 Μεθοδολογική προσέγγιση Προκειμένου να οριστεί η προτεινόμενη αρχιτεκτονική διαχείρισης του SPIT φαινομένου, ακολουθήθηκε μια συγκεκριμένη μεθοδολογική προσέγγιση. Στο πλαίσιο της παρούσας διατριβής, απλοποιήσαμε το ευρύτερο πρόβλημα που αφορά τη διαχείριση του φαινομένου SPIT, σε επιμέρους μικρότερα και πιο εύκολα επιλύσιμα προβλήματα, ορίζοντας μιας σειρά βημάτων και καταλήγοντας στην προτεινόμενη αρχιτεκτονική. Τα βήματα της ακολουθούμενης μεθοδολογίας, αποτυπώνονται στην παρακάτω εικόνα, ενώ στη συνέχεια, παρουσιάζεται μια σύντομη περιγραφή τους. Εικόνα 3.9: Μεθοδολογική προσέγγιση 1. Μελέτη πρωτοκόλλου SIP: Το βήμα αυτό, αφορά την ενδελεχή μελέτη του πρωτοκόλλου SIP, κατανοώντας σε πρώτα στάδιο τη λειτουργία του και σε δεύτερο τις διευκολύνσεις που παρέχει ως προς την εκδήλωση SPIT επιθέσεων. 2. Εξέταση υπαρχουσών προσεγγίσεων αντιμετώπισης SPIT: Στο στάδιο αυτό μελετήθηκαν οι υπάρχουσες και ήδη προτεινόμενες προσεγγίσεις σε ότι αφορά τη διαχείριση του SPIT. Με βάση οριζόμενα από εμάς κριτήρια αξιολόγησης, έλαβε χώρα μια συγκριτική μελέτη των εν λόγω τεχνικών και μηχανισμών, με σκοπό τον εντοπισμό και την καταγραφή ενδεχόμενων ελλείψεων αυτών. 3. Ανάλυση αδυναμιών πρωτοκόλλου SIP. Στο στάδιο αυτό, μελετήθηκαν εκτενώς και σε βάθος οι αδυναμίες του πρωτοκόλλου SIP τις οποίες μπορεί ένας κακόβουλος χρήστης να εκμεταλλευτεί με στόχο την εκδήλωση SPIT επιθέσεων. 4. Μοντελοποίηση Αδυναμιών Ορισμός κριτηρίων ανίχνευσης: Στο συγκεκριμένο βήμα, ορίστηκαν κάποια βασικά κριτήρια ανίχνευσης και ταυτοποίησης ενδεχόμενων επιθέσεων SPIT. Παράλληλα, και με στόχο να βρεθούν πιο σύνθετα σενάρια επιθέσεων SPIT μοντελοποιήθηκαν οι αναγνωριζόμενες από το προηγούμενο βήμα Οικονομικό Πανεπιστήμιο Αθηνών 87

88 αδυναμίες με τέτοιο τρόπο ώστε να παράσχουν ένα σύνολο σύνθετων σεναρίων περιστατικών SPIT. 5. Ανάπτυξη οντολογίας: Στο συγκεκριμένο βήμα, αναπτύχθηκε ένα μοντέλο βασιζόμενο στις οντολογίες (ontospit), το οποίο αποσκοπεί στην υποστήριξη της συστηματικής αναπαράστασης των σχετικών εννοιών και σχέσεων που αφορούν το φαινόμενο SPIT, καθώς και τη δυνατότητα τεχνικής διαχείρισής του. 6. Πολιτική antispit. Στο βήμα αυτό και με βάση τα αποτελέσματα των προηγούμενων βημάτων προτείνεται η αρχιτεκτονική διαχείρισης του SPIT, η οποία στοχεύει στην ενσωμάτωση στο μοντέλο ontospit της εκάστοτε οριζόμενης πολιτικής αντιμετώπισης και διαχείρισης του SPIT που υιοθετείται σε κάποιο VoIP δικτυακό τομέα. Παράλληλα, προτάθηκε και μια βασική πολιτική antispit (baseline antispit policy), η οποία αποτελείται από ένα σύνολο βασικών κανόνων που πρέπει να υιοθετούνται ώστε να παρέχεται ένα ελάχιστο επίπεδο προστασίας από ενδεχόμενες επιθέσεις SPIT. 3.8 Σύνοψη Στο παρόν κεφάλαιο εξετάστηκαν τα βασικά στοιχεία που αφορούν την ασφάλεια των VoIP υποδομών καθώς και τα ζητήματα ασφάλειας που υπεισέρχονται από τη χρήση του βασικού πρωτοκόλλου που χρησιμοποιείται στο VoIP, δηλαδή το πρωτόκολλο SIP. Επιπρόσθετα, παρουσιάστηκε το φαινόμενο SPIT, η σχέση του με το γνωστό στο ηλεκτρονικό ταχυδρομείο SPAM, ενώ αποτυπώθηκε και η αναγκαιότητα της συστηματικής αντιμετώπισης του. Τέλος, διατυπώθηκε το ερευνητικό πρόβλημα της διατριβής και η προτεινόμενη προσέγγιση. Στο επόμενο κεφάλαιο γίνεται μια λεπτομερής ανασκόπηση των βασικότερων ερευνητικών προσεγγίσεων που σχετίζονται με το ερευνητικό πρόβλημα, δηλαδή την αντιμετώπιση και διαχείριση του SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 88

89 4 Παρουσίαση και Αξιολόγηση Προσεγγίσεων Αντιμετώπισης SPIT Experience is a hard teacher. She gives the test first and the lessons afterwards. Anonymous 4 Παρουσίαση και Αξιολόγηση Προσεγγίσεων Αντιμετώπισης SPIT 4.1 Εισαγωγή Η ομοιότητα του φαινομένου του SPIT με το κλασσικό και γνωστό, από το χώρο του ηλεκτρονικού ταχυδρομείου, φαινομένου του SPAM, οδηγεί επαγωγικά στη σκέψη ότι πολλές τεχνικές αντιμετώπισης του SPAM (anti-spam) μπορούν να εφαρμοσθούν εξίσου αποδοτικά και για την αντιμετώπιση του SPIT (anti-spit). Ωστόσο, όπως θα παρουσιασθεί σε αυτό το κεφάλαιο, αυτό δεν είναι απόλυτα αληθές, για λόγους που άπτονται των χαρακτηριστικών της τεχνολογίας VoIP. Πιο συγκεκριμένα, στο κεφάλαιο αυτό θα παρουσιασθούν εν συντομία οι βασικές τεχνικές και μηχανισμοί anti-spit που έχουν προταθεί μέχρι στιγμής. Επιπρόσθετα, θα γίνει και μια αξιολόγηση των προτεινόμενων προσεγγίσεων με βάση ποιοτικά και ποσοτικά κριτήρια τα οποία έχουν αναγνωριστεί και οριστεί [MAR07]. 4.2 Δυσκολία χρήσης μηχανισμών anti-spam στο περιβάλλον του SPIT Στο προηγούμενο κεφάλαιο, αναφερθήκαμε στο φαινόμενο του SPIT καθώς και στις κυριότερες διαφορές και ομοιότητες του σε σχέση με το SPAM. Οι διαπιστώσεις αυτές οδηγούν στο συμπέρασμα ότι υπάρχουν κάποιες γενικές τεχνικές anti-spam οι οποίες θα μπορούσαν εύκολα να μεταφερθούν στο πλαίσιο του SPIT. Ενώ αυτό μπορεί να γίνει αρκετά εύκολα, από άποψη τεχνοδιαμόρφωσης, οι ιδιαιτερότητες του φαινομένου του SPIT, σε συνδυασμό με στοιχεία που σχετίζονται με τη λειτουργία των VoIP υποδομών, καθιστούν την άμεση εφαρμογή των anti-spam τεχνικών όχι ιδιαίτερα αποδοτική και ουσιαστική. Η προαναφερθείσα δυσκολία οφείλεται κατά κύριο λόγο στο διαφορετικό τρόπο λειτουργίας του VoIP. Πιο συγκεκριμένα, οι υπηρεσίες τηλεφωνίας, κυρίως, και κατά δεύτερο λόγο οι υπηρεσίες στιγμιαίων μηνυμάτων, πραγματοποιούνται σε πραγματικό χρόνο (real-time Οικονομικό Πανεπιστήμιο Αθηνών 89

90 services) και διαφέρουν από τις υπηρεσίες ηλεκτρονικού ταχυδρομείου που βασίζονται στη λειτουργία αποθήκευσης και προώθησης (store and forward service) 1 [SIN06], [JOH04]. Γίνεται αντιληπτό, λοιπόν, ότι οι VoIP υπηρεσίες, σε αντιδιαστολή με τις υπηρεσίες ηλεκτρονικού ταχυδρομείου, απαιτούν ικανό επίπεδο ποιότητας των υπηρεσιών (Quality of Service-QoS) προκειμένου να διασφαλίζεται η εύρυθμη και χωρίς, χρονικές κυρίως, καθυστερήσεις παροχή τους. Η απαίτηση αυτή, για ανίχνευση και αντιμετώπιση του φαινομένου του SPIT σε πραγματικό χρόνο, είναι ο κυριότερος λόγος κατά τον οποίο πολλές από τις τεχνικές για την αντιμετώπιση του SPAM δεν κρίνονται αποτελεσματικές στο χώρο του VoIP [NIC07]. Στη συνέχεια του κεφαλαίου, παρουσιάζονται οι βασικές τεχνικές καθώς και οι μηχανισμοί που έχουν προταθεί για την αντιμετώπιση του SPIT, ως πρώτο επίπεδο άμυνας σε ένα φαινόμενο το οποίο αναμένεται να λάβει σημαντικές διαστάσεις στο σύντομο μέλλον [SAW06], [NIST05], [DON06], [BAU06] 4.3 Τεχνικές antispam που έχουν Yιοθετηθεί για την Aντιμετώπιση του SPIT Στην παρούσα ενότητα, παρουσιάζονται οι βασικότερες τεχνικές για την αντιμετώπιση του SPIT και οι οποίες, στην πλειονότητά τους, έχουν υιοθετηθεί από το χώρο του anti-spam. Οι συγκεκριμένες τεχνικές, συνήθως, χρησιμοποιούνται συνδυαστικά ώστε να αποτελέσουν τα δομικά εκείνα στοιχεία (building blocks) για τη δημιουργία ενός αποτελεσματικότερου και αποδοτικότερου μηχανισμού-πλαισίου αντιμετώπισης του SPIT [ROS07], [RFC5039] Λίστες Η βασιζόμενη στις λίστες τεχνική (listing), αποτελεί μια μέθοδο αντιμετώπισης του SPIT, η οποία υιοθετήθηκε από το χώρο του anti-spam και η οποία κρίνεται, υπό συγκεκριμένες συνθήκες, ιδιαίτερα αποδοτική. Η τεχνική των λιστών βασίζεται στη δημιουργία δύο (2), συνήθως, λιστών: των μαύρων λιστών και των λευκών λιστών. Η τεχνική των μαύρων λιστών (black ή block lists) βασίζεται στη διατήρηση μιας λίστας διευθύνσεων, είτε σε επίπεδο χρήστη, είτε σε επίπεδο δικτυακού τομέα (domain), στην οποία ενδέχεται να αποθηκεύονται SIP διευθύνσεις χρηστών (SIP URIs, π.χ. sip:stelios.dritsas@ ) ή δικτυακές διευθύνσεις IP (IP addresses, π.χ ) ή διευθύνσεις που αφορούν έναν ολόκληρο δικτυακό τομέα (network domain address, π.χ. aueb.gr). Οι διευθύνσεις αυτές, αναφέρονται σε γνωστές πηγές επιθέσεων SPIT είτε αυτές προέρχονται από μεμονωμένους κακόβουλους χρήστες είτε από 1 Πολλές φορές για την περιγραφή της διαφορετικότητας των υπηρεσιών VoIP και ηλεκτρονικού ταχυδρομείου χρησιμοποιούνται και οι όροι push και pull υπηρεσία. Έτσι, η τηλεφωνία μέσω διαδικτύου αποτελεί μια υπηρεσία push, κατά την οποία ο χρήστης-παραλήπτης δεν έχει τη χρονική δυνατότητα επιλογής των κλήσεων που θα φτάσουν σε αυτόν. Από την άλλη, το ηλεκτρονικό ταχυδρομείο αποτελεί μια pull υπηρεσία, μέσω της οποίας παρέχεται στον παραλήπτη-χρήστη η δυνατότητα να προβεί ο ίδιος, όποτε το επιθυμεί, στην ανάκτηση των μηνυμάτων του. Οικονομικό Πανεπιστήμιο Αθηνών 90

91 δικτυακούς τομείς στο σύνολο τους (π.χ. εξυπηρετητές SIP που διευκολύνουν την αποστολή SPIT μηνυμάτων, Open Proxy Servers 2 ). Έτσι, όταν ένα SIP μήνυμα λαμβάνεται από έναν πληρεξούσιο εξυπηρετητή (SIP Proxy Server) ή από ένα χρήστη (receiver) και το οποίο έχει σταλεί από μια διεύθυνση που εμπεριέχεται στη μαύρη λίστα που ο εξυπηρετητής ή ο παραλήπτης διατηρεί, τότε το μήνυμα αγνοείται και κατ επέκταση η κλήση απορρίπτεται. Η διαχείριση των μαύρων λιστών μπορεί να γίνεται σε επίπεδο δικτυακού τομέα, όπου ο εκάστοτε διαχειριστής του ενημερώνει τη λίστα ή σε επίπεδο χρήστη όπου ο χρήστης είναι ο ίδιος υπεύθυνος για την ενημέρωση της λίστας. Ωστόσο, η εξάπλωση (κυρίως του φαινομένου SPAM) έχει οδηγήσει στη δημιουργία κεντρικών βάσεων δεδομένων οι οποίες είναι υπεύθυνες για τη διατήρηση και ενημέρωση διάφορων μαύρων λιστών με διευθύνσεις που αποτελούν γνωστές πηγές SPIT/SPAM επιθέσεων. Έτσι, έχει δημιουργηθεί πλήθος ιστοτόπων 3, οι οποίοι διατηρούν την προαναφερθείσα βάση δεδομένων με σκοπό την παροχή μιας ενημερωμένης λίστας απαγορευμένων διευθύνσεων. Η αποτελεσματικότητα της τεχνικής των μαύρων λιστών δεν κρίνεται ιδιαίτερα ικανοποιητική κυρίως όταν αυτή χρησιμοποιείται αυτόνομα. Οι κυριότεροι λόγοι για αυτό είναι οι εξής [YOK03], [ROS06]: Οι επίδοξοι επιτιθέμενοι συνηθίζεται να αλλάζουν συχνά τις διευθύνσεις τους. Συχνά, οι νέες αυτές διευθύνσεις δεν περιέχονται στη εκάστοτε διατηρητέα μαύρη λίστα λόγω καθυστέρησης ανανέωσης τους, με αποτέλεσμα ο επιτιθέμενος να πετυχαίνει στην πλειονότητα των περιπτώσεων το σκοπό του. Πολλές φορές ενδέχεται ένας ολόκληρος δικτυακός τομέας (domain) να έχει εισαχθεί σε μια μαύρη λίστα. Στην περίπτωση αυτή, ένας νόμιμος χρήστης που ανήκει σε αυτόν τον τομέα δε μπορεί να στείλει ένα μήνυμα ή να πραγματοποιήσει μια κλήση. Στην περίπτωση των μαύρων λιστών ένας χρήστης αποτελεί επιτιθέμενο (spammer ή spitter) μέχρι αποδείξεως του εναντίου. Έτσι, αν ένας χρήστης αποτελεί λανθασμένα μέλος μιας μαύρης λίστας τότε δεν μπορεί να χρησιμοποιήσει τις υπηρεσίες μέχρι να γίνει ενημέρωση της λίστας και διορθωθεί το σφάλμα. Η τεχνική των μαύρων λιστών είναι ιδιαίτερα ευπαθής σε περιπτώσεις πλαστοπροσωπίας (masquerading) της ταυτότητας ή της δικτυακής διεύθυνσης (identity και IP spoofing). Αυτό αποτελεί συνηθισμένη πρακτική των επιτιθέμενων με αποτέλεσμα να μπορούν να αποφύγουν τον έλεγχο των μαύρων λιστών. 2 Όμοια τεχνική επιθέσεων, όπως στην περίπτωση του SPAM με τους Open Relay Servers. Στην περίπτωση αυτή δεν γίνεται εγγραφή ή/και αυθεντικοποίηση του εκάστοτε χρήστη με αποτέλεσμα να μπορεί ο οποιοσδήποτε κακόβουλος χρήστης να τους χρησιμοποιήσει προκειμένου να στείλει SPAM ή SPIT μήνυμα [DRI07]. 3 Γνωστοί δικτυακοί τόποι που χρησιμοποιούνται για αυτό το σκοπό είναι: SpamCop blacklist, MAPS blacklist, Open Realy blacklist, SPAMHaus blacklist κλπ. Οικονομικό Πανεπιστήμιο Αθηνών 91

92 Από την άλλη πλευρά, η τεχνική των λευκών λιστών (white ή allow lists) αποτελεί ακριβώς το αντίθετο από τις μαύρες λίστες. Στην περίπτωση αυτή, διατηρείται μια λίστα διευθύνσεων στην οποία αποθηκεύονται διευθύνσεις έμπιστων χρηστών με αποτέλεσμα να επιτρέπεται η προώθηση (από πληρεξούσιο εξυπηρετητή) και η λήψη (από χρήστη) ενός μηνύματος ή μιας κλήσης. Όμοια, όπως στην περίπτωση των μαύρων λιστών, η τεχνική των λευκών λιστών δε θεωρείται αρκετά αποτελεσματική γιατί ενδέχεται να αποτρέψει την ορθή λήψη ενός νόμιμου μηνύματος ή/και κλήσης. Τα κυριότερα μειονεκτήματα της τεχνικής των λευκών λιστών είναι τα εξής [YOK03], [ROS06], [JEN07], [TSC07c]: Αντίθετα από τις μαύρες λίστες, οι λευκές λίστες διατηρούνται μεμονωμένα από κάποιον δικτυακό τομέα ή από κάποιο χρήστη και η κεντρικοποιημένη διαχείρισής καθίσταται δύσκολη λόγω της υποκειμενικότητας της επιλογής του ποιος μπορεί να αποτελέσει μέλος τους. Επομένως, απαιτείται η σωστή και συνεχή διαχείρισή τους ώστε να διατηρούνται όσο το δυνατόν ενημερωμένες. Η τεχνική των λευκών λιστών, όπως και οι μαύρες λίστες, είναι ιδιαίτερα ευπαθείς σε περιπτώσεις πλαστοπροσωπίας της ταυτότητας ή των δικτυακών διευθύνσεων των χρηστών. Το πρόβλημα εισαγωγής (introduction problem) είναι ιδιαίτερα έντονο στην περίπτωση των λευκών λιστών. Η εκ των προτέρων γνώση σχετικά με το αν ένας χρήστης είναι έμπιστος ή όχι δεν παρέχεται, με αποτέλεσμα να απαιτούνται περαιτέρω ενέργειες για να ληφθεί η συγκεκριμένη γνώση Έλεγχος Περιεχομένου Ο έλεγχος του περιεχομένου (content filtering) αποτελεί μια από τις πιο αποτελεσματικές τεχνικές για την αντιμετώπιση του SPAM [RFC5039], [KHO07]. Οι μέθοδοι που χρησιμοποιούνται για αυτό το σκοπό ποικίλλουν και βασίζονται στον έλεγχο του περιεχομένου του κυρίως σώματος (message body) ενός ηλεκτρονικού μηνύματος. Στη συνέχεια παρουσιάζονται οι βασικότερες μεθόδους που χρησιμοποιούνται για την ανάλυση του περιεχομένου των μηνυμάτων Μέθοδοι ελέγχου περιεχομένου για την ανίχνευση SPAM μηνυμάτων Οι μέθοδοι που χρησιμοποιούνται για τον έλεγχο του περιεχομένου βασίζονται κυρίως σε τεχνικές κατηγοριοποίησης του περιεχομένου (content classification) των μηνυμάτων [GOM06], [YOK03], [KHO07]. Οι τεχνικές αυτές διακρίνονται σε δύο βασικές κατηγορίες. Η πρώτη κατηγορία, απαιτεί την εμπλοκή του τελικού χρήστη στον ορισμό των κανόνων και των χαρακτηριστικών που θα χρησιμοποιηθούν για την ανίχνευση ύποπτων μηνυμάτων. Η δεύτερη κατηγορία βασίζεται στην αυτοματοποιημένη κατηγοριοποίηση, όντας διαφανής (transparent) ως προς τον τελικό χρήστη. Στην περίπτωση αυτή, χρησιμοποιούνται φίλτρα τα οποία με χρήση συγκεκριμένων δειγμάτων (samples), αποτελούμενων από ένα σύνολο χαρακτηριστικών (vectors), κάνουν την κατηγοριοποίηση των μηνυμάτων. Τα δείγματα Οικονομικό Πανεπιστήμιο Αθηνών 92

93 αυτά με την πάροδο του χρόνου ενημερώνονται με αυτόματο τρόπο, μέσω τεχνικών μηχανικής μάθησης (machine learning techniques), και με χρήση πιθανοτήτων εξάγουν συμπεράσματα ως προς τη νομιμότητα ή όχι των μηνυμάτων [KON00]. Προφανώς, η δεύτερη κατηγορία τεχνικών κατηγοριοποίησης είναι πιο ευέλικτη και μπορεί να εφαρμοσθεί σε περιπτώσεις που δεν υπάρχει εκ των προτέρων γνώση σε σχέση με τη φύση των μεταδιδόμενων μηνυμάτων. Στις επόμενες παραγράφους παρατίθενται οι κυριότερες τεχνικές που ανήκουν στη δεύτερη κατηγορία 4. Από τις βασικότερες τεχνικές που χρησιμοποιούνται για τον έλεγχο του περιεχομένου και την ανίχνευση SPAM μηνυμάτων είναι αυτές που βασίζονται στο Θεώρημα Bayes (Bayes' theorem) [KHO07]. Στο πλαίσιο αυτό, γίνεται έλεγχος των λέξεων ενός μηνύματος και με βάση το θεώρημα του Bayes γίνεται η κατηγοριοποίηση και εξάγεται το συμπέρασμα αν το μήνυμα είναι SPAM ή όχι. Ο μαθηματικός τύπος που χρησιμοποιείται είναι ο εξής: Ρr(spam words)= Pr(words spam) Pr (spam). P(words) Βασική προϋπόθεση για την αποδοτική λειτουργία της προσέγγισης αυτής είναι η εκ των προτέρων γνώση των λέξεων (δείγματος) εκείνων που καθιστούν ένα μήνυμα ύποπτο ή όχι. Επομένως, το φίλτρο που βασίζεται στο θεώρημα Bayes απαιτεί την ανατροφοδότησή του από λέξεις που καθιστούν ένα μήνυμα SPAM ή όχι (ενημέρωση δείγματος), έτσι ώστε να μπορεί να υπολογισθεί η προαναφερθείσα δεσμευμένη πιθανότητα. Ενώ το βασικό πλεονέκτημα της συγκεκριμένης τεχνικής είναι ότι μπορεί να προσαρμόζεται βάση των επιθυμιών και προτιμήσεων του εκάστοτε χρήστη, η αποδοτικότητα της κρίνεται ανεπαρκής λόγω του ότι είναι ευάλωτη σε επιθέσεις Bayes Poisoning. Στην περίπτωση αυτή, οι κακόβουλοι χρήστες εισάγουν στο μήνυμα που θέλουν να προωθήσουν πλήθος νόμιμων λέξεων, οι οποίες συνολικά μειώνουν την πιθανότητα το μήνυμα να αναγνωρισθεί ως ύποπτο. Άλλη μια αρκετά απλή και συχνά χρησιμοποιούμενη μέθοδος ελέγχου του περιεχομένου είναι αυτή των k κοντινών γειτόνων (k nearest neighbors) [KHO07]. Σύμφωνα με την εν λόγω τεχνική, ορίζονται δύο κατηγορίες-κλάσεις μηνυμάτων: μία που αναφέρεται σε νόμιμα μηνύματα και μία που αναφέρεται σε μηνύματα SPAM. Οι κατηγορίες αυτές ορίζονται ύστερα από ενημέρωση (training) του φίλτρου, η οποία πραγματοποιείται συνεχώς και με δυναμικό τρόπο. Ο έλεγχος της νομιμότητας ενός μηνύματος ο οποίος γίνεται σε πραγματικό χρόνο, βασίζεται στο βαθμό ομοιότητας αυτού σε σχέση με μηνύματα που 4 Στο σημείο αυτό αξίζει να σημειωθεί ότι η πρώτη κατηγορία δεν αναλύεται διότι η εφαρμογή των κανόνων και φίλτρων κατηγοριοποίησης και ανίχνευσης βασίζεται στις υποκειμενικές προτιμήσεις του εκάστοτε χρήστη ή/και στις πολιτικές και προτιμήσεις που υιοθετεί ο εκάστοτε δικτυακός τομέας (network domain) και οι οποίες δεν είναι κοινές για όλους. Ωστόσο, και στην δεύτερη περίπτωση ενδέχεται να έχουμε εμπλοκή του χρήστη η οποία όμως πραγματοποιείται στα ήδη κατηγοριοποιημένα μηνύματα και με στόχο να διορθωθούν σφάλματα αναγνώρισης (false negative and false positive errors). Οικονομικό Πανεπιστήμιο Αθηνών 93

94 ανήκουν στην εκάστοτε προαναφερθείσα κατηγορία. Η χρονική απόκριση του ελέγχου μεταβάλλεται και συναρτάται από το πλήθος των μηνυμάτων της εκάστοτε κατηγορίας και από το μέγεθος του μηνύματος. Μια παραλλαγή της συγκεκριμένης τεχνικής αποτελεί η προσέγγιση η βασιζόμενη στη μνήμη (memory based approach) [SAK03],[AND00]. Μια άλλη τεχνική είναι η Support Vector Machine (SVM) [CRI03],[COR95]. Στη συγκεκριμένη περίπτωση ορίζεται ένα επίπεδο (plane) το οποίο περιέχει δύο κατηγορίες-κλάσεις των οποίων τα σημεία τους αντιπροσωπεύουν τη φύση των μηνυμάτων. Το δείγμα μάθησης (training sample) αποτελείται από το σύνολο των σημείων που ορίζουν την καθεμία από τις κλάσεις. Η κατηγοριοποίηση ενός μηνύματος, στην εν λόγω περίπτωση, βασίζεται στην εύρεση εκείνου του επιπέδου χώρου που διαχωρίζει τις δύο κλάσεις έτσι ώστε η μεταξύ των κλάσεων απόσταση να είναι η μέγιστη (βλ. παρακάτω εικόνα). Εικόνα 4.1: Τεχνική SVM 5 Η τεχνική των νευρωνικών δικτύων (neural networks technique), η λογική της οποίας βασίζεται στη λειτουργία των ανθρώπινων νευρώνων, αποτελεί μια επιπλέον μέθοδο για τον έλεγχο και κατηγοριοποίηση των μηνυμάτων [CLA03],[ΚΟΝ00]. Η χρήση των νευρωνικών δικτύων γίνεται με τρόπο ώστε το δίκτυο να μιμείται τη συμπεριφορά και τις ενέργειες του ανθρώπου σε ότι αφορά τη διαχείριση των μηνυμάτων. Η εν λόγω μέθοδος βασίζεται στην αναγνώριση συγκεκριμένων προτύπων (patterns) σε ότι αφορά τα νόμιμα ή SPAM μηνύματα. Τα εν λόγω πρότυπα ενημερώνονται συνεχώς με όσο το δυνατόν μεγαλύτερο πλήθος δειγμάτων έτσι ώστε η κατηγοριοποίηση να είναι όσο το δυνατόν εγκυρότερη. Στην εικόνα που ακολουθεί παρουσιάζεται ο διαχωρισμός των προτύπων σε μια δισδιάστατη απεικόνιση, πάνω στην οποία εκπαιδεύεται μαθαίνει το νευρωνικό δίκτυο. 5 Με την εν λόγω τεχνική, ορίζεται ένα επίπεδο που μεγιστοποιεί την απόσταση μεταξύ των δύο κλάσεων. Η εικόνα στα αριστερά, λόγω του ότι η απόσταση μεταξύ των κλάσεων είναι μεγαλύτερη, ορίζει καλύτερη κατηγοριοποίηση των μηνυμάτων και καλύτερη απόδοση του μηχανισμού. Οικονομικό Πανεπιστήμιο Αθηνών 94

95 Εικόνα 4.2: Παράδειγμα κατηγοριοποίησης με χρήση νευρωνικών δικτύων Ένα μοντέλο, που μπορεί να χρησιμοποιηθεί με σημαντικά αποτελέσματα για την ανίχνευση SPAM μηνυμάτων, είναι το μοντέλο της μέγιστης εντροπίας (model of maximum entropy), το οποίο χρησιμοποιείται σε εφαρμογές επεξεργασίας φυσικής γλώσσας [KHO07],[ZHA03]. Η προτεινόμενη προσέγγιση βασίζεται στο ότι αναζητείται η κατάλληλη x A B συνάρτηση κατανομής πιθανότητας η οποία μεγιστοποιεί την εντροπία: H(p) = p(x)logp(x), όπου το Α δηλώνει το σύνολο των οριζόμενων κλάσεων-κατηγοριών των μηνυμάτων και το B ορίζει το σύνολο των χαρακτηριστικών στο οποίο θα βασιστεί η κατηγοριοποίηση. Το προτεινόμενο μοντέλο εξάγει συμπεράσματα σε δυαδικές συναρτήσεις με βάση τον τύπο: f cp,a (a, b) = { 1 if a = a and cp(b) = true, 0 otherwise όπου το cp είναι η υπό συνθήκες πρόβλεψη (contextual predicate), η οποία αντιστοιχεί ένα ζεύγος (a,b) να είναι αληθές ή ψευδές. Γενικά, έχει αποδειχθεί, ότι το μοντέλο της μέγιστης εντροπίας έχει καλύτερα αποτελέσματα σε ότι αφορά το ρυθμό λαθών σε σχέση με τα φίλτρα Bayes και όταν το δείγμα (training sample) αυξάνει [ZHA03]. Όπως αναφέρθηκε προηγουμένως, ο ορισμός και η εφαρμογή ενός φίλτρου Bayes βασίζεται σε μεγάλο βαθμό από τη συχνότητα εμφάνισης συγκεκριμένων λέξεων. Ο ορισμός των λέξεων αυτών γίνεται χειροκίνητα από τον εκάστοτε χρήστη, ώστε να μπορεί να προσαρμοσθεί το φίλτρο στις απαιτήσεις-προτιμήσεις που αυτός θέτει. Ωστόσο, στο [KAT99], προτείνεται ένας αυτοματοποιημένος τρόπος δημιουργίας του Bayes φίλτρου που βασίζεται στο γενετικό προγραμματισμό (genetic programming). Με βάση τις αρχές του συγκεκριμένου προγραμματισμού, το φίλτρο που κατασκευάζεται αναπαρίσταται από ένα συντακτικό δέντρο όπου οι κόμβοι του είναι: α) οι αριθμοί που εκφράζουν τις συχνότητες εμφάνισης των λέξεων, β) οι πράξεις σε αυτούς τους αριθμούς, γ) το σύνολο των λέξεων και δ) οι πράξεις σε αυτές τις λέξεις (βλ. παρακάτω πίνακα). Πίνακας 4.1: Πράξεις που χρησιμοποιούνται στο δέντρο Τύπος Τελεστής Περιγραφή Αριθμητικός +, -, /, * Λογικός =,,, i Οικονομικό Πανεπιστήμιο Αθηνών 95

96 Boolean Non - linear Of words AND,OR,NOT max, mix, ABS Freq(x) Exists(x) Επιστρέφει τη συχνότητα εμφάνισης της λέξης x στο μήνυμα Επιστροφή τιμής 1 αν η λέξη x υπάρχει στο μήνυμα. Διαφορετικά επιστροφή τιμής 0. Τέλος, οι σημαντικές ομοιότητες σε ότι αφορά την ανίχνευση τόσο των μηνυμάτων SPAM όσο και του ιομορφικού λογισμικού, οδηγεί πολλούς ερευνητές στη χρήση των τεχνικών ανίχνευσης ιομορφών και για την εύρεση SPAM μηνυμάτων. Μια τέτοια προσέγγιση αποτελούν τα απρόσβλητα υπολογιστικά συστήματα (computer immune systems) [SEC03]. Πιο συγκεκριμένα, στο [ODA03] προτείνεται ένα τέτοιο σύστημα το οποίο βασίζεται στη διατήρηση μια βάσης δεδομένων στην οποία αποθηκεύονται απλές φράσεις-προτάσεις οι οποίες συνήθως εντοπίζονται σε SPAM μηνύματα. Έχοντας το σύνολο των προτάσεων αυτών δημιουργούνται δυναμικά και με χρήση τεχνητής νοημοσύνης νέες προτάσεις που ενδέχεται να υπάρχουν σε πιο εξελιγμένα (sophisticated) SPAM μηνύματα. Ωστόσο, η αποδοτικότητα της μεθόδου αυτής δεν κρίνεται ικανοποιητική όταν λειτουργεί αυτόνομα για αυτό και συνήθως χρησιμοποιείται παράλληλα με κάποιες από τις τεχνικές που προαναφέρθηκαν [KHO07]. Ενώ η χρήση των τεχνικών ελέγχου του περιεχομένου στο πλαίσιο του anti-spam κρίνεται αναγκαία, στην περίπτωση του φαινομένου του SPIT αυτή κρίνεται ανεπαρκής. Αυτό συμβαίνει κυρίως για δύο λόγους. Ο πρώτος λόγος συνίσταται στο γεγονός ότι για να γίνει ο έλεγχος του περιεχομένου θα πρέπει ο παραλήπτης να λάβει την κλήση ή το μήνυμα. Αυτό συνεπάγεται ότι ο επιτιθέμενος έχει πετύχει το σκοπό του, δηλαδή την εκδήλωση SPIT επίθεσης, λόγω του ότι έχει παρενοχλήσει τον παραλήπτη (π.χ. το τηλέφωνο έχει χτυπήσει). Ο δεύτερος λόγος άπτεται των απαιτήσεων σε πόρους που απαιτούνται για τον έλεγχο του περιεχομένου μιας κλήσης. Ο έλεγχος του περιεχομένου σε πραγματικό χρόνο, απαιτεί ισχυρές υπολογιστικές μηχανές έτσι ώστε να μη χάνεται η ποιότητα των παρεχόμενων υπηρεσιών. Ωστόσο, η μέθοδος της ανάλυσης του περιεχομένου στην περίπτωση του VoIP μπορεί να φανεί χρήσιμη όταν η εφαρμογή-υπηρεσία που χρησιμοποιείται είναι αυτή των στιγμιαίων μηνυμάτων (instant messaging). Η συγκεκριμένη υπηρεσία έχει πολλά κοινά χαρακτηριστικά με την υπηρεσία ηλεκτρονικού ταχυδρομείου, αφού ανταλλάσσονται μηνύματα περιορισμένου μεγέθους και όχι φωνή, με αποτέλεσμα να μπορεί να χρησιμοποιηθεί χωρίς σημαντικές απώλειες ως προς την παρεχόμενη ποιότητα των υπηρεσιών. Στο σημείο αυτό, πρέπει να αναφερθεί μια ενδιάμεση λύση που διευκολύνει τη χρήση των τεχνικών ανάλυσης περιεχομένου σε VoIP περιβάλλοντα. Στην περίπτωση αυτή, μια κλήση λαμβάνεται από τον αυτόματο τηλεφωνητή του εκάστοτε χρήστη (voice mailbox). Κατόπιν εφαρμόζεται ο έλεγχος του περιεχομένου και ανάλογα με το αποτέλεσμα του ελέγχου κρίνεται η φύση του μηνύματος και λαμβάνεται η εκάστοτε ενέργεια [RFC5039]. Και στην Οικονομικό Πανεπιστήμιο Αθηνών 96

97 περίπτωση αυτή, όμως, εισάγεται μια χρονική καθυστέρηση διεκπεραίωσης της κλήσης, γεγονός το οποίο ενδέχεται να μην είναι αποδεκτό Συναινετική Επικοινωνία Η συναινετική επικοινωνία (consent-based communications) αποτελεί μια τεχνική η οποία κάτω από ειδικές περιστάσεις μπορεί να θεωρηθεί αποτελεσματική ενώ, συνήθως, χρησιμοποιείται συνδυαστικά με τις λευκές και μαύρες λίστες [RFC4453], [ROS06a], [RFC5039]. Σύμφωνα με την εν λόγω τεχνική, προκειμένου να λάβει χώρα μια κλήση ή να ληφθεί στον τελικό παραλήπτη ένα μήνυμα απαιτείται η συναίνεση αυτού. Πιο συγκεκριμένα, αν υποθέσουμε ότι ένας χρήστης Α επιθυμεί να επικοινωνήσει με το χρήστη Β, τότε στην αρχική προσπάθεια το μήνυμα είτε η κλήση απορρίπτεται και αποστέλλεται στον Α ένα μήνυμα που ενημερώνει ότι προκειμένου να επικοινωνήσει με τον Β απαιτείται η συναίνεση του δεύτερου. Την επόμενη φορά που ο Α επιχειρήσει να επικοινωνήσει με τον Β, τότε αυτός ενημερώνεται ότι ο Α έχει επιχειρήσει να επικοινωνήσει, σε παλιότερο χρόνο μαζί του, και αποφασίζει εκείνη τη στιγμή αν η επικοινωνία θα επιτραπεί ή όχι. Γίνεται αντιληπτό, από την παραπάνω περιγραφή, ότι η τεχνική της συναινετικής επικοινωνίας είναι ιδιαίτερη χρήσιμη προκειμένου να επιλύσει το πρόβλημα εισαγωγής που υπεισέρχεται της χρήσης των λιστών. Αν ο αποστολέας ενός μηνύματος δεν ανήκει ούτε στην λευκή ούτε στη μαύρη λίστα του παραλήπτη, τότε μέσω της τεχνικής της συναίνεσης μπορεί να αποφασισθεί αν ο αποστολέας είναι έμπιστος ή όχι και κατ επέκταση να εισαχθεί στην κατάλληλη λίστα. Εν γένει, η τεχνική της συναινετικής επικοινωνίας από μόνη της δε μπορεί να επιλύσει το πρόβλημα του SPIT στις VoIP υποδομές, αλλά μπορεί, όταν χρησιμοποιείται συνδυαστικά με άλλες τεχνικές (π.χ. ισχυρή αυθεντικοποίηση, CAPTCHAs (Completely Automated Public Turing test to tell Computers and Humans Apart, βλ. Ενότητα ), χρήση μαύρων-λευκών λιστών κλπ.), να προσφέρει θετικά αποτελέσματα Παραποίηση Διεύθυνσης Η τεχνική της παραποίησης της διεύθυνσης (Address Obfuscation) αποτελεί μια απλοϊκή και συνηθισμένη τεχνική προκειμένου να αποτραπεί η συλλογή της διεύθυνσης ενός χρήστη από έναν επίδοξο επιτιθέμενο [RFC5039]. Είναι γνωστό ότι η τακτική των spammers και spitters αποσκοπεί στο να συλλέξουν μεγάλο αριθμό ηλεκτρονικών διευθύνσεων με σκοπό το μήνυμα τους να φτάσει σε όσο το δυνατόν περισσότερους αποδέχτες-παραλήπτες. Η συλλογή αυτή, η οποία ενδέχεται να γίνεται αυτοματοποιημένα ή με χειροκίνητο τρόπο, πραγματοποιείται μέσα από την αναζήτηση ηλεκτρονικών διευθύνσεων από διάφορους ιστοτόπους, blogs, fora κλπ. Η παραποίηση της διεύθυνσης ορίζει ότι οι ηλεκτρονικές διευθύνσεις αναγράφονται με διαφορετικό από τον κλασσικό τρόπο έτσι ώστε να αποφεύγεται η ανίχνευση τους και κατ επέκταση η συλλογή τους. Αν για παράδειγμα ένας χρήστης αναγράφει σε μια ιστοσελίδα τη διεύθυνσή του π.χ. τότε θα Οικονομικό Πανεπιστήμιο Αθηνών 97

98 πρέπει να τη γράψει διαφορετικά, για παράδειγμα ως sdritsas (at) sip.gr, ώστε να δυσχεράνει την ενδεχόμενη εύρεση και συλλογή της. Προφανώς, η τεχνική της παραποίησης δεν αποτελεί κάποιο αποτελεσματικό τρόπο αντιμετώπισης του SPIT, αλλά αποτελεί μια χρήσιμη μέθοδο για την ελαχιστοποίηση του αριθμού των ενδεχόμενων θυμάτων επιθέσεων SPIT και SPAM Διευθύνσεις Περιορισμένης Χρήσης Η τεχνική της περιορισμένης χρήσης των ηλεκτρονικών διευθύνσεων (Limited Use Addresses) ορίζει την συχνή αλλαγή των διευθύνσεων των χρηστών και ιδίως όταν αυτές καθίστανται θύματα επιθέσεων SPIT/SPAM [RFC5039]. Πιο συγκεκριμένα, όταν ένας χρήστης λαμβάνει σε μια διεύθυνση πλήθος SPIT μηνυμάτων ή/και κλήσεων μπορεί να διαγράψει την εν λόγω διεύθυνση και να δημιουργήσει μια νέα. Η αποδοτικότητα της συγκεκριμένης τεχνικής δεν κρίνεται ικανοποιητική λόγω του ότι ο χρήστης δε διαθέτει μια σταθερή διεύθυνση και θα πρέπει, επομένως, να ενημερώνει κάθε φορά για τη νέα του διεύθυνση προκειμένου να μπορέσει να επικοινωνήσει. Εν μέρει, η δυσκολία αυτή μπορεί να μειωθεί δραστικά στην περίπτωση του SIP πρωτοκόλλου μέσω αποστολής, όχι της διεύθυνσης ηλεκτρονικού ταχυδρομείου του εκάστοτε χρήστη, αλλά μέσω της αποστολής της διεύθυνσης παρουσίας (presence URI) Τεχνικές Πρόκλησης - Απόκρισης Οι τεχνικές πρόκλησης απόκρισης (challenge response techniques) αποτελούν ένα τρόπο αντιμετώπισης του SPIT μέσω του οποίου μπορεί να γίνει επιβεβαίωση της ταυτότητας του αποστολέα ενός μηνύματος ή/και κλήσης (sender verification) [RFC5039], [DWO92]. Η γενική προσέγγιση που ακολουθείται βασίζεται στο ότι όταν ένας χρήστης (νόμιμος ή κακόβουλος) προσπαθήσει να επικοινωνήσει με έναν άλλο χρήστη, τότε ο παραλήπτης στέλνει ένα μήνυμα στον αποστολέα (challenge) και περιμένει μια απάντηση (response). Αν η απάντηση είναι η αναμενόμενη, τότε ο παραλήπτης αποδέχεται την επικοινωνία ενώ σε διαφορετική περίπτωση την απορρίπτει. Οι πιο διαδεδομένες μορφές των τεχνικών πρόκλησης απόκρισης είναι τα Turing Tests [NAO96]. Τα συγκεκριμένα tests, εμπεριέχουν μια διαδικασία κατά την οποία ένας κριτής (ο οποίος είναι άνθρωπος) υποβάλλει μια σειρά ερωτήσεων σε έναν άνθρωπο και σε ένα πρόγραμμα με στόχο την μεταξύ τους διάκριση [CHE05], [CHE05a], [DHA05]. Πιο συγκεκριμένα, τα αποτελέσματα της συγκεκριμένης δοκιμασίας καθορίζονται από την ικανότητα του προγράμματος να μιμηθεί τον άνθρωπο όσον αφορά την απάντηση των ερωτήσεων. Στο πλαίσιο αυτό, έγινε εισαγωγή της έννοιας του CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart), δηλαδή των πλήρως αυτοματοποιημένων προγραμμάτων τα οποία έχουν ως στόχο τη διάκριση μεταξύ ανθρώπων και υπολογιστών [AHN04], [AHN03]. Οικονομικό Πανεπιστήμιο Αθηνών 98

99 Λόγω του ότι η πλειονότητα των SPIT μηνυμάτων στέλνεται από αυτοματοποιημένα λογισμικά (software bots), οι προκλήσεις (δηλ. τα τεστ) που στέλνονται στον εκάστοτε αποστολέα, θα πρέπει θεωρητικά να είναι αρκετά εύκολο στο να επιλυθούν από αυτόν ενώ να είναι δύσκολο στο να λυθούν από το λογισμικό [BLU00]. Με αυτό τον τρόπο εξασφαλίζεται ότι το μήνυμα στέλνεται όντως από κάποιον άνθρωπο και ελαχιστοποιούνται οι πιθανότητες αυτό να είναι SPIT. Επιπρόσθετα, τα εν λόγω τεστ χρησιμοποιούνται ευρύτατα και κατά τη δημιουργία ενός λογαριασμού ηλεκτρονικού ταχυδρομείου ή SIP URI έτσι ώστε να εξασφαλιστεί ότι δε ορίζονται διευθύνσεις που ενδέχεται να αποτελέσουν πηγές αποστολής SPIT μηνυμάτων. Έχοντας υπόψη μας τις παραπάνω γενικές διαπιστώσεις, θα παρουσιασθεί στη συνέχεια μια σύντομη περιγραφή των CAPTCHAs καθώς και των ευπαθειών τους, έτσι ώστε να γίνει σαφής η χρησιμότητά τους σε ότι αφορά την αντιμετώπιση του SPIT φαινομένου Περιγραφή και κατηγοριοποίηση των CAPTCHAs Τα πρώτα CAPTCHAs χρησιμοποιήθηκαν σε υπηρεσίες ηλεκτρονικού ταχυδρομείου προκειμένου να ελεγχθεί η νομιμότητα του χρήστη που αιτείται την υπηρεσία και για να γίνει η επιβεβαίωση της ταυτότητας του [HAL05]. Τα συγκεκριμένα tests, που ονομάζονται οπτικά CAPTCHAs (visual CAPTCHAs, βλ. Εικόνα 4.3), αποτελούνται από εικόνες που περιέχουν λέξεις, χρώματα και αντικείμενα, ενώ πολλά από αυτά επικαλούνται την ανθρώπινη λογική προκειμένου να επιλυθούν [CHE04], [CHE05b], [SHI06]. Ουσιαστικά, οι δοκιμασίες που τίθενται προς επίλυση, αξιοποιούν ικανότητες που έχει η πλειοψηφία των ανθρώπων έναντι των υπολογιστών, όπως η λογική σκέψη και η δυνατότητα διάκρισης αντικειμένων και γραμμάτων εντός οποιουδήποτε φόντου [AHN03], [BAIO5]. Εικόνα 4.3: Παραδείγματα οπτικών (visual) CAPTCHAs Τα οπτικά CAPTCHAs είναι τα πλέον διαδεδομένα και χρησιμοποιούμενα σε πλήθος ιστοτόπων [MOE03], [CHE04]. Ωστόσο, η δυσκολία τους να χρησιμοποιηθούν από άτομα που έχουν προβλήματα όρασης ή η εισαγωγή νέων υπηρεσιών, λ.χ. VoIP υπηρεσίες, οδήγησαν στη δημιουργία νέων τύπων CAPTCHAs τα οποία βασίζονται στην μετάδοση ηχητικών σημάτων (π.χ. φωνής), τα λεγόμενα ηχητικά CAPTCHAs (audio CAPTCHAs) [CHE03], [CHA03]. Οικονομικό Πανεπιστήμιο Αθηνών 99

100 Πιο συγκεκριμένα, τα ηχητικά CAPTCHAs στηρίζονται στην ικανότητα των ανθρώπων, έναντι των αυτοματοποιημένων προγραμμάτων, να αναγνωρίζουν ένα συγκεκριμένο ήχο ακόμα και με τη προσθήκη κάποιου θορύβου. Οι τεχνικές που χρησιμοποιούνται περιλαμβάνουν τεχνικές παραμόρφωσης σε διάφορους τόνους και συχνότητες, καθώς επίσης και την προσθήκη θορύβου. Παρόλα αυτά, το ηχητικό μήνυμα που περιλαμβάνουν μπορεί να μην είναι αναγνωρίσιμο και κατανοητό σε μια μεγάλη μερίδα χρηστών για διάφορους λόγους, όπως η υπερβολική παραμόρφωση του ηχητικού μηνύματος, η χρήση διαφορετικής προφοράς ή ακόμα και η χρήση της διαφορετικής γλώσσας που χρησιμοποιείται. Εν γένει, τα οπτικά και ηχητικά CAPTCHAs παρουσιάζουν αρκετές ομοιότητες και διαφορές οι σημαντικότερες εκ των οποίων συνοψίζονται στον πίνακα που ακολουθεί [ΓΡΙΝ08]. Πίνακας 4.2: Σύγκριση οπτικών και ηχητικών CAPTCHAs Ιδιότητες - Χαρακτηριστικά Οπτικό CAPTCHA Ηχητικό CAPTCHA Είδος Εικόνα Ήχος Δεξιότητα Υλικό Τεχνικές εισαγωγής θορύβου Ικανότητα του ανθρώπου να απομονώνει αντικείμενα και χαρακτήρες εντός μιας παραμορφωμένης εικόνας, λογική σκέψη Οθόνη, επεξεργαστής και κάρτα γραφικών Τεχνικές παραμόρφωσης, σκίασης, διχοτόμησης Ικανότητα του ανθρώπου να διακρίνει ένα ηχητικό μήνυμα σε περιβάλλοντα με υψηλά επίπεδα θορύβου Ηχεία, Τεχνολογίες ήχου Τεχνικές παραμόρφωσης, προσθήκης θορύβου, ποικιλία τόνων και συχνοτήτων. Αποδοχή Ευρεία χρήση Περιορισμένη χρήση Χαρακτηριστικά επιλογής κατάλληλου τύπου CAPTCHA Παρά τις ομοιότητες και τις διαφορές μεταξύ των οπτικών και ηχητικών CAPTCHAs, η τελική επιλογή του τύπου που θα χρησιμοποιηθεί εξαρτάται από διάφορους παράγοντες, αλλά και από τη φύση της υπηρεσίας και εφαρμογής που θα κάνει χρήση τους. Η βασική ιδιότητα που πρέπει να καλύπτεται, παρά τα επιμέρους χαρακτηριστικά, είναι ότι θα πρέπει να είναι εύκολη η επίλυσή τους για τον τελικό χρήστη και δύσκολη για το αυτοματοποιημένο λογισμικό. Επιπρόσθετα, η όλο και συχνότερη χρήση μεθόδων CAPTCHAs από πολλές δημοφιλείς υπηρεσίες αυξάνει το ενδιαφέρον των κακόβουλων χρηστών να προσπαθήσουν να τα παραβιάσουν. Μέχρι στιγμής έχουν βρεθεί αρκετές εφαρμογές για την παραβίαση των CAPTCHAs, ιδιαίτερα των οπτικών, η αποτελεσματικότητα των οποίων ποικίλλει [VOR06], Οικονομικό Πανεπιστήμιο Αθηνών 100

101 [MOR03], [AIC07], [PWN07], [WIK07]. Επομένως, θα πρέπει η μέθοδος που τελικά θα χρησιμοποιηθεί να πληρεί ιδιότητες και χαρακτηριστικά που θα την καθιστούν ανεκτική σε ενδεχόμενες επιθέσεις παραβίασης της. Στον πίνακα που ακολουθεί παρατίθενται, ενδεικτικά, κάποια χαρακτηριστικά των CAPT- CHAs τα οποία πρέπει να λαμβάνονται υπόψη κατά τη μελέτη εφαρμογής και χρήσης τους [ΓΡΙΝ08]. Πίνακας 4.3: Βασικά χαρακτηριστικά για την επιλογή κατάλληλου CAPTCHA Χαρακτηριστικό Τύπος υπηρεσίας Υλικό Βαθμός επιτυχίας χρήστη Βαθμός επιτυχίας αυτοματοποιημένου λογισμικού Αποδοχή χρήστη Σπανιότητα στιγμιότυπων Επάρκεια πεδίου δεδομένων Ύπαρξη τεχνικών παραμόρφωσης - θορύβου Απαιτήσεις γλώσσας Αυτοματοποίηση διαδικασίας Χρήση CAPTCHAs για την αντιμετώπιση του SPIT Περιγραφή Έλεγχος υπηρεσίας για την οποία θα χρησιμοποιηθεί το CAPT- CHA. Έλεγχος του υλικού που χρησιμοποιεί ο χρήστης π.χ. απλό τηλέφωνο ή έξυπνη συσκευή. Ποσοστό επιτυχίας για το χρήστη. Αυτό πρέπει να είναι όσο το δυνατόν μεγαλύτερο και να τείνει προς το 100%. Ποσοστό επιτυχίας για το αυτοματοποιημένο λογισμικό. Αυτό πρέπει να τείνει προς το 0%. Ο χρήστης πρέπει να αποδέχεται τη χρήση του εκάστοτε CAPT- CHA, να αναγνωρίζει τη χρησιμότητά τους και να μην δυσφορεί από την ενδεχόμενη χρήση τους. Η δημιουργία των εκάστοτε CAPTCHAs δοκιμασιών που χρησιμοποιείται πρέπει να οδηγεί σε μεγάλο και διαφορετικό πλήθος στιγμιότυπων χωρίς περιοδικότητα έτσι ώστε να αποφεύγεται η παραβίασή τους. Το εύρος των δεδομένων που χρησιμοποιούνται για την παραγωγή της προς αναγνώριση ακολουθίας χαρακτήρων να είναι ικανοποιητικά μεγάλο. Χρήση κατάλληλων μεθόδων παραμόρφωσης της βασικής πληροφορίας ή δυνατότητα κατάλληλου τύπου θορύβου. Η γλώσσα που χρησιμοποιείται για την εκφώνηση των χαρακτήρων θα πρέπει να είναι κατανοητή από την πλειοψηφία των χρηστών. Έλεγχος αν τα CAPTCHAs δημιουργούνται αυτοματοποιημένα ή όχι. Οι τεχνικές πρόκλησης απόκρισης και τα CAPTCHAs κρίνονται αρκετά αποδοτικά σε ότι αφορά την αντιμετώπιση του SPIT, ιδιαίτερα όταν χρησιμοποιούνται σε συνδυασμό με άλλες τεχνικές. Επίσης, παρέχουν και μια αποδοτική λύση για την αντιμετώπιση του προβλήματος εισαγωγής που εμφανίζεται από τη χρήση των λιστών. Παρόλ αυτά, όμως, η χρήση τους εισάγει κάποια μειονεκτήματα τα σημαντικότερα εκ των οποίων είναι τα εξής [ΓΡΙΝ08]: Η υπερβολική χρησιμοποίησή τους, σε συνδυασμό με την πολυπλοκότητα των προκλήσεων που αποστέλλονται, ενδέχεται να αποτρέψει νόμιμους χρήστες από το Οικονομικό Πανεπιστήμιο Αθηνών 101

102 να δώσουν την απάντηση (απόκριση) με αποτέλεσμα η επικοινωνία να δυσχεραίνεται ή να καθίσταται αδύνατη. Πολλές φορές το ίδιο το μήνυμα που εμπεριέχει την πρόκληση ενδέχεται να χαρακτηρισθεί ενοχλητικό με αποτέλεσμα να αγνοείται και κατ επέκταση η επικοινωνία να μη λαμβάνει χώρα. Η χρήση των τεχνικών αυτών ενδέχεται να υπερφορτώσει τους VoIP εξυπηρετητές με αποτέλεσμα να οδηγήσει εν τέλει σε περιπτώσεις άρνησης παροχής υπηρεσιών 6. Η ανταλλαγή μηνυμάτων πρόκλησης απόκρισης ενδέχεται να καθυστερήσει την επίτευξη της επικοινωνίας και να εισάγει σημαντικές καθυστερήσεις, γεγονός που αντιβαίνει στην ουσιαστική απαίτηση του VoIP, που σχετίζεται με την επικοινωνία σε πραγματικό χρόνο Τεχνικές βασιζόμενες στο κόστος Οι βασιζόμενες στο κόστος τεχνικές (charging techniques) αποτελούν μια μέθοδο αντιμετώπισης του SPIT μέσω της οποίας απαιτείται η καταβολή κάποιου κόστους κατά την αποστολή κάποιου μηνύματος ή αίτησης κλήσης, το οποίο ο επίδοξος επιτιθέμενος (spitter) δεν είναι διατεθειμένος να πληρώσει [RFC5039]. Η τεχνική, στην πιο απλή και χρησιμοποιούμενη μέθοδο βασίζεται στην εξής λογική: όταν ο χρήστης A επιθυμεί να επικοινωνήσει με το χρήστη B, τότε καταθέτει ένα συμβολικό ποσό στο λογαριασμό του Β. Αν αποδειχθεί ότι το μήνυμα/κλήση του Α είναι νόμιμο τότε η επικοινωνία λαμβάνει χώρα και ο Α παίρνει τα χρήματά του πίσω. Στην αντίθετη περίπτωση, η επικοινωνία απορρίπτεται και ο Β κρατά το χρηματικό ποσό στο λογαριασμό του. Εν γένει, υπάρχουν δυο βασικές προσεγγίσεις σε ότι αφορά τις τεχνικές τις βασιζόμενες στο κόστος: η μία αφορά την πληρωμή με πραγματικό χρηματικό ποσό και η άλλη την πληρωμή με έμμεσο κόστος που συνίσταται, κυρίως, στην κατανάλωση υπολογιστικών πόρων. Στη συνέχεια, αναλύονται εν συντομία αυτές τις προσεγγίσεις Τεχνικές κόστους με χρηματικό ποσό Οι συγκεκριμένες τεχνικές αφορούν την πληρωμή ενός χρηματικού ποσού κάθε φορά που ένα μήνυμα αποστέλλεται. Η πιο διαδεδομένη προσέγγιση αφορά τα ηλεκτρονικά γραμματόσημα (e-stamps), τα οποία αποτελούν ψηφιακά πειστήρια (digital tokens) και τα οποία αντιπροσωπεύουν κάποιο χρηματικό ποσό. Γενικά, τα ηλεκτρονικά γραμματόσημα ενσωματώνονται στο μήνυμα που αποστέλλεται και αν πρόκειται για SPAM τότε το αντίτιμο γίνεται αποδεκτό. Στην αντίθετη περίπτωση, το μήνυμα είναι νόμιμο οπότε το αντίτιμο δε λαμβάνεται. Τα ηλεκτρονικά γραμματόσημα εκδίδονται από μια Έμπιστη Τρίτη Οντότητα, συνήθως τράπεζα, εμπεριέχουν το ποσό που έχει δηλωθεί από την τράπεζα και είναι ηλεκτρονικά υπογεγραμμένα από αυτή ώστε να διασφαλίζεται η εγκυρότητά τους. 6 Πρέπει να σημειωθεί ότι τελευταία χρησιμοποιούνται ειδικά διαμορφωμένοι εξυπηρετητές που διατηρούν τα CAPTCHAs και οι οποίοι είναι φυσικά ανεξάρτητοι από τους κυρίως VoIP εξυπηρετητές. Οικονομικό Πανεπιστήμιο Αθηνών 102

103 Μια παρόμοια προσέγγιση με αυτή των ηλεκτρονικών γραμματοσήμων, ακολουθείται από τους παρόχους διαδικτυακών υπηρεσιών (ISPs). Προκειμένου να αποφεύγεται το μεγάλο πλήθος μικρο-πληρωμών (micro-payements) αυτό που γίνεται είναι ότι ο εκάστοτε χρήστης δίνει ένα ποσό σε μηνιαία, συνήθως, βάση στον πάροχό του. Με αυτό τον τρόπο, ο πάροχος των υπηρεσιών διασφαλίζει ότι δε χρησιμοποιείται η υποδομή του για την αποστολή SPAM μηνυμάτων λόγω του ότι οι εκάστοτε κακόβουλοι χρήστες αρνούνται να πληρώσουν το αντίτιμο που τους αναλογεί. Ωστόσο, πρέπει να σημειωθεί ότι και οι νόμιμοι χρήστες σε αυτή τη περίπτωση καλούνται να πληρώσουν κάποιο ποσό, γεγονός, όμως, που αντισταθμίζεται λόγω του ότι λαμβάνουν εγγυήσεις ότι το μήνυμα τους θα φτάσει σίγουρα στον προορισμό του και ότι ο πάροχος που χρησιμοποιούν εγγυάται για την όσο το δυνατόν μικρότερη εμφάνιση SPAM μηνυμάτων Τεχνικές κόστους χωρίς χρηματικό ποσό Λόγω της δυσκολίας υιοθέτησης, από πλευράς πλήθους απειλών, αλλά και αποδοχής από τους τελικούς χρήστες, οι τεχνικές κόστους αντικαθίστανται από μια παρόμοια τεχνική κατά την οποία το κόστος μετριέται με βάση τους υπολογιστικούς πόρους που καταναλώνονται από τον αποστολέα τον μηνυμάτων. Η βασική λογική της συγκεκριμένης προσέγγισης στηρίζεται στο ότι πριν σταλεί ένα μήνυμα πρέπει στον υπολογιστή του αποστολέα να λυθεί ένα σύνθετο υπολογιστικό πρόβλημα μέσω του οποίου θα φανεί στον παραλήπτη ότι καταναλώθηκαν υπολογιστικοί πόροι και οπότε θα είναι σε θέση να αποδεχθεί το μήνυμα. Προφανώς, αυτή η προσέγγιση είναι πολύ αρνητική για τους επιτιθέμενους, λόγω του ότι η μαζική αποστολή μηνυμάτων θα προϋποθέτει την κατανάλωση μεγάλου αριθμού υπολογιστικών πόρων. Στον επόμενο πίνακα παρουσιάζονται οι βασικές τεχνικές κοστολόγησης που χρησιμοποιούνται για την αντιμετώπιση του SPAM. Πίνακας 4.4: Τεχνικές βασιζόμενες στο κόστος Τύπος Κόστους Τεχνική κοστολόγησης Περιγραφή Χρηματικό κόστος Μη χρηματικό κόστος Εγγυήσεις Τεχνική ακολουθούμενη από του παρόχους (ISP based Approach) CPU Coins Μοντέλο e-stamp Εφαρμογή τεχνικών κοστολόγησης στο SPIT Χρέωση με χρήματα (π.χ. χρήση πιστωτικής κάρτας) Χρέωση με κατανάλωση υπολογιστικών πόρων Ο αποστολέας εναποθέτει ένα χρηματικό ποσό ως εγγύηση σε μια έμπιστη Τρίτη οντότητα (π.χ. τράπεζα) Η συγκεκριμένη τεχνική αποτελεί μια καλή προσέγγιση αντιμετώπισης του SPIT, λόγω του ότι δημιουργεί αντι-κίνητρα στους επίδοξους επιτιθέμενους από το να στείλουν μηνύματα Οικονομικό Πανεπιστήμιο Αθηνών 103

104 SPIT. Ωστόσο, η χρησιμοποίησή της δεν είναι ιδιαίτερα μεγάλη λόγω διαφόρων προβλημάτων που σχετίζονται κυρίως με την έλλειψη εμπιστοσύνης των μη εξοικειωμένων χρηστών στις συναλλαγές που γίνονται μέσω διαδικτύου Τεχνικές βασιζόμενες σε Συστήματα Φήμης Οι βασιζόμενες στα συστήματα φήμης (reputation systems) τεχνικές αποτελούν μια γνωστή τεχνική, που σκοπό έχει να επιτρέψει ή αποτρέψει την επικοινωνία με βάση τη σχέση που έχει οριστεί μεταξύ του αποστολέα και του παραλήπτη. Τα συστήματα φήμης βασίζονται στην έννοια του κοινωνικού συνόλου (δικτύου) φήμης (social network of reputation) στο οποίο η κάθε συμμετέχουσα οντότητα διαθέτει ένα βαθμό φήμης (reputation factor-score) [JOS07]. Όσο πιο μεγάλος είναι αυτός ο βαθμός τότε η αντίστοιχη οντότητα είναι πιο έμπιστη και αντιστρόφως. Προκειμένου να γίνει αντιληπτή η χρησιμότητα των συστημάτων φήμης στο χώρο του anti-spit θα παρουσιασθούν, στις επόμενες παραγράφους, εν συντομία, κάποιες βασικές έννοιες αυτών και τα κύρια χαρακτηριστικά τους Εμπιστοσύνη και Φήμη Τα συστήματα φήμης, όπως έχει ήδη αναφερθεί, βασίζονται σε ένα κοινωνικό δίκτυο φήμης μέσω του οποίου αποτιμώνται οι σχέσεις μεταξύ των οντοτήτων που συμμετέχουν σε αυτό. Η αποτίμηση αυτής της σχέσης βασίζεται στη μεταξύ των οντοτήτων εμπιστοσύνη. Αυτό, καθιστά προφανές, ότι οι έννοιες της εμπιστοσύνης (trust) και της φήμης είναι αλληλένδετες και επικαλύπτονται σε πολλές περιπτώσεις. Ο ορισμός της εμπιστοσύνης στο πλαίσιο των πληροφοριακών συστημάτων είναι αρκετά δύσκολος λόγω της υποκειμενικότητας αυτής: διαφορετικά αντιλαμβάνεται ο εκάστοτε χρήστης την εμπιστοσύνη και διαφορετικά κατ επέκταση την αποτιμά. Έχουν γίνει αρκετές προσπάθειες να οριστεί η έννοια της εμπιστοσύνης στο πλαίσιο των πληροφοριακών συστημάτων. Ο πιο κοινός ορισμός αυτής είναι ο εξής [GAM88]: H εμπιστοσύνη είναι ένα ειδικό επίπεδο της υποκειμενικής πιθανότητας με την οποία μια οντότητα καθορίζει ότι μια άλλη οντότητα ή ένα σύνολο οντοτήτων θα εκτελέσει μία συγκεκριμένη ενέργεια πριν ακόμη μπορέσουν να παρακολουθήσουν μία τέτοια ενέργεια και κάτω από ένα συγκεκριμένο περιεχόμενο που την επηρεάζει. Από τον παραπάνω ορισμό γίνεται σαφές ότι η έννοια της εμπιστοσύνης δεν αποτελεί ένα αντικειμενικό στοιχείο, αλλά άπτεται της υποκειμενικότητας μιας οντότητας σε σχέση με τις άλλες οντότητες που έρχεται σε επαφή ή/και επικοινωνία. Οι αποφάσεις οι σχετικές με το βαθμό εμπιστοσύνης δε λαμβάνονται τυχαία, αλλά βασίζονται στην a priori γνώση και εμπειρία της εκάστοτε οντότητας σε ότι αφορά τις άλλες οντότητες με τις οποίες συναναστρέφεται ενώ αλλάζουν συνεχώς με την πάροδο του χρόνου. Άρα, η εμπιστοσύνη αποτελεί μια δυναμική έννοια ο βαθμός της οποίας είτε αυξάνεται είτε μειώνεται σε σχέση με το εκάστοτε υπό μελέτη περιβάλλον (context). Οικονομικό Πανεπιστήμιο Αθηνών 104

105 Εν γένει, όπως έχουμε ήδη αναφέρει, οι έννοιες της φήμης και της εμπιστοσύνης είναι σχετικές μεταξύ τους λόγω του ότι χρησιμοποιούνται για να αξιολογήσουν την αξιοπιστία ενός συνδιαλεγόμενου μέλους. Γενικά, η φήμη συνιστά μία γενική άποψη η οποία διαδίδεται ή πιστεύεται, σχετικά με το χαρακτήρα και τη στάση που διατηρεί ένα πρόσωπο ή ένα αντικείμενο στο σύνολο των ενεργειών που πραγματοποιεί. Στη βιβλιογραφία εντοπίζονται διάφοροι ορισμοί σε ότι αφορά την έννοια της φήμης, ο σημαντικότερος εκ των οποίων είναι ο εξής [ADB00]: Η φήμη εκφράζει την προσδοκία μιας οντότητας σχετικά με την συμπεριφορά μιας άλλης οντότητας η οποία βασίζεται σε πληροφορία και γνώση που βασίζεται σε παλιότερες ενέργειες της δεύτερης οντότητας). Ενώ τα κοινά χαρακτηριστικά των εννοιών της εμπιστοσύνης και της φήμης είναι αρκετά, η κύρια διαφορά τους άπτεται του τρόπου που η κάθε μια ορίζεται. Η εμπιστοσύνη, όπως έχουμε ήδη αναφέρει, αποτελεί μια υποκειμενική καθαρά έννοια ενώ η φήμη αποτελεί μια πιο αντικειμενική έννοια και η οποία εξαρτάται από το πλήθος των προσωπικών απόψεων που εκφράζονται εντός ενός κοινωνικού δικτύου (social network). Γενικά η εμπιστοσύνη εκφράζεται με δύο τρόπους. Αρχικά, έχουμε την άμεση εμπιστοσύνη (direct trust) μέσω της οποίας εκφράζεται άμεσα ο βαθμός εμπιστοσύνης που έχει μια οντότητα ως προς μια άλλη [JOS07]. Η δεύτερη φύση της εμπιστοσύνης, και η οποία χρησιμοποιείται ευρέως στα συστήματα φήμης, είναι αυτή της έμμεσης εμπιστοσύνης (recommended trust), όπου μια οντότητα καθορίζει το βαθμό εμπιστοσύνης προς μία άλλη με βάση τη φήμη που έχει αποκτήσει η δεύτερη από άλλες οντότητες στο πλαίσιο του εκάστοτε οριζόμενου κοινωνικού συνόλου [MON03], [MON02] Συστήματα φήμης Τα συστήματα φήμης που έχουν προταθεί και η προσέγγιση που ακολουθείται σε καθένα από αυτά για τον υπολογισμό του βαθμού φήμης και κατ επέκταση του βαθμού εμπιστοσύνης προς μια οντότητα, ποικίλλουν. Στην παρακάτω εικόνα [JOS07], παρουσιάζεται μια κατηγοριοποίηση των συστημάτων φήμης. Οικονομικό Πανεπιστήμιο Αθηνών 105

106 Εικόνα 4.4: Κατηγοριοποίηση Συστημάτων Φήμης Από την εικόνα γίνεται φανερό ότι σε κάθε προσέγγιση αυτό που αλλάζει είναι ο τρόπος με τον οποίο γίνεται η κατάταξη-διαβάθμιση (rating) του βαθμού φήμης που έχει μια οντότητα και στο πώς αυτός ο βαθμός παρέχεται στις υπόλοιπες οντότητες προκειμένου να δημιουργηθεί μια αλυσίδα φήμης (reputation chain) και να καθοριστεί ο τελικός βαθμός εμπιστοσύνης μεταξύ της αρχικής και τελικής οντότητας. Οι αρχιτεκτονικές των διαφόρων συστημάτων φήμης χωρίζονται σε δύο βασικές κατηγορίες [JOS07], [WAL06]: α) τα κεντρικοποιημένα συστήματα φήμης (centralized reputation systems), και β) στα κατανεμημένα συστήματα φήμης (distributed reputation systems). Η κατηγοριοποίηση βασίζεται στον τρόπο με τον οποίο γίνεται η κατάταξη (rating), αλλά και στο πώς καθορίζεται ο βαθμός φήμης κάθε οντότητας. Έτσι, στα κεντρικοποιημένα συστήματα, ο βαθμός φήμης μιας οντότητας καθορίζεται από τη διαβάθμιση που προσδίδουν σε αυτόν τα άμεσα συνδεδεμένα με αυτόν μέλη του κοινωνικού δικτύου. Η κατάταξη αυτή αποθηκεύεται σε μια κεντρική αρχή (central authority), η οποία συγκεντρώνει όλους τους βαθμούς φήμης των οντοτήτων, παρέχοντας τους παράλληλα δημόσια και ελεύθερα σε όλες τις ενδιαφερόμενες και συμμετέχουσες στο δίκτυο οντότητες. Η βασική λογική λειτουργίας της προσέγγισης αυτής παρουσιάζεται στην ακόλουθη εικόνα [JOS07]. Εικόνα 4.5: Κεντρικοποιημένη προσέγγιση συστημάτων φήμης Οικονομικό Πανεπιστήμιο Αθηνών 106

107 Η δεύτερη προσέγγιση που βασίζεται στα κατανεμημένα συστήματα, δε στηρίζεται στην ύπαρξη μιας κεντρικής αρχής. Αντίθετα, είτε υπάρχουν τέτοιες αρχές κατανεμημένες (διάσπαρτες) στο δίκτυο είτε κάθε οντότητα διατηρεί η ίδια το βαθμό φήμης που έχει ορίσει προς μια άλλη οντότητα και τον παρέχει όταν και αν της ζητηθεί. Η προσέγγιση απεικονίζεται στην παρακάτω εικόνα [JOS07]: Εικόνα 4.6: Κατανεμημένη προσέγγιση συστημάτων φήμης Γενικά, η υιοθέτηση μιας από τις δύο αρχιτεκτονικές των συστημάτων φήμης καθορίζεται ανά περίπτωση και ανά εφαρμογή που θα κάνει χρήση τους. Η ευελιξία και δυναμική που παρέχεται μέσω των κατανεμημένων συστημάτων φήμης είναι αποδοτικότερη σε σχέση με τη στατικότητα των κεντρικοποιημένων συστημάτων. Η επιλογή του κατάλληλου συστήματος φήμης πρέπει να βασίζεται σε κριτήρια, τα σημαντικότερα εκ των οποίων είναι: Οι κατατάξεις (ratings) των εμπλεκομένων οντοτήτων πρέπει να διατηρούν την ακρίβεια τους στην πάροδο του χρόνου. Από την άλλη, πρέπει να παρέχεται ακριβής διάκριση μεταξύ μιας νέας οντότητας με άγνωστο βαθμό φήμης και μιας οντότητας η οποία παρέχει ελάχιστη γνώση ως προς τη συμπεριφορά της και κατ επέκταση το βαθμό φήμης της. Το εκάστοτε χρησιμοποιούμενο σύστημα φήμης πρέπει να μπορεί να αναγνωρίσει και να αποτυπώσει τυχόν νέες ενέργειες μιας οντότητας οι οποίες θα επηρεάσουν το βαθμό φήμης αυτής. Το σύστημα φήμης πρέπει να είναι ισχυρό απέναντι σε τυχόν επιθέσεις που προσπαθούν να αλλάξουν το βαθμό φήμης-εμπιστοσύνης των οντοτήτων. Το σύστημα πρέπει να διατηρεί μια ισορροπία μεταξύ της εκάστοτε κατάταξης που ορίζεται για μια οντότητα ώστε να μην επηρεάζεται σημαντικά ο τελικά οριζόμενος βαθμός φήμης (smoothness) Συστήματα Φήμης και SPIT Η εφαρμογή των συστημάτων φήμης για την αντιμετώπιση του SPIT γίνεται, συνήθως, σε συνδυασμό με τις λευκές και μαύρες λίστες και αποσκοπεί στο να αποφασισθεί αν η επικοινωνία μεταξύ δύο οντοτήτων μπορεί να λάβει χώρα [RFC5039]. Πιο συγκεκριμένα, όταν ένας χρήστης Α επιθυμεί να επικοινωνήσει με ένα χρήστη Β, τότε ο Β θα εξετάσει το βαθμό Οικονομικό Πανεπιστήμιο Αθηνών 107

108 εμπιστοσύνης που αντιστοιχεί στον Α και αν είναι μεγαλύτερος ή ίσος (οριακή περίπτωση 7 ) από ένα συγκεκριμένο όριο (threshold) που έχει τεθεί, τότε η επικοινωνία πραγματοποιείται ενώ στην αντίθετη περίπτωση απορρίπτεται. Γενικά, τα συστήματα φήμης αποτελούν μια χρήσιμη προσέγγιση για την επικοινωνία, αλλά η χρησιμότητά τους εντοπίζεται, κυρίως, για την επίλυση του προβλήματος εισαγωγής στις λευκές ή μαύρες λίστες. Επιπρόσθετα, σε περίπτωση που δύο οντότητες δεν έχουν επικοινωνήσει ποτέ ξανά, η χρήση μιας υποδομής συστήματος φήμης, μπορεί να διευκολύνει τον έλεγχο μέσω του οποίου θα αποφασιστεί αν η επικοινωνία θα πραγματοποιηθεί. Ωστόσο, από την άλλη πλευρά τα συστήματα φήμης παρουσιάζουν κάποια αρνητικά στοιχεία τα οποία ενδέχεται να περιορίσουν την αποδοτικότητα και χρησιμότητά τους σε μεγάλο βαθμό. Τα πιο σημαντικά από αυτά είναι συνήθως η άρνηση των τελικών χρηστών να ανατροφοδοτήσουν το σύστημα με πληροφορίες που αφορούν τις ενέργειας μιας οντότητας ώστε να οριστεί ο βαθμός φήμης [BAL07]. Από την άλλη, οι χρήστες ενδέχεται να αλλάζουν συχνά τις ταυτότητές τους με αποτέλεσμα να μην υπάρχει εκ των προτέρων γνώση σχετικά με το βαθμό φήμης που τους αντιστοιχεί στη νέα τους ταυτότητα [DON06], [SRI04] Σύνοψη Τεχνικών Αντιμετώπισης του SPIT Στις προηγούμενες παραγράφους αναφέρθηκαν συνοπτικά οι κυριότερες πρακτικές και τεχνικές για την αντιμετώπιση του SPIT και οι οποίες έχουν υιοθετηθεί από την τεχνολογία του anti-spam. Ενώ o στόχος για την αντιμετώπιση του SPIT είναι να αποφευχθεί αυτό κατά τη διάρκεια της σηματοδοσίας (signaling) και όχι κατά τη μεταφορά του κυρίως περιεχομένου μιας κλήσης ή/και μηνύματος, κάποιες από τις προαναφερόμενες τεχνικές μπορούν να χρησιμοποιηθούν και στις δύο φάσεις. Επιπρόσθετα, η αποτελεσματικότητα των τεχνικών αυτών αυξάνει σε μεγάλο βαθμό αν χρησιμοποιηθούν παράλληλα με τους αρκετά ισχυρούς μηχανισμούς αυθεντικοποίησης που διαθέτει το πρωτόκολλο SIP (π.χ. TLS protocol). Στην επόμενη εικόνα [MAR07], παρουσιάζεται μια εποπτική εικόνα των τεχνικών που χρησιμοποιούνται για την αντιμετώπιση του SPIT καθώς και ο ρόλος τους σε ότι αφορά την πρόληψη, ανίχνευση και αντιμετώπιση του SPIT. 7 Στην οριακή περίπτωση που ο βαθμός εμπιστοσύνης είναι ίσος με το όριο ενδέχεται να λαμβάνεται κάθε φορά διαφορετική ενέργεια. Οι εκάστοτε ενέργειες καθορίζονται από την πολιτική που έχει υιοθετήσει ο εκάστοτε δικτυακός τομέας (network domain). Οικονομικό Πανεπιστήμιο Αθηνών 108

109 Εικόνα 4.7: Σημαντικότερες τεχνικές αντιμετώπισης του SPIT 4.4 Μηχανισμοί Αντιμετώπισης του SPIT Το φαινόμενο του SPIT αποτελεί μια νέα απειλή σε ότι αφορά τις VoIP υποδομές και αναμένεται να πάρει μεγάλες διαστάσεις στο προσεχές μέλλον και να επηρεάσει σε σημαντικό βαθμό την περαιτέρω εξάπλωση και χρήση των VoIP συστημάτων. Για αυτό το λόγο μεγάλες εταιρείες που δραστηριοποιούνται στο χώρο της τηλεφωνίας μέσω διαδικτύου (π.χ. NEC κλπ.), αλλά και σημαντικά ερευνητικά ιδρύματα βρίσκονται σε έντονη κινητικότητα προκειμένου να παρουσιάσουν νέους μηχανισμούς και τεχνικές ώστε να περιοριστεί το SPIT σε όσο το δυνατόν μεγαλύτερο βαθμό. Η πλειονότητα των προτεινόμενων μηχανισμών αποτελεί σύνθεση των τεχνικών που παρουσιάστηκαν στην προηγούμενη ενότητα ενώ άλλες βασίζονται σε ένα νέο πλαίσιο λειτουργίας το οποίο υιοθετήθηκε αποκλειστικά για την αντιμετώπιση του SPIT. Στην ενότητα αυτή θα παρουσιασθούν συνοπτικά οι μηχανισμοί anti-spit που έχουν προταθεί μέχρι τώρα Ανώνυμες Αρχές Πιστοποίησης Η χρήση των Ανώνυμων Αρχών Πιστοποίησης (Anonymous Verifying Authorities, AVA) για την αντιμετώπιση του SPIT βασίζεται στην επέκταση της διαδικασίας εγκαθίδρυσης της κλήσης ώστε να εμπεριέχει τον έλεγχο σχετικά με τη φύση της κλήσης [CRO05]. Προκειμένου να υλοποιηθεί η συγκεκριμένη προσέγγιση έχουν οριστεί δύο νέες οντότητες: α) η οντότητα Μεσολαβητής (Mediator), και β) οι Ανώνυμες Αρχές Πιστοποίησης (Anonymous Verifying Authority). Οι συγκεκριμένες οντότητες ενεργούν συνεργατικά και διαθέτουν διακριτούς ρόλους κατά τη διαδικασία εγκαθίδρυσης της κλήσης. Πιο συγκεκριμένα, ο ρόλος του Μεσολαβητή είναι να προωθήσει τις πληροφορίες που αφορούν μια αίτηση κλήσης σε μια Ανώνυμη ως προς τον καλούντα Αρχή, η οποία, με τη σειρά της, θα ελέγξει τη συγκεκριμένη αίτηση κλήσης. Σε περίπτωση που η αίτηση επιτραπεί, τότε η εν λόγω Αρχή διευκολύνει την πραγματοποίηση της κλήσης ορίζοντας για αυτή ένα μοναδικό πειστήριο επικοινωνίας (unique communication token). Γίνεται φανερό, από την παραπάνω περιγραφή, ότι ο Μεσολαβητής μπορεί μόνο να λάβει αιτήσεις κλήσεων και από εκεί και πέρα να προωθήσει αυτές σε κάποια από τις Ανώνυμες Αρχές Πιστοποίησης που ορίζονται στην εκάστοτε VoIP υποδομή. Από την άλλη μεριά, ο Οικονομικό Πανεπιστήμιο Αθηνών 109

110 ρόλος των Αρχών Πιστοποίησης είναι να ταυτοποιήσει, επικυρώσει και εντοπίσει τον καλούντα και τον καλούμενο, να ενημερωθεί σχετικά με τις πολιτικές των δικτυακών τομέων που αυτοί ανήκουν και τελικά, σε περίπτωση που η κλήση επιτραπεί, να βοηθήσει την εγκαθίδρυσή της με ταυτόχρονο ορισμό του μοναδικού πειστήριου επικοινωνίας που θα τη χαρακτηρίζει. Στην παρακάτω εικόνα παρουσιάζεται μια μακροσκοπική εικόνα της προτεινόμενης προσέγγισης [CRO05]: Εικόνα 4.8: Προτεινόμενο μοντέλο αντιμετώπισης του SPIT με χρήση Ανώνυμων Αρχών Πιστοποίησης Στο σημείο αυτό πρέπει να αναφερθεί ότι προκειμένου ο προτεινόμενος μηχανισμός να λειτουργεί αποτελεσματικά θα πρέπει οι ενέργειες που εκτελούνται από τους πληρεξούσιους εξυπηρετητές (proxy servers) στην εκάστοτε VoIP υποδομή να περιορίζονται αποκλειστικά στις εξής: αποστολή αιτήσεων για εγκαθίδρυση κλήσεων προς το μεσολαβητή, στη λήψη αιτήσεων μόνο από το μεσολαβητή και επερωτήσεων σχετικά με την πολιτική που υιοθετούν και τέλος μόνο την αποστολή και λήψη των πακέτων φωνής της κλήσης (media streams). Προκειμένου η προτεινόμενη προσέγγιση να γίνει περισσότερη κατανοητή παρουσιάζουμε ένα παράδειγμα εγκαθίδρυσης VoIP κλήσης και ελέγχου αν αυτή αποτελεί απόπειρα SPIT, με χρήση του προτεινόμενου μηχανισμού (βλ.εικόνα 4.9): 1) Ο χρήστης Α καλεί τον χρήστη B μέσω της υποδομής VoIP. 2) O πληρεξούσιος εξυπηρετητής του χρήστη Α προωθεί την αίτηση κλήσης προς το μεσολαβητή και αυτός προωθεί την αίτηση σε μια τυχαία επιλεγμένη Ανώνυμη Αρχή Πιστοποίησης. 3) H Αρχή με τη σειρά της επιβεβαιώνει την ταυτότητα, τοποθεσία και προορισμό των χρηστών Α και Β, αντίστοιχα, και ζητά από τον πληρεξούσιο εξυπηρετητή του χρήστη Β τις απαιτήσεις που ορίζει σχετικά τις κλήσεις που ενδέχεται να λάβει. Στο χρονικό διάστημα αυτό ο χρήστης Α αναμένει στο ακουστικό του μέχρι να λάβει απάντηση σε ότι αφορά την κλήση. 4) Στο σημείο αυτό γίνεται έλεγχος της κλήσης και αν αυτός είναι θετικός τότε η Αρχή στέλνει αίτημα κλήσης στο χρήστη Β. Από εδώ και πέρα υπάρχουν τρία ενδεχόμενα σε ότι αφορά την κλήση: είτε απορρίπτεται λόγω χρονικού περιορισμού, είτε γίνεται αποδεκτή από το χρήστη Β είτε απορρίπτεται από τον χρήστη Β. Οικονομικό Πανεπιστήμιο Αθηνών 110

111 5) Αν ο χρήστης Β αποδεχθεί την κλήση τότε ενημερώνει την Αρχή αναλόγως, η οποία με τη σειρά της δημιουργεί ένα μοναδικό πειστήριο σε ότι αφορά την εν λόγω κλήση. 6) Κατόπιν, η Αρχή προωθεί το πειστήριο αυτό στους πληρεξούσιους εξυπηρετητές των χρηστών Α και Β. Ο εξυπηρετητής του χρήστη Α θα μπορέσει να δημιουργήσει τη σύνοδο που αφορά την κλήση μόνο αν διαθέτει σε αναμονή μια κλήση από το χρήστη Α προς το χρήστη Β. 7) Αν αυτό επιτευχθεί τότε η κλήση λαμβάνει χώρα κάνοντας χρήση του προαναφερόμενου πειστηρίου που ορίστηκε στο στάδιο 5. Εικόνα 4.9: Σενάριο χρήσης του προτεινόμενου μηχανισμού [CRO05] Αντιμετώπιση SPIT με χρήση anti-spit Δικτυακής Οντότητας Στη συγκεκριμένη προσέγγιση αναγνωρίζεται ότι η χρήση ενός anti-spit μηχανισμού στους διάφορους εξυπηρετητές της VoIP υποδομής όσο και στις τελικές συσκευές των χρηστών έχει αρκετά μειονεκτήματα τα οποία σχετίζονται, κυρίως, με τις απαιτήσεις σε υπολογιστικούς και δικτυακούς πόρους. Στο πλαίσιο αυτό, προτείνεται η χρήση μιας οντότητας στα ακραία σημεία της εκάστοτε VoIP υποδομής [MAT06]. Το ρόλο αυτής της οντότητας μπορεί να τον εκτελεί μια δικτυακή συσκευή, π.χ. ένας δρομολογητής, και ο σκοπός της είναι να ελέγχει την κίνηση που εισέρχεται στο δίκτυο έτσι ώστε να αποφανθεί αν πρόκειται για SPIT κλήση ή/και μήνυμα. Στην εικόνα που ακολουθεί παρουσιάζεται σχηματικά η προτεινόμενη προσέγγιση [MAT06]. Οικονομικό Πανεπιστήμιο Αθηνών 111

112 Εικόνα 4.10: Χρήση anti-spit οντότητας για την αντιμετώπιση του SPIT Ο έλεγχος της κίνησης που εισέρχεται σε μια VoIP υποδομή και η απόφαση αν αποτελεί SPIT ή όχι πραγματοποιείται από τη δικτυακή οντότητα που έχει οριστεί για αυτό το σκοπό και η οποία καταγράφει την εισερχόμενη δικτυακή κίνηση προσπαθώντας να εξάγει συμπεράσματα για τη φύση της κλήσης/μηνύματος με βάση ορισμένα κριτήρια που έχουν οριστεί. Τα κριτήρια που προτείνονται σε πρώτο στάδιο, και τα οποία μπορούν να επεκταθούν, είναι τα εξής [MAT06]: Η διάρκεια των κλήσεων. Ο αριθμός των μηνυμάτων λαθών που παράγονται από το πρωτόκολλο SIP κατά την αίτηση πραγματοποίησης μιας κλήσης. Η λογική που ακολουθείται σε ότι αφορά τις διευθύνσεις των παραληπτών μιας κλήσης. Ο αριθμός των ταυτόχρονων αιτήσεων κλήσεων (call attempts) που πραγματοποιούνται εντός μιας συγκεκριμένης μικρής χρονικής περιόδου. Ο αριθμός κλήσεων που έχουν πραγματοποιηθεί από ένα χρήστη εντός ενός χρονικού διαστήματος. Η δικτυακή οντότητα που ορίζεται καταγράφει και ελέγχει την κίνηση του πρωτοκόλλου SIP με βάση τα προαναφερθέντα κριτήρια αγνοώντας την κίνηση που προκαλείται από άλλα δικτυακά πρωτόκολλα. Η αρχιτεκτονική της οντότητας απεικονίζεται στην παρακάτω εικόνα, στο οποίο αποτυπώνονται οι κυριότερες ενέργειες τις οποίες εκτελεί [MAT06]. Οικονομικό Πανεπιστήμιο Αθηνών 112

113 Εικόνα 4.11: Αρχιτεκτονική προτεινόμενης δικτυακής οντότητας [MAT06] Με χρήση των κριτηρίων που προαναφέρθηκαν και με βάση κάθε ανάλυση a(i) που πραγματοποιείται για κάθε μία αίτηση κλήσης ο έλεγχος αν μια κλήση αποτελεί SPIT ή όχι δίνεται από τον παρακάτω τύπο: spitlevel = i p i a i, for every i where a i = 1 when positive and a i = 0 when negative, όπου i είναι το εκάστοτε κριτήριο και p(i) είναι ο βαθμός που δίνεται για κάθε κλήση ελέγχοντας το εκάστοτε κριτήριο i. Aν το εξαγόμενο αποτέλεσμα (spitlevel) είναι μεγαλύτερο από μια προκαθορισμένη τιμή (threshold), τότε η κλήση αναγνωρίζεται ως SPIT και απορρίπτεται ενώ στην αντίθετη περίπτωση πραγματοποιείται. Στο σημείο αυτό πρέπει να αναφέρουμε ότι η προτεινόμενη προσέγγιση δεν αναφέρει τίποτα σε ότι αφορά την τιμή του ορίου (threshold) που χρησιμοποιείται κάθε φορά αφήνοντας το στη διακριτική ευχέρεια της εκάστοτε πολιτικής που υλοποιείται στο πλαίσιο ενός δικτυακού τομέα (network domain). Στο πλαίσιο της προτεινόμενης αρχιτεκτονικής το τελικό στάδιο αφορά τις ενέργειες που πρέπει να ληφθούν από τη στιγμή που μία κλήση/μήνυμα έχει αναγνωρισθεί ως SPIT. Γενικά, δεν προτείνονται συγκεκριμένες ενέργειες που πρέπει να ληφθούν. Η απόφαση άπτεται της εκάστοτε υιοθετημένης πολιτικής του δικτυακού τομέα που ανήκει ο χρήστης. Ενδεικτικές ενέργειες αφορούν την προσωρινή εισαγωγή του χρήστη στη μαύρη λίστα, τον περιορισμό των κλήσεων που μπορεί να κάνει κλπ Σύστημα DAPES Στο σύστημα DAPES (Domain-based Authentication and Policy-Enforced for SIP) προτείνεται ένας μηχανισμός ανίχνευσης SPIT κλήσεων-μηνυμάτων, ο οποίος βασίζεται στις περιγραφές των δικτυακών τομέων (domain descriptions) και στα συστήματα φήμης [SRI04]. Η σωστή λειτουργία του προτεινόμενου συστήματος βασίζεται στις εξής παραδοχές: 1) Όλη η δικτυακή κίνηση διέρχεται από τους πληρεξούσιους εξυπηρετητές των τομέων που ανήκουν ο καλούντας και ο καλούμενος και οι οποίοι πρέπει να υλοποιούν TLS ή IPSEC αυθεντικοποίηση. Οικονομικό Πανεπιστήμιο Αθηνών 113

114 2) Οι εξερχόμενοι πληρεξούσιοι εξυπηρετητές (των καλούντων) πρέπει να διαθέτουν πιστοποιητικά κρυπτογράφησης υπογεγραμμένα από Έμπιστες Τρίτες Οντότητες. 3) Όλες οι κλήσεις δρομολογούνται προς τους εξερχόμενους πληρεξούσιους εξυπηρετητές του δικτυακού τομέα του καλούντα. 4) Η ταυτότητα του καλούντα πρέπει να έχει επιβεβαιωθεί από τον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα στον οποίο ανήκει. Ο μηχανισμός DAPES χρησιμοποίει αυθεντικοποίηση και επιβεβαίωση των εισερχόμενων κλήσεων σε επίπεδο δικτυακού τομέα προκειμένου να αποφασισθεί αν μια κλήση ή/και μήνυμα είναι SPIT. Η κατηγοριοποίηση των δικτυακών τομέων γίνεται με βάση την εμπιστοσύνη προς αυτά (trustworthiness) καθώς και την πιθανότητα να περιλαμβάνουν χρήστες οι οποίοι στέλνουν SPIT μηνύματα ή κλήσεις σε τακτά χρονικά διαστήματα. Τα κριτήρια με βάση τα οποία γίνεται η κατηγοριοποίηση των δικτυακών τομέων βασίζονται κυρίως στους μηχανισμούς ταυτοποίησης, εξουσιοδότησης και απόδοσης ευθυνών (ΑΑΑ mechanisms) που υιοθετούν. Με βάση αυτά τα κριτήρια, οι κατηγορίες που προκύπτουν είναι: (α) admission-controlled domains, (β) bonded domains, (γ) membership domains, open, (δ) rate-limited domains, και (ε) open domains. Κάθε αίτηση SIP στο σύστημα DAPES προκειμένου να ελεγχθεί αν είναι SPIT ή όχι περνά από δύο στάδια επικύρωσης. Το πρώτο αφορά την επικύρωση επιβεβαίωση της ταυτότητας του καλούντα. Αυτό μπορεί να γίνει με δύο τρόπους: είτε με αυθεντικοποίηση digest στα μηνύματα INVITΕ που αποστέλλονται είτε με digest αυθεντικοποίηση στα μηνύματα REGISTER και INVITE και με επιβεβαίωση της διεύθυνσης στα μηνύματα INVITE. Το δεύτερο στάδιο επικύρωσης αφορά την αμοιβαία αυθεντικοποίηση (mutual authentication) των συμμετεχόντων στην επικοινωνία πληρεξούσιων εξυπηρετητών χρησιμοποιώντας τα πρωτόκολλα TLS και IPSEC, καθώς και την επιβεβαίωση του εξερχόμενου πληρεξούσιου εξυπηρετητή με βάση τις υπάρχουσες εγγραφές DNS. Στο πλαίσιο λειτουργίας του μηχανισμού DAPES έχουν οριστεί διάφορα σενάρια μέσω των οποίων ορίζεται o βαθμός εμπιστοσύνης προς έναν δικτυακό τομέα ή/και χρήστη ώστε με βάση αυτά να μπορεί να εφαρμοσθεί ο κατάλληλος έλεγχος αυθεντικοποίησης. Έτσι, οι οριζόμενες περιπτώσεις είναι α) γνωστοί χρήστες (known users), όπου στη συγκεκριμένη περίπτωση απαιτείται μόνο αυθεντικοποίηση του χρήστη, β) άγνωστος χρήστης και έμπιστος δικτυακός τομέας (unknown user, trusted domain), όπου στην περίπτωση αυτή απαιτείται μόνο η επικύρωση της ταυτότητας του χρήστη, γ) χρήστες που μεταφέρονται συχνά (roaming users), όπου στη περίπτωση αυτή ο χρήστης πρέπει να προωθεί τις κλήσεις και τα μηνύματα του μέσω του πληρεξούσιου εξυπηρετητή του δικτυακού τομέα στον οποίο ανήκει, και τέλος δ) άγνωστος χρήστης, άγνωστος δικτυακός τομέας (unknown user, unknown domain). Η τελευταία περίπτωση είναι η πιο σύνθετη στο πλαίσιο λειτουργίας του DAPES. Επομένως, θα πρέπει να υιοθετηθεί ένας μηχανισμός μέσω του οποίου θα μπορεί να ελεγχθεί ο βαθμός εμπιστοσύνης τόσο προς το χρήστη όσο και προς το δικτυακό τομέα. Ο μηχανισμός Οικονομικό Πανεπιστήμιο Αθηνών 114

115 που χρησιμοποιείται βασίζεται στη χρήση ενός συστήματος φήμης. Το χρησιμοποιούμενο σύστημα φήμης ορίζει την έννοια του κάρμα (karma), μέσω του οποίου ορίζεται ένας βαθμός φήμης σε ότι αφορά το δικτυακό τομέα και το χρήστη. Τέτοια συστήματα χρησιμοποιούνται ευρύτατα σε συστήματα ηλεκτρονικών αγορών και δημοπρασιών (π.χ. ebay) τα οποία αποτελούν κατανεμημένα συστήματα φήμης (βλ. Ενότητα 4.3.8). Στην παρακάτω εικόνα [SRI04], παρουσιάζεται η αλληλουχία των μηνυμάτων ώστε να ελεγχθεί η φύση μιας κλήσης ή/και μηνύματος. Εικόνα 4.12: Χρήση του συστήματος φήμης στο πλαίσιο λειτουργίας του DAPES Ανίχνευση SPIT με τεχνικές βασιζόμενες στη φήμη και στο κόστος Στο [REB06] παρουσιάζονται δύο μηχανισμοί αντιμετώπισης του SPIT οι οποίοι βασίζονται ο ένας στην έννοια της φήμης και ο δεύτερος σε τεχνική βασιζόμενη στο κόστος. Στην ενότητα αυτή θα παρουσιάσουμε συνοπτικά τη λειτουργία των μηχανισμών αυτών. Ο πρώτος μηχανισμός βασίζεται σε ένα σύστημα φήμης μέσω του οποίου ελέγχεται ο βαθμός εμπιστοσύνης που έχει ο καλούμενος ως προς τον καλούντα ώστε να αποφασισθεί αν μια κλήση είναι SPIT ή όχι. Η βασική συνιστώσα του προτεινόμενου μηχανισμού είναι ένα δίκτυο φήμης το οποίο αποτελείται από ένα χρήστη και τους χρήστες που αυτός διαθέτει στη λίστα επαφών του και στην οποία αποθηκεύεται ο βαθμός εμπιστοσύνης που ο χρήστης έχει προς το κάθε μέλος της λίστας του. Ο προτεινόμενος μηχανισμός διαθέτει αρκετά συστατικά (components) τα οποία επιτελούν μια συγκεκριμένη ενέργεια. Τα συστατικά αυτά αποτυπώνονται στην εικόνα που ακολουθεί ενώ παράλληλα θα περιγραφούν εν συντομία ώστε να γίνει αντιληπτό το πώς ο μηχανισμός λειτουργεί [REB06]. Οικονομικό Πανεπιστήμιο Αθηνών 115

116 Εικόνα 4.13: Αρχιτεκτονική του μηχανισμού του βασιζόμενου στο δίκτυο φήμης Τα κύρια συστατικά του προτεινόμενου μηχανισμού είναι τα εξής: SIP Repository: Η συγκεκριμένη οντότητα αποτελεί στην ουσία μια βάση δεδομένων στην οποία διατηρούνται οι λίστες επαφών των χρηστών που ανήκουν στον εκάστοτε δικτυακό τομέα καθώς και οι βαθμοί εμπιστοσύνης που κάθε χρήστης θέτει στα μέλη της λίστας του. Η συγκεκριμένη βάση είναι κατανεμημένη ανάμεσα στους δικτυακούς τομείς έτσι ώστε να καλύπτονται οι απαιτήσεις συνεχής ενημέρωσης σε ότι αφορά τους βαθμούς εμπιστοσύνης, αλλά και για να καλύπτονται οι απαιτήσεις κλιμάκωσης της προτεινόμενης αρχιτεκτονικής. SIP Server: Ο συγκεκριμένος εξυπηρετητής αποτελεί τη βασική οντότητα στο πλαίσιο της αρχιτεκτονικής. Σκοπός της είναι η προώθηση των ταυτοτήτων του καλούντα και καλούμενου στο Reputation Network Manager (RNM) έτσι ώστε να ελεγχθεί ο βαθμός εμπιστοσύνης των συμμετεχόντων στην επικοινωνία. Reputation Network Manager: Σκοπός της συγκεκριμένης οντότητας είναι να ελέγχει το βαθμό εμπιστοσύνης που ορίζεται μεταξύ του καλούντα και του καλούμενου. Για να επιτευχθεί αυτό πρέπει να αναζητηθεί και να βρεθεί το αντίστοιχο μονοπάτι στο δίκτυο φήμης ώστε να προσδιοριστεί η τιμή. Από τη στιγμή που βρεθεί το μονοπάτι τότε υπολογίζεται ο βαθμός εμπιστοσύνης, ο οποίος αν είναι μεγαλύτερος από ένα όριο τότε η κλήση επιτρέπεται να λάβει χώρα, διαφορετικά απορρίπτεται. Quarantine bucket and IVR: Οι συγκεκριμένες οντότητες εμπλέκονται στην προτεινόμενη αρχιτεκτονική όταν ο RNM δε μπορεί να βρει μονοπάτι εμπιστοσύνης μεταξύ του καλούντα και καλούμενου. Στην περίπτωση αυτή το μήνυμα ή η κλήση αποστέλλονται στο Quarantine bucket και στο IVR αντιστοίχως, ώστε να ελεγχθούν εκ των υστέρων από τον καλούμενο χρήστη και να αποφανθεί εκείνος αν πρόκειται για SPIT κλήση ή μήνυμα. Οικονομικό Πανεπιστήμιο Αθηνών 116

117 Ο δεύτερος μηχανισμός, όπως έχουμε ήδη αναφέρει, βασίζεται σε τεχνικές βασιζόμενες στο κόστος, δηλαδή ο εκάστοτε αποστολέας χρεώνεται για το μήνυμα που αποστέλλει. Ο μηχανισμός βασίζεται στην απλή λογική αύξησης του κόστους αποστολής ενός SPIT μηνύματος ή/και κλήσης για τον επίδοξο επιτιθέμενο, χωρίς, από την άλλη πλευρά, να απαιτούνται σημαντικές αλλαγές στην εκάστοτε οριζόμενη VoIP υποδομή. Η μόνη απαίτηση για την αποδοτική λειτουργία του μηχανισμού είναι ότι οι χρήστες επιτρέπεται να διατηρούν μια λευκή λίστα, ο εκάστοτε δικτυακός τομέας πρέπει να διαθέτει έναν εξυπηρετητή αυθεντικοποίησης, εξουσιοδότησης και απόδοσης ευθυνών (AAA server) καθώς και ότι οι διάφοροι δικτυακοί τομείς μπορούν να ανταλλάσουν μεταξύ τους πληροφορίες αυθεντικοποίησης. Στην επόμενη εικόνα παρουσιάζεται η αρχιτεκτονική του προτεινόμενου μηχανισμού [REB06]. Εικόνα 4.14: Μηχανισμός βασιζόμενος στις τεχνικές κόστους Στη συνέχεια παρουσιάζουμε την αλληλουχία των ενεργειών που λαμβάνουν χώρα στο πλαίσιο λειτουργίας του μηχανισμού. Όταν ο εξυπηρετητής SIP του καλούμενου λαμβάνει ένα αίτημα, αρχικά ελέγχει αν ο καλούντας ανήκει στη λευκή λίστα του καλούμενου. Αν ο έλεγχος είναι θετικός τότε το αίτημα διεκπεραιώνεται. Στην αντίθετη περίπτωση, ο εξυπηρετητής SIP δημιουργεί (α) ένα απαντητικό μήνυμα στην περίπτωση που το αίτημα ήταν ένα SIP MESSAGE ή (β) προωθεί το αίτημα στον τηλεφωνητή του καλούμενου αν το αίτημα ήταν ένα SIP INVITE. Και στις δύο περιπτώσεις ο σκοπός είναι να ενημερωθεί ο αποστολέας του αιτήματος ότι πρέπει να πληρώσει ένα τίμημα προκειμένου το αίτημα του να γίνει αποδεκτό. Αν ο αποστολέας αρνηθεί την πληρωμή τότε το αίτημα απορρίπτεται. Διαφορετικά, αν συμφωνήσει στην πληρωμή τότε ο SIP εξυπηρετητής προωθεί τις πληροφορίες που αφορούν τον αποστολέα στον ΑΑΑ εξυπηρετητή του καλούμενου με στόχο, αφενός να πραγματοποιηθεί έλεγχος αυθεντικοποίησης και αφετέρου, να οριστεί το κατάλληλο αντίτιμο που ο αποστολέας πρέπει να προσφέρει ώστε το αίτημα του να γίνει αποδεκτό. Οικονομικό Πανεπιστήμιο Αθηνών 117

118 4.4.5 Progressive Multi Gray-Leveling Άλλος ένας μηχανισμός που έχει προταθεί και ο οποίος αποτελεί επέκταση της τεχνικής των γκρίζων λιστών, αποτελεί ο Progressive Multi Gray-Leveling (PMG) [DON06]. Σύμφωνα με το μηχανισμό, ορίζεται ένας αλγόριθμος ο οποίος προσδιορίζει για κάθε χρήστη ένα βαθμό γκρι επιπέδου (grey level), μέσω του οποίου αποφασίζεται αν ο χρήστης αποτελεί πηγή SPIT μηνυμάτων ή όχι. Ο βαθμός αυτός υπολογίζεται με βάση το ιστορικό των κλήσεων (calls patterns) που έχει ο εκάστοτε χρήστης και όχι με βάση το τι δηλώνει ο εν λόγω χρήστης για κάποιον άλλο. Η βασική ιδέα του αλγόριθμου PMG είναι ότι αν ένας χρήστης επιχειρήσει εντός ενός μικρού χρονικού διαστήματος να κάνει μεγάλο αριθμό κλήσεων, τότε ο βαθμός του γκρι επιπέδου του θα αυξηθεί με αποτέλεσμα να χαρακτηριστεί ως εν δυνάμει πηγή SPIT μηνυμάτων. Από τη στιγμή που ο βαθμός αυτός γίνει μεγαλύτερος από ένα συγκεκριμένο όριο, τότε ο χρήστης δε μπορεί να κάνει νέες κλήσεις και κάθε νέα του απόπειρα απορρίπτεται. Ωστόσο, η βασιζόμενη σε αυτόν τον αλγόριθμο προσέγγιση δεν είναι τόσο αυστηρή, όσο η τεχνική των μαύρων λιστών στην οποία χρήστης απαγορεύεται επ άπειρο να κάνει κλήσεις. Αντίθετα, αν ο εκάστοτε χρήστης σταματήσει να κάνει SPIT κλήσεις, τότε ο βαθμός του γκρι επιπέδου του μειώνεται με αποτέλεσμα να μπορεί από εκείνη τη χρονική στιγμή και έπειτα να κάνει κλήσεις. Στην πράξη, ο μηχανισμός PMG υπολογίζει δύο βαθμούς του γκρι επιπέδου: α) έναν που αφορά το ιστορικό των κλήσεων των χρηστών εντός ενός μικρού χρονικού διαστήματος και β) έναν που αφορά το ιστορικό σε μεγάλο χρονικό διάστημα. Ο συνολικός βαθμός υπολογίζεται με βάση το άθροισμα των δύο επιμέρους βαθμών και αυτός ελέγχεται σε σύγκριση με το όριο που έχει οριστεί, ώστε να αποφασισθεί αν μια κλήση θα απορριφθεί ή όχι. Στην εικόνα που ακολουθεί αποτυπώνεται σχηματικά η λειτουργία του μηχανισμού PMG [DON06]. Εικόνα 4.15: Λειτουργία μηχανισμού PMG Ένα βασικό στοιχείο που αφορά τη λειτουργία του μηχανισμού σχετίζεται με τον ορισμό του ορίου ελέγχου (threshold) στο οποίο βασίζεται η αποδοχή ή απόρριψη μιας κλήσης. Το Οικονομικό Πανεπιστήμιο Αθηνών 118

119 όριο αυτό δε μπορεί να είναι σταθερό, αλλά επιβάλλεται να μεταβάλλεται ώστε να μπορεί να προσαρμοσθεί στις απαιτήσεις που τίθενται από τον εκάστοτε δικτυακό τομέα, αλλά και στις νέες συνθήκες που ενδέχεται να διαμορφώνουν την κίνηση του δικτύου. Ένα σημαντικό μειονέκτημα του μηχανισμού είναι η αδυναμία του να ανταπεξέλθει στις συνεχείς αλλαγές διευθύνσεων που επιχειρούν οι επίδοξοι επιτιθέμενοι, ώστε να καθίσταται δύσκολη η ανίχνευσή τους. Στην περίπτωση αυτή, δεν υπάρχει ιστορικό κλήσεων για το νέο χρήστη (νέα διεύθυνση) με αποτέλεσμα να πρέπει να υπολογιστεί εξ αρχής ο βαθμός του γκρι επιπέδου του χρήστη Αντιμετώπιση SPIT με χρήση βιομετρικών χαρακτηριστικών Μια συνήθης τεχνική των κακόβουλων χρηστών που χρησιμοποιείται πολύ συχνά για να αποτρέψει την ανίχνευσή τους, όπως έχει ήδη αναφερθεί, είναι η συνεχής αλλαγή των ταυτοτήτων τους (π.χ. διευθύνσεων SIP URI). Προκειμένου να αποφευχθεί αυτό, προτείνεται ένας νέος μηχανισμός μέσω του οποίου συνδέεται η ταυτότητα ενός χρήστη με ένα βιομετρικό χαρακτηριστικό του (π.χ. φωνή) έτσι ώστε να καθίσταται δύσκολη η παραποίηση [BAU06]. Τα βιομετρικά χαρακτηριστικά αποθηκεύονται σε κεντρικούς εξυπηρετητές ανεξάρτητους από την εκάστοτε VoIP υποδομή, έτσι ώστε αν ένας χρήστης αλλάξει πάροχο (SIP provider) να υπάρχει ακόμα η δυνατότητα ταυτοποίησής του. Στην εικόνα που ακολουθεί παρουσιάζεται ο προτεινόμενος μηχανισμός [BAU06]. Εικόνα 4.16: Βιομετρικό πλαίσιο αντιμετώπισης του SPIT Όπως φαίνεται και από την εικόνα, η προτεινόμενη αρχιτεκτονική προτείνει τη χρήση ενός συνόλου έμπιστων εξυπηρετητών αυθεντικοποίησης (Α) σε έναν από τους οποίους θα πρέπει ο εκάστοτε χρήστης-πελάτης να καταχωρηθεί ώστε να μπορεί να χρησιμοποιήσει την VoIP υποδομή. Ο σκοπός της συγκεκριμένης διαδικασίας είναι να γίνει η εγγραφή της φωνής του χρήστη και να συνδεθεί αυτή με την ταυτότητα του χρήστη. Η περιγραφή των βημάτων λειτουργίας του μηχανισμού παρουσιάζεται στη συνέχεια. Αρχικά, ο χρήστης καλεί τον εξυπηρετητή, ο οποίος με τη σειρά του ζητά από το χρήστη να επαναλάβει μια φράση που αυτός ορίζει (βήμα 1). Στη συνέχεια, ο εξυπηρετητής αποθηκεύει τη φωνή του χρήστη και του στέλνει τα διαπιστευτήρια που τον αφορούν (π.χ. αν υπάρχει υποδομή PKI τότε αποστέλλεται το δημόσιο κλειδί του εξυπηρετητή) (βήμα 2). Με Οικονομικό Πανεπιστήμιο Αθηνών 119

120 βάση αυτά τα διαπιστευτήρια, ο εκάστοτε χρήστης είναι σε θέση πλέον να καλέσει οποιοδήποτε άλλο χρήστη επιθυμεί χρησιμοποιώντας τα δικά του διαπιστευτήρια (βήμα 3). Ο εκάστοτε καλούμενος επιβεβαιώνει την ταυτότητα του καλούντα ελέγχοντας τα διαπιστευτήρια που αυτός παρουσιάζει (βήμα 4). Το βήμα αυτό ενδέχεται να περιλαμβάνει την επικοινωνία με τους εξυπηρετητές αυθεντικοποίησης. Στο σημείο αυτό, αξίζει να σημειωθεί, ότι οι εξυπηρετητές αυθεντικοποίησης διαθέτουν μηχανισμό αναγνώρισης φωνής προκειμένου να αποφεύγονται και να αποτρέπονται διπλοεγγραφές χρηστών. Ο προτεινόμενος μηχανισμός είναι αρκετά ευέλικτος λόγω του ότι δεν εξαρτάται από την εκάστοτε VoIP υποδομή που χρησιμοποιείται και είναι ανεξάρτητος από τον πάροχο των VoIP υπηρεσιών που ενδέχεται να χρησιμοποιούν οι χρήστες. Ωστόσο, από την άλλη πλευρά, η αρχική διαδικασία αυθεντικοποίησης και η διαδικασία διαχωρισμού των καταγεγραμμένων φωνών μπορεί να χαρακτηριστεί ως χρονοβόρα ή δύσκολη διότι ενδέχεται να υπάρχουν κοινά δείγματα φωνών ή τα δείγματα που έχουν ληφθεί να μην είναι ικανοποιητικά λόγω της ύπαρξης θορύβου. Επιπλέον, ένα θέμα που ανακύπτει από το συγκεκριμένο μηχανισμό είναι ότι οι εξυπηρετητές αυθεντικοποίησης πρέπει να έχουν επαρκείς υπολογιστικούς πόρους ώστε να αποφεύγονται χρονικές καθυστερήσεις ενώ θα πρέπει να υλοποιούν ισχυρά μέτρα ασφάλειας ώστε να διατηρούνται ακέραια τα αποθηκευμένα σε αυτούς δεδομένα. Τέλος, ένα σημαντικό μειονέκτημα του εν λόγω μηχανισμού είναι ότι η καταγραφή της φωνής των χρηστών, χωρίς τη συγκατάθεσή τους, αποτελεί παραβίαση των προσωπικών τους δεδομένων γεγονός το οποίο θα πρέπει να αποφεύγεται SIP SAML Η γλώσσα SAML (Security Assertion Markup Language) χρησιμοποιείται για την έκφραση προσδιορισμών ασφάλειας (security assertions), όπως λ.χ. προσδιορισμούς που αφορούν την αυθεντικοποίηση, τις άδειες χρήσης κλπ [TSC07]. Για παράδειγμα, η γλώσσα SAML χρησιμοποιείται προκειμένου να υλοποιηθεί η υπηρεσία single sign-on μεταξύ εξυπηρετητών που ανήκουν σε διαφορετικούς δικτυακούς τομείς. Με χρήση των SAML προσδιορισμών μπορεί να γίνει κωδικοποίηση πληροφοριών ασφάλειας σε ότι αφορά μια οντότητα και ενδέχεται να περιέχει προσδιορισμούς σχετικούς με υπηρεσίες αυθεντικοποίησης, εξουσιοδότησης κλπ. Με βάση τη γλώσσα SAML, προτείνεται στο [TSC06] μια γενική προσέγγιση για την ενίσχυση των υπηρεσιών αυθεντικοποίησης και εξουσιοδότησης του πρωτοκόλλου SIP. Στην περίπτωση αυτή, προτείνεται μια υπηρεσία αυθεντικοποίησης SIP η οποία στην ουσία παρέχεται από τον εκάστοτε πληρεξούσιο εξυπηρετητή του καλούντα. Έτσι, όλες οι αιτήσεις διέρχονται μέσω της υπηρεσίας αυθεντικοποίησης η οποία: α) εξουσιοδοτεί το χρήστη ανάλογα με τις πρακτικές που ακολουθούνται από τον εκάστοτε δικτυακό τομέα, β) Οικονομικό Πανεπιστήμιο Αθηνών 120

121 δημιουργεί και υπογράφει ψηφιακά ένα μοναδικό πειστήριο αυθεντικοποίησης (authentication token) που αφορούν το χρήστη, και γ) διαμοιράζει τη συγκεκριμένη ταυτότητα στους υπόλοιπους. Εικόνα 4.17: Χρήση γλώσσας SAML στο πρωτόκολλο SIP Η χρήση της SAML παρέχει ισχυρή αυθεντικοποίηση γεγονός που μπορεί να βοηθήσει στην αντιμετώπιση του SPIT [SCH06]. Στην παραπάνω εικόνα [TSC06], παρουσιάζεται ένα παράδειγμα χρήσης του προτεινόμενου μηχανισμού στο πλαίσιο της λειτουργίας του SIP στο οποίο ο χρήστης Α επιχειρεί να καλέσει το χρήστη Β. Η υπηρεσία αυθεντικοποίησης αυθεντικοποιεί το χρήστη Α και προωθεί το μήνυμα (SIP INVITE) στον πληρεξούσιο εξυπηρετητή του χρήστη Β. Το SIP μήνυμα, περιέχει τις σχετικές με την ταυτότητα του χρήστη Α πληροφορίες, ένα σύνολο προσδιορισμών που καθορίζουν τους διάφορους ρόλους (traits) του χρήστη Α, καθώς και ένα δείκτη (point) προς το πιστοποιητικό του δικτυακού τομέα που ανήκει ο Α. Αν ο έλεγχος επιβεβαίωσης των προσδιορισμών του χρήστη Α και του πιστοποιητικού του δικτυακού του τομέα που γίνεται από τον πληρεξούσιο του χρήστη Β είναι θετικός, τότε η κλήση πραγματοποιείται, διαφορετικά το αίτημα απορρίπτεται. Όπως είναι γνωστό, ένα μήνυμα SIP (π.χ. SIP INVITE) ενδέχεται να περάσει από αρκετούς ενδιάμεσους πληρεξούσιους μέχρι να φτάσει στον τελικό του παραλήπτη. Στα ενδιάμεσα αυτά στάδια ενδέχεται να μεσολαβήσει μια οντότητα, η οποία πλαστογραφώντας την ταυτότητα του χρήστη Α, μπορεί να στέλνει μηνύματα προσποιούμενος αυτόν. Ωστόσο, ο προτεινόμενος μηχανισμός δε θα το επιτρέψει διότι ο επιτιθέμενος δε θα διαθέτει το απαραίτητο ιδιωτικό κλειδί ώστε να δημιουργήσει την υπογεγραμμένη τιμή στην επικεφαλίδα που σχετίζεται με την ταυτότητα του χρήστη. Ο προτεινόμενος μηχανισμός είναι αρκετά ισχυρός σε σενάρια ύπαρξης κακόβουλων ενδιάμεσων οντοτήτων για τους εξής λόγους: Οικονομικό Πανεπιστήμιο Αθηνών 121

122 Οι προσδιορισμοί είναι ψηφιακά υπογεγραμμένοι έτσι οποιαδήποτε αλλαγή τους να γίνει άμεσα αντιληπτή. Ο εκάστοτε προσδιορισμός δεν περιέχει καμία δήλωση αυθεντικοποίησης. Ο προσδιορισμός ταυτοποιεί την επιθυμητή βασιζόμενη οντότητα (targeted relying party). Ο προσδιορισμός ταυτοποιεί τον εκδότη του. Δηλώνεται σαφώς το χρονικό διάστημα ισχύς και εγκυρότητάς του. Περιέχει ή αναφέρεται στο πιστοποιητικό του δικτυακού τομέα προέλευσης (originating user s domain s certificate) Διαφοροποιούμενο SIP Ο προτεινόμενος μηχανισμός του διαφοροποιημένου SIP (Differentiated SIP - DSIP) αποτελεί μια επέκταση του πρωτοκόλλου SIP η οποία σκοπό έχει την κατηγοριοποίηση των καλούντων και διαχείριση των κλήσεων ανάλογα της κατηγορίας που αυτοί ανήκουν [MAD06]. Η κατηγοριοποίηση αυτή βασίζεται σε τρεις κατηγορίες: α) λευκές λίστες (έμπιστοι χρήστες), β) μαύρες λίστες (μη έμπιστοι χρήστες) και γ) γκρι λίστες (άγνωστος βαθμός εμπιστοσύνης ως προς τον καλούντα). Πιο συγκεκριμένα: a. Λευκές Λίστες: Στην περίπτωση αυτή ο καλούντας θεωρείται πλήρως έμπιστος και μπορεί να καλέσει χωρίς κανέναν περιορισμό. Στην περίπτωση αυτή το αίτημα του καλούντα δε θα υποστεί επεξεργασία από το πρωτόκολλο DSIP και η κλήση θα διεκπεραιωθεί χωρίς κανέναν έλεγχο. b. Μαύρες Λίστες: Στην περίπτωση αυτή οι καλούντες δεν είναι σε θέση να κάνουν κλήσεις και τα μηνύματα αίτησής τους θα υποστούν επεξεργασία από το πρωτόκολλο DSIP που στην ουσία θα αποτρέψει την επικοινωνία. c. Γκρι Λίστες: Στην περίπτωση αυτή δεν υπάρχει εκ των προτέρων γνώση σε ότι αφορά το βαθμό εμπιστοσύνης για τους καλούντες, οπότε το αίτημα τους σε πρώτο στάδιο διέρχεται από έναν έλεγχο επιβεβαίωσης (verification test). Στην περίπτωση που ο έλεγχος αποτύχει, τότε το αίτημα τους απορρίπτεται. Αν ο έλεγχος είναι θετικός τότε σε περίπτωση που ο καλούμενος είναι διαθέσιμος μπορούν να επικοινωνήσουν μαζί του. Διαφορετικά, αν ο καλούμενος δεν είναι διαθέσιμος δεν έχουν τη δυνατότητα να αφήσουν μήνυμα στον τηλεφωνητή του καλούμενου, αλλά αντίθετα αποθηκεύουν το μήνυμα τους στο δικό τους τηλεφωνητή και παρέχουν οδηγίες στον καλούμενο για το πώς θα ελέγξει και κατ επέκταση λάβει αυτό το μήνυμα. Η λογική στην συγκεκριμένη περίπτωση είναι ανάλογη του μηχανισμού του διαφοροποιημένου πρωτοκόλλου μηνυμάτων ηλεκτρονικού ταχυδρομείου (Differentiated Mail Transfer Protocol [DUA06]). Ο αλγόριθμος λειτουργίας του μηχανισμού DSIP παρουσιάζεται στην παρακάτω εικόνα [MAD06]: Οικονομικό Πανεπιστήμιο Αθηνών 122

123 Εικόνα 4.18: Διαφοροποιημένο SIP Σύστημα Ανίχνευσης SPAM Φωνής Το σύστημα Voice SPAM Detector (VSD) [DAN05] αποτελεί ένα ολοκληρωμένο πλαίσιο αντιμετώπισης του φαινομένου SPIT το οποίο βασίζεται στη σύνθεση διάφορων γενικών anti-spit τεχνικών προκειμένου να καθίσταται ιδιαίτερα αποδοτικό και αποτελεσματικό. Πιο συγκεκριμένα, ο μηχανισμός αποτελεί ένα πολύ-επίπεδο (multi-stage) anti-spit φίλτρο βασιζόμενο κυρίως σε ένα σύστημα φήμης-εμπιστοσύνης, με κύριο χαρακτηριστικό τη χρήση ανατροφοδότησης (feedback) μεταξύ των επιμέρους τεχνικών. Στην εικόνα που ακολουθεί [DAN05], παρουσιάζεται η αρχιτεκτονική του συγκεκριμένου μηχανισμού ενώ στη συνέχεια αναλύονται τα κύρια συστατικά (components) του VSD καθώς και η λειτουργικότητά τους. Εικόνα 4.19: Συστατικά μηχανισμού VSD 1. Φίλτρο Παρουσίας (Presence Filtering): Η λειτουργία του συγκεκριμένου φίλτρου εξαρτάται από την εκάστοτε κατάσταση του καλούμενου και καθορίζεται με διάφορους εκ των προτέρων οριζόμενους κανόνες, όμοιους με τους κανόνες που χρησιμοποιούνται Οικονομικό Πανεπιστήμιο Αθηνών 123

124 στα αναχώματα ασφάλειας (pre-defined firewall rules). Για παράδειγμα, αν η κατάσταση του καλούμενου, μια τυχαία χρονική στιγμή είναι κατειλημμένος, τότε το αίτημα κλήσης απορρίπτεται. 2. Περιορισμός ρυθμού κλήσεων (Rate Limiting): Στο στάδιο αυτό ο αριθμός των εισερχόμενων κλήσεων ελέγχεται με σύγκριση με ένα εκ των προτέρων οριζόμενο όριο αριθμού κλήσεων που λαμβάνονται από ένα χρήστη ή από ένα δικτυακό τομέα. Αν ο αριθμός των κλήσεων ξεπερνά το οριζόμενο όριο τότε η κλήση απορρίπτεται ενώ στην αντίθετη περίπτωση επιτρέπεται. 3. Μαύρες/Λευκές Λίστες: Στην περίπτωση αυτή γίνεται χρήση της γνωστής τεχνικής των λευκών και μαύρων λιστών, όπως αυτά περιγράφηκαν σε προηγούμενη ενότητα (βλ. Ενότητα 4.3.1). 4. Φίλτρο Bayesian: Στο συγκεκριμένο στάδιο μια κλήση ελέγχεται με βάση τη «συμπεριφορά» των εμπλεκόμενων οντοτήτων. Πιο συγκεκριμένα, η συμπεριφορά των οντοτήτων ελέγχεται εντός κάποιου συγκεκριμένου χρονικού διαστήματος και οι μελλοντικές τάσεις υπολογίζονται με βάση τα ιστορικά δεδομένα των αιτήσεων κλήσεων από τον εκάστοτε δικτυακό τομέα που προέρχονται. Ο έλεγχος αν μια οντότητα αποτελεί επίδοξο επιτιθέμενο ελέγχεται με βάση το βαθμό εμπιστοσύνης που αυτή έχει. Έτσι, στο πλαίσιο του προτεινόμενου μηχανισμού η πιθανότητα μια κλήση να είναι SPIT ή όχι υπολογίζεται με βάση το μαθηματικό τύπο: P (C=spam) i=1 n P (x i =spam) k=spam,valid P (C=k) i=1 n P (x i =k) όπου xi αποτελεί τα διάφορα πεδία της επικεφαλίδας του SIP πακέτου. Η απόρριψη ή η αποδοχή της κλήσης εξαρτάται από τον αν η τιμή που προκύπτει από τον παραπάνω τύπο είναι μεγαλύτερη ή μικρότερη σε σύγκριση με ένα όριο αποδοχής, που ορίζεται από την εκάστοτε καλούμενη οντότητα. Το όριο αυτό παρέχεται στο σύστημα από τον καλούμενο μέσω ανατροφοδότησης και καθορίζεται από τις προτιμήσεις αυτού σε ότι αφορά τον αριθμό των νόμιμων κλήσεων ως προς τον αριθμό των SPIT κλήσεων που λαμβάνει. 5. Κοινωνικά Δίκτυα και Φήμη (Social Networks and Reputation): Το τελευταίο στάδιο του προτεινόμενου μηχανισμού βασίζεται στη χρήση και εφαρμογή ενός συστήματος φήμης το οποίο χρησιμοποιείται για να αποτυπώσει τις σχέσεις εμπιστοσύνης μεταξύ των χρηστών. Η αποτύπωση βασίζεται στη δημιουργία ενός δικτύου φήμης για κάθε χρήστη μέσω του οποίου καθορίζεται από ποιόν άλλο χρήστη επιθυμεί ο αρχικός χρήστης να λαμβάνει κλήσεις ή/και μηνύματα VoIP SEAL Η εταιρεία NEC διαθέτοντας πλήθος προϊόντων και υπηρεσιών VoIP αναγνώρισε σχεδόν άμεσα την επερχόμενη απειλή του SPIT με αποτέλεσμα να προτείνει ένα σύστημα ανίχνευσης και αντιμετώπισής του. Το προτεινόμενο σύστημα, VoIP SEAL [NIC-NEC],[QUI06],, Οικονομικό Πανεπιστήμιο Αθηνών 124

125 είναι αρκετά ευέλικτο ώστε να μπορεί να προσαρμοστεί σε νέους τύπους επιθέσεων μέσω της προσθαφαίρεσης νέων φίλτρων ανίχνευσης (filtering modules). Η βασική ιδέα του συστήματος βασίζεται σε δύο στάδια: το πρώτο στάδιο είναι διαφανές (transparent) προς το χρήστη ενώ το δεύτερο απαιτεί την εμπλοκή του [NIC06]. Σε κάθε μία από τις τεχνικές (φίλτρα) που χρησιμοποιούνται στο πρώτο στάδιο δίνεται μια τιμή μεταξύ του [-1,1], όπου όσο μεγαλύτερη είναι αυτή τόσο αυξάνεται η πιθανότητα μια κλήση να είναι SPIT. Το άθροισμα όλων των επιμέρους τιμών συγκρίνεται με μια προκαθορισμένη τιμή (όριο), το οποίο αν είναι μεγαλύτερο τότε η κλήση απορρίπτεται ενώ στην αντίθετη περίπτωση ενεργοποιείται ο έλεγχος του δεύτερου επιπέδου. Ο επιπλέον έλεγχος βασίζεται στη χρήση τεχνικών πρόκλησης απόκρισης, όπως για παράδειγμα ένα τεστ Turing, προκειμένου να παρθεί η σχετική με το χειρισμό της κλήσης απόφαση. Η εμπλοκή του χρήστη ενεργοποιείται όταν καλείται να αποφασιστεί αν θα βάλει τον εκάστοτε καλούντα σε μαύρη λίστα. Εικόνα 4.20: Το σύστημα VoIP SEAL της NEC RFC 4474 Έχει ήδη αναφερθεί ότι ένα από τα σημαντικότερα μέτρα αντιμετώπισης του φαινομένου του SPIT είναι η ισχυρή αυθεντικοποίηση και η -με κάποιο τρόπο- επιβεβαίωση της ταυτότητας του καλούντα [TSC07d]. Στη λειτουργία του πρωτοκόλλου SIP ενδέχεται ένα πακέτομήνυμα να περνά από διάφορους ενδιάμεσους πληρεξούσιους εξυπηρετητές μέχρι να φτάσει στον τελικό παραλήπτη. Αυτό καλείται να αντιμετωπίσει το προτεινόμενο RFC 4474 [RFC 4474]. Μέσω της ενίσχυσης του πρωτοκόλλου SIP που προτείνεται με το RFC 4474 παρέχεται ένας τρόπος να ικανοποιηθεί η απαίτηση αυθεντικοποίησης από άκρο σε άκρο ενώ ταυτόχρονα ο έλεγχος της ταυτότητας παρέχεται από το δικτυακό τομέα του καλούντα. Η ενίσχυση του πρωτοκόλλου SIP παρέχεται με χρήση του RFC 4474 εισάγοντας δύο νέες επικεφαλίδες στα πακέτα SIP: Οικονομικό Πανεπιστήμιο Αθηνών 125

126 1. Πεδίο ταυτότητας (Identity field), όπου χρησιμοποιείται για την παροχή της ψηφιακής υπογραφής και για την επικύρωση της ταυτότητας του αιτούντα την επικοινωνία, 2. Πεδίο Πληροφορίας Ταυτότητας (Identity-Info field), το οποίο χρησιμοποιείται για τη παροχή αναφοράς προς τον εκδότη του εκάστοτε ψηφιακού πιστοποιητικού (Έμπιστη Τρίτη Οντότητα) που διασφαλίζει την ορθότητα της ψηφιακής υπογραφής που περιέχεται στην προηγούμενη επικεφαλίδα. Πέρα από τα προαναφερθέντα πεδία εντός της επικεφαλίδας του SIP, στο πλαίσιο λειτουργίας του RFC, προτείνονται τρεις (3) νέες αποκρίσεις (responses), όμοια με τον τρόπο που ορίζονται οι κλασσικές αποκρίσεις του SIP. Οι νέες αποκρίσεις είναι οι α) Bad Identity- Info, όπου η αναφορά που παρέχεται είναι λανθασμένη ή ανενεργή, β) Unsupported certificate, όπου το πιστοποιητικό δε μπορεί να επικυρωθεί, και γ) Invalid Identity Header, όπου ο εκάστοτε επικυρωτής δε μπορεί να επιβεβαιώσει την υπογραφή που περιέχεται στο πεδίο Identity. Ενώ οι επεκτάσεις που παρέχει το RFC 4474 μπορούν να θεωρηθούν αρκετά χρήσιμες, ωστόσο η αποτελεσματικότητα του στο σύνολο της δεν κρίνεται ικανοποιητική. Η κλιμάκωση του μηχανισμού, όταν κατά τη χρήση του εμπλέκονται πολλοί ενδιάμεσοι πληρεξούσιοι εξυπηρετητές, δεν αποτιμάται ικανοποιητικά, με αποτέλεσμα να προκαλούνται σημαντικές χρονικές καθυστερήσεις σε ότι αφορά τη διεκπεραίωση μιας κλήσης. Επιπρόσθετα, η προσέγγιση του RFC 4474 δεν παρέχει προστασία από επιθέσεις από ενδιάμεσους (man in the middle attacks) λόγω του ότι τα πεδία Identity και Identity-Info δεν προστατεύονται ως προς την ακεραιότητά τους. Εν γένει, η προσέγγιση είναι όμοια με τη χρήση του πρωτοκόλλου TLS όταν αυτό χρησιμοποιείται από άκρο σε άκρο. 4.5 Αξιολόγηση Τεχνικών και Μηχανισμών anti-spit Η επιλογή της κατάλληλης τεχνικής και του πλέον ενδεδειγμένου μηχανισμού για την ανίχνευση και αντιμετώπιση του SPIT εξαρτάται από διάφορους παράγοντες που άπτονται, κυρίως, των συνθηκών λειτουργίας του περιβάλλοντος VoIP για το οποίο θα χρησιμοποιηθούν. Επιπρόσθετα, η επιλογή αυτή δεν πρέπει σε καμία περίπτωση να επηρεάζει τη εύρυθμη και ασφαλή λειτουργία του εκάστοτε συστήματος VoIP και πρέπει να γίνεται με όσο το δυνατό διαφανή τρόπο ως προς τους τελικούς χρήστες, αλλά και την ήδη υπάρχουσα τεχνοδιαμόρφωση του VoIP συστήματος [TSC07b]. Στην ενότητα αυτή θα παρουσιαστούν συγκεντρωτικά τα πλεονεκτήματα και μειονεκτήματα των βασικών τεχνικών anti-spit, που έχουν υιοθετηθεί από το χώρο του anti-spam, θα οριστούν τα βασικότερα κριτήρια πάνω στα οποία θα βασισθεί η αξιολόγηση των προτεινόμενων μέχρι στιγμής μηχανισμών και τέλος θα παρουσιασθεί το πώς οι εν λόγω μηχανισμοί συμμορφώνονται στα κριτήρια αξιολόγησης που ορίστηκαν. Οικονομικό Πανεπιστήμιο Αθηνών 126

127 4.5.1 Πλεονεκτήματα και Mειονεκτήματα Tεχνικών anti-spit Όπως αναφέρθηκε στην ενότητα 4.3, υπάρχει ένα σημαντικό πλήθος βασικών τεχνικών για την ανίχνευση και αντιμετώπιση του SPIT, το σύνολο των οποίων βασίζεται στην υιοθέτηση τεχνικών από το χώρο του anti-spam. Η αποτελεσματικότητα και αποδοτικότητα των τεχνικών αυτών δεν κρίνεται επαρκής για την αντιμετώπιση του SPIT, λόγω των ιδιαίτερων χαρακτηριστικών της τεχνολογίας VoIP και ιδιαίτερα λόγω της σύγχρονης (σε πραγματικό χρόνο real time) φύσης των παρεχόμενων υπηρεσιών. Στον πίνακα που ακολουθεί παρουσιάζονται τα βασικότερα πλεονεκτήματα και μειονεκτήματα των κύριων anti-spit τεχνικών. Πίνακας 4.5: Πλεονεκτήματα-μειονεκτήματα τεχνικών anti-spit Τεχνική Πλεονεκτήματα Μειονεκτήματα Λευκές Λίστες (White Lists) Μαύρες Λίστες (Black Lists) Έλεγχος Περιεχομένου (Content Filtering) Τεχνικές Πρό- κλησης- Απόκρισης (Challenge - Response) Εύκολη υλοποίηση και εγκατάσταση Χρήση είτε σε πελάτη (client) είτε σε εξυπηρετητή Παραμετροποιήσιμη ως προς τις προτιμήσειςαπαιτήσεις του χρήστη Εύκολη υλοποίηση και εγκατάσταση Χρήση είτε σε πελάτη (client) είτε σε εξυπηρετητή Εύκολη εγκατάσταση Εξάρτηση αποτελεσματικότητας από την εκάστοτε διαμόρφωσή τους Διαχωρισμός ανθρώπου και αυτοματοποιημένου λογισμικού (software bot) Υψηλή αποτελεσματικότητα για την πρόληψη SPIT Μη αποδοτική όταν χρησιμοποιείται αυτόνομα Απαίτηση συνεχούς ανανέωσης Ευπαθής σε επιθέσεις πλαστοπροσωπίας Υψηλά ποσοστά λαθών λανθασμένης αποδοχής (false positives) Ευπαθής σε επιθέσεις πλαστοπροσωπίας Ανώνυμες ή/και άγνωστες αιτήσεις επικοινωνίας θα απορρίπτονται Υψηλά ποσοστά λαθών λανθασμένης αποδοχής (false positives) Απαίτηση συχνής ανανέωσης Δυσκολία εφαρμογής για έλεγχο τηλεφωνικών κλήσεων Συνεχής ενημέρωση Οι κανόνες ανίχνευσης είναι στατικοί και δεν ενημερώνονται αυτόματα Υψηλά ποσοστά λαθών λανθασμένης αποδοχής (false positives) Μη βολική τεχνική για τους χρήστες Μη αποδοτική όταν χρησιμοποιείται αυτόνομα Οι προκλήσεις πρέπει να ενημερώνονται αρκετά συχνά Οικονομικό Πανεπιστήμιο Αθηνών 127

128 Τεχνική Πλεονεκτήματα Μειονεκτήματα Αντιμετώπιση προβλήματος εισαγωγής (επικοινωνίας για πρώτη φορά) Με βάση τα στοιχεία του πίνακα, παρέχεται η δυνατότητα να επιλεγούν οι τεχνικές εκείνες οι οποίες θα μπορούν εύκολα να προσαρμοσθούν στις ανάγκες και απαιτήσεις του εκάστοτε VoIP συστήματος για το οποίο θα χρησιμοποιηθούν έτσι ώστε η ανίχνευση και αντιμετώπιση των ενδεχόμενων SPIT μηνυμάτων/κλήσεων να είναι όσο το δυνατόν αποδοτικότερη και αποτελεσματικότερη Ταξινόμηση Μηχανισμών Πριν την αξιολόγηση των anti-spit μηχανισμών είναι χρήσιμο να γίνει μια ταξινόμηση αυτών με βάση το ρόλο και την εμπλοκή τους στη διαχείριση του φαινομένου SPIT [MAR07]. Όπως έχει αναφερθεί, η διαχείριση του SPIT εμπεριέχει τρία (3) διακριτά στάδια: (α) την πρόληψη (prevention), όπου στόχος είναι να αποφευχθεί ένα SPIT μήνυμα ή/και κλήση να μεταδοθεί πέρα από το δικτυακό τομέα του αποστολέα (source domain), (β) την ανίχνευση (detection), όπου σκοπός είναι να γίνει ανίχνευση του SPIT στο δικτυακό τομέα του καλούμενου/παραλήπτη, και (γ) το χειρισμό (handling), όπου ο στόχος είναι να οριστούν και εφαρμοσθούν εκείνες οι ενέργειες που είναι απαραίτητες για την αποτελεσματικότερη αντιμετώπιση μιας SPIT επίθεσης. Επομένως, οι μηχανισμοί θα ταξινομηθούν ανάλογα με το πώς εμπλέκονται σε αυτά τα στάδια διαχείρισης του SPIT. Επιπρόσθετα, η προτεινόμενη ταξινόμηση λαμβάνει υπόψη της και κατ επέκταση επηρεάζεται και από τις συνθήκες (context) κάτω από τις οποίες ο κάθε μηχανισμός εφαρμόζεται και καλείται να λειτουργήσει. Έτσι, λοιπόν, η χρήση ενός μηχανισμού ο οποίος χρησιμοποιεί τεχνικές-πρακτικές που περιορίζουν τις επιθέσεις SPIT εντός του δικτυακού τομέα του αποστολέα, προφανώς δρα προληπτικά περιορίζοντας τις ενδεχόμενες επιπτώσεις όσο το δυνατόν περισσότερο. Από την άλλη, ένας μηχανισμός ο οποίος λαμβάνει υπόψη τις προτιμήσεις και τις απαιτήσεις του χρήστη δρα σε επίπεδο ανίχνευσης και αντιμετώπισης, επομένως μπορεί να ταξινομηθεί στο ανάλογο στάδιο. Περαιτέρω, κάποια από τα στοιχεία στα οποία η ταξινόμηση των μηχανισμών θα βασισθεί είναι τα εξής: Η χρήση τεχνικών στο πλαίσιο λειτουργίας ενός μηχανισμού που βασίζονται σε συστήματα φήμης, σε σχέσεις εμπιστοσύνης μεταξύ των εμπλεκομένων σε μια επικοινωνία μερών, η απόδοση ρόλων και χαρακτηριστικών για τους χρήστες κλπ., δρουν κυρίως, στο πλαίσιο πρόληψης και ανίχνευσης άρα ο εκάστοτε μηχανισμός ταξινομείται στο στάδιο πρόληψης SPIT μηνυμάτων/κλήσεων. Όταν ένας μηχανισμός λαμβάνει υπόψη του τις απαιτήσεις και προτιμήσεις των χρηστών τότε διευκολύνει σε μεγάλο βαθμό την αποτελεσματικότερη ανίχνευση και Οικονομικό Πανεπιστήμιο Αθηνών 128

129 αντιμετώπιση SPIT επιθέσεων, άρα ο μηχανισμός ταξινομείται στις κατηγορίες ανίχνευσης και αντιμετώπισης. Οι τελικοί χρήστες, συνήθως, δεν έχουν τις απαραίτητες τεχνικές γνώσεις και ικανότητες για την εγκατάσταση και το χειρισμό του εκάστοτε μηχανισμού. Έτσι, εναποθέτουν την ευθύνη στους εξυπηρετητές των παρόχων VoIP στους οποίους είναι μέλη. Στην κατηγορία αυτή συνήθως ορίζονται μηχανισμοί που είναι υπεύθυνοι για την ανίχνευση SPIT μηνυμάτων/κλήσεων. Η απαίτηση από πλευράς παρόχων VoIP υπηρεσιών αυστηρών κανόνων αυθεντικοποίησης με σκοπό την παροχή υπηρεσιών αυθεντικοποίησης, εξουσιοδότησης και λογιστικής (authentication, authorization and accountability (AAA) services) διευκολύνει σε μεγάλο βαθμό την πρόληψη SPIT επιθέσεων. Επομένως, μηχανισμοί που παρέχουν τέτοιου είδους υπηρεσίες εμπεριέχονται στην κατηγορία της πρόληψης. Με βάση τα παραπάνω η προτεινόμενη ταξινόμηση των μηχανισμών παρουσιάζεται στον παρακάτω πίνακα. Πίνακας 4.6: Ταξινόμηση anti-spit μηχανισμών AVA Μηχανισμός Πρόληψη Ανίχνευση Αντιμετώπιση Anti-Spit Entity Reputation/Charging DAPES PGM Biometrics RFC 4474 SIP SAML DSIP VoIP Seal VSD Κριτήρια Αξιολόγησης μηχανισμών anti-spit Η αποδοτική αντιμετώπιση του φαινομένου του SPIT απαιτεί την εμπεριστατωμένη και ολοκληρωμένη μελέτη και αξιολόγηση των προτεινόμενων μηχανισμών, έτσι ώστε να καταστεί πιο ομαλή η υιοθέτηση των VoIP συστημάτων και των υπηρεσιών που αυτά προσφέρουν. Κρίνεται απαραίτητη, λοιπόν, η συγκριτική αποτίμηση των μηχανισμών ώστε να εξετασθεί τόσο η αποτελεσματικότητα και αποδοτικότητά τους, όσο και η προσαρμοστικότητά τους στις απαιτήσεις που τίθενται από το εκάστοτε VoIP περιβάλλον. Στη συγκεκριμένη ενότητα, λοιπόν, προτείνεται και παρουσιάζεται ένα σύνολο κριτηρίων με βάση τα οποία θα αξιολογηθούν οι anti-spit μηχανισμοί [MAR07]. Τα κριτήρια αυτά βασίζονται σε ποσοτικά και ποιοτικά χαρακτηριστικά των συστημάτων VoIP με ποιο τρόπο οι μηχανισμοί επηρεάζουν την ποιότητα των παρεχόμενων υπηρεσιών, πώς υπολογίζεται ο Οικονομικό Πανεπιστήμιο Αθηνών 129

130 ρυθμός σφαλμάτων λανθασμένης απόρριψης (false negative) ή/και λανθασμένης αποδοχής (false positive) κλπ. Προκειμένου να οριστούν τα κριτήρια τα οποία θα μας βοηθήσουν στην αξιολόγηση των μηχανισμών είναι χρήσιμο να παρουσιάσουμε μια λίστα παραμέτρων με βάση την οποία θα αναγνωρισθούν οι βασικές εκείνες ιδιότητες τις οποίες θα πρέπει να πληρούν οι υπό μελέτη μηχανισμοί. Οι παράμετροι αυτές και κατ επέκταση τα κριτήρια αξιολόγησης και αποτίμησης βασίζονται σε βασικές ερωτήσεις οι οποίες προκύπτουν ύστερα από την ενδελεχή μελέτη των μηχανισμών, τις απαιτήσεις εύρυθμης και αποδοτικής λειτουργίας των VoIP συστημάτων, στα αναμενόμενα αποτελέσματα που άπτονται της χρήσης του μηχανισμού κλπ. Στον πίνακα, που ακολουθεί, παρουσιάζονται οι βασικές παράμετροι σε συνδυασμό με τα ερωτήματα που προέκυψαν και στα οποία βασίστηκε κατά κύριο λόγο ο ορισμός των προτεινόμενων κριτηρίων. Πίνακας 4.7: Παράμετροι ορισμού των κριτηρίων αξιολόγησης των μηχανισμών anti-spit Παράμετρος Υιοθέτηση μηχανισμού (Adoption): Η επιτυχία ή αποτυχία ενός μηχανισμού εξαρτάται σε μεγάλο βαθμό από την προσπάθεια που απαιτείται προκειμένου να τεθεί σε χρήση Φόρτος(Burden): Ο μηχανισμός πρέπει να θέτει κάποιο φόρτο τόσο για τους νόμιμους χρήστες όσο και για τους spitters. Ισχύς μηχανισμού (robustness): Ο μηχανισμός πρέπει να είναι αρκετά ισχυρός ώστε να μπορεί να ανταπεξέλθει σε νέους τύπους επιθέσεων SPIT. Αποτελεσματικότητα (Effectiveness): Η Ερωτήματα- Σχόλια Τι προσπάθεια απαιτείται για το χρήστη προκειμένου να χρησιμοποιήσει το μηχανισμό; Τι προσπάθεια απαιτείται από τους παρόχους VoIP προκειμένου να εγκαταστήσουν, διαμορφώσουν και θέσουν σε λειτουργία το μηχανισμό; Ποιες οι επιπτώσεις από τη χρήση του μηχανισμού τόσο στους νόμιμους χρήστες όσο και στους spitters; Ποιες οι απαιτήσεις από άποψη υπολογιστικών και δικτυακών πόρων; Τι απαιτείται έτσι ώστε οι χρήστες και οι πάροχοι να έχουν πλεονεκτήματα από τη χρήση του μηχανισμού; Ποιες οι επιπτώσεις αν όλοι οι χρήστες και οι πάροχοι υπηρεσιών VoIP υιοθετήσουν τον εκάστοτε μηχανισμό; Ποιο το οικονομικό κόστος από τη χρήση του μηχανισμού; Ποιο το κόστος σε υπολογιστικούς και δικτυακούς πόρους από τη χρήση του μηχανισμού; Ποια η αποτελεσματικότητα σε ότι αφορά την αναγνώριση SPIT μηνυμάτων/κλήσεων από το μηχανισμό; Πόσο εύκολα μπορούν οι κακόβουλοι χρήστες να ξεπεράσουν το μηχανισμό; Πώς η ύπαρξη του μηχανισμού επηρεάζει τα νόμιμα μηνύματα ή/και κλήσεις; Πόσο γρήγορα γίνεται η ανίχνευση ενός SPIT μηνύματος ή/και κλήσης; Οικονομικό Πανεπιστήμιο Αθηνών 130

131 Παράμετρος αποτελεσματικότητα του μηχανισμού εξαρτάται από πολλές παραμέτρους και προκειμένου να είναι ικανοποιητική πρέπει να ικανοποιούνται οι περισσότερες από αυτές. Ασφάλεια-Ιδιωτικότητα (Security- Privacy): Ο μηχανισμός δεν πρέπει να επηρεάζει τα χαρακτηριστικά ασφάλειας/ιδιωτικότητας όταν χρησιμοποιείται Ερωτήματα- Σχόλια Πόσο ακριβής είναι η ανίχνευση (ποσοστό λανθασμένης απόρριψης και ποσοστό λανθασμένης αποδοχής); Κρίνεται ο μηχανισμός αξιόπιστος στο πλαίσιο λειτουργίας μιας υποδομής VoIP; Πώς επηρεάζεται η εκάστοτε δικτυακή υποδομή (τεχνοδιαμόρφωση, απόδοση) από τη χρήση του μηχανισμού; Πώς επηρεάζεται η απόδοση του μηχανισμού όταν αλλάζει η δικτυακή υποδομή (π.χ. σχέση αποτελεσματικότητας -κλιμάκωσης) του εκάστοτε VoIP παρόχου ή χρήστη; Πώς μεταβάλλεται η παράμετρος της διαθεσιμότητας από τη χρήση του μηχανισμού; Επηρεάζει η χρήση του μηχανισμού τα ήδη υπάρχοντα μέτρα ασφάλειας που έχουν εγκατασταθεί στην υποδομή VoIP; Πώς συνεργάζεται ο μηχανισμός με τα υπάρχοντα μέτρα ασφάλειας και πώς επηρεάζεται η απόδοση των παρεχόμενων υπηρεσιών; Επηρεάζει ο μηχανισμός τις απαιτήσεις και μέτρα εξασφάλισης της ιδιωτικότητας που έχουν οριστεί για την εκάστοτε υποδομή VoIP; Ποιες οι επιπτώσεις από τη χρήση του μηχανισμού σε ότι αφορά τη διαθεσιμότητα των πόρων της υποδομής; Με χρήση των παραπάνω παραμέτρων ορίζονται τα κριτήρια αξιολόγησης των μηχανισμών. Τα προτεινόμενα κριτήρια καθώς και μια περιγραφή τους παρουσιάζεται στις επόμενες παραγράφους [MAR07]: Ποσοστό SPIT κλήσεων/μηνυμάτων που αναγνωρίσθηκαν και αντιμετωπίστηκαν: Στη συγκεκριμένη περίπτωση εξετάζεται ο αριθμός (ποσοστό) των κλήσεων ή/και μηνυμάτων SPIT τα οποία, ανιχνεύθηκαν, στο δικτυακό τομέα είτε του αποστολέα είτε του παραλήπτη, καθώς και πώς αυτά τελικά αντιμετωπίστηκαν στο πλαίσιο λειτουργίας του κάθε μηχανισμού. Αξιοπιστία: Το συγκριμένο κριτήριο αποτιμά την αξιοπιστία του κάθε μηχανισμού σε ότι αφορά τη σωστή ανίχνευση SPIT μηνυμάτων ή/και κλήσεων. Η συγκεκριμένη παράμετρος, προφανώς, έχει σημασία μόνο για τους μηχανισμούς ανίχνευσης SPIT και βασίζεται σε μετρήσεις που άπτονται, κυρίως, της λανθασμένης απόρριψης (false negative) και λανθασμένης αποδοχής (false positive) μηνυμάτων ή/και κλήσεων. Οικονομικό Πανεπιστήμιο Αθηνών 131

132 Αμεσότητα: Η απαίτηση επικοινωνίας σε πραγματικό χρόνο που χαρακτηρίζει την παροχή υπηρεσιών VoIP σε συνδυασμό με το ότι το φαινόμενο SPIT σχετίζεται με τη μαζική αποστολή μηνυμάτων ή/και αποπειρών εγκαθίδρυσης κλήσεων, απαιτεί την άμεση αντίδραση του εκάστοτε χρησιμοποιούμενου μηχανισμού. Σε αντίθετη περίπτωση, ενδέχεται να υπάρχει σημαντική καθυστέρηση διεκπεραίωσης της κλήσης, γεγονός που κρίνεται αρνητικά από τους εξουσιοδοτημένους-νόμιμους χρήστες. Γίνεται σαφές επομένως, ότι το κριτήριο της αμεσότητας είναι ιδιαίτερα σημαντικό σε περιπτώσεις που ο μηχανισμός αποτελείται από μεγάλο αριθμό επιμέρους τεχνικών, σε περιπτώσεις συστημάτων φήμης και σε συστήματα που ο χρησιμοποιούμενος αλγόριθμος είναι αρκετά απαιτητικός (π.χ. σε περιπτώσεις ελέγχου των περιεχομένων των μηνυμάτων) κλπ. Εμπλοκή χρήστη: Η χρήση οποιουδήποτε μηχανισμού πρέπει να είναι όσο το δυνατόν διαφανής (transparent) ως προς τον τελικό χρήστη έτσι ώστε να διασφαλίζεται η κατ ελάχιστο εμπλοκή αυτού. Επομένως, θα πρέπει ο μηχανισμός να μπορεί να ενσωματώνει από το αρχικό στάδιο χρησιμοποίησής του τις προτιμήσεις και τις απαιτήσεις των χρηστών προκειμένου να είναι σε θέση να ενεργήσει αυτοβούλως και χωρίς την εμπλοκή των χρηστών. Κατανάλωση πόρων στους παρόχους: Στην περίπτωση που κάποιος πάροχος υπηρεσιών VoIP χρησιμοποιήσει κάποιον μηχανισμό anti-spit, οι πόροι που θα πρέπει να καταναλώνονται για την αποδοτική και εύρυθμη λειτουργία του μηχανισμού πρέπει να αποτιμώνται συνεχώς, να προσδιορίζονται με ακρίβεια και εν τέλει να περιορίζονται σε ικανοποιητικά επίπεδα. Η αποτίμηση της κατανάλωσης πόρων καθίσταται σημαντικός παράγοντας για τους παρόχους λόγω του ότι όσο μεγαλύτερη η VoIP υποδομή, τόσο οι απαιτήσεις σχετικά με τη διαθεσιμότητα και ποιότητα των παρεχόμενων υπηρεσιών αυξάνεται. Έτσι, σε συνάρτηση της φύσης του εκάστοτε χρησιμοποιούμενου μηχανισμού, θα πρέπει να διασφαλίζονται η αποδοτική και λογική διαχείριση υπολογιστικών και δικτυακών πόρων ώστε να αποφεύγεται τυχόν δυσλειτουργία των συστημάτων και κατ επέκταση άρνηση των παρεχόμενων υπηρεσιών. Κόστος υλοποίησης: Η συγκεκριμένη ιδιότητα αφορά το απαραίτητο κόστος που απαιτείται προκειμένου ένας πάροχος να εγκαταστήσει, διαμορφώσει και τελικά χρησιμοποιήσει ένα μηχανισμό anti-spit. Το κόστος αυτό ενδέχεται να αφορά το κόστος αγοράς του απαραίτητου υλισμικού (υπολογιστικών συστημάτων και δικτυακού εξοπλισμού) και λογισμικού καθώς και το κόστος εκπαίδευσης των χρηστών του παρόχου σε ότι αφορά τη σωστή χρήση και διαχείριση του μηχανισμού. Ανεκτικότητα: Το συγκεκριμένο ποιοτικό κριτήριο αφορά το πόσο ισχυρός είναι ο χρησιμοποιούμενος μηχανισμός προκειμένου να είναι σε θέση να ανταπεξέλθει σε ενδεχόμενες επιθέσεις από κακόβουλους χρήστες. Είναι προφανές ότι οι μηχανισμοί που ενσωματώνουν πλήθος τεχνικών για τη λειτουργία τους (mulit-stage mechanisms) θα είναι πιο ισχυροί σε αντίθεση με τους απλούς μηχανισμούς (one stage mechanisms). Οικονομικό Πανεπιστήμιο Αθηνών 132

133 Εξασφάλιση ιδιωτικότητας: Η συγκεκριμένη παράμετρος αφορά τα μέτρα που πρέπει να ενσωματώνει ο μηχανισμός ώστε να διασφαλίζεται η απαίτηση της ιδιωτικότητας των χρηστών. Ενώ οι χρήστες στο σύνολο των περιπτώσεων παρέχουν τη συναίνεσή τους, σε ότι αφορά τη διατήρηση των προσωπικών τους δεδομένων, η χρησιμοποίηση του εκάστοτε μηχανισμού πρέπει να γίνεται με τρόπο που τα δεδομένα που αυτός διατηρεί και επεξεργάζεται προστατεύονται επαρκώς ως προς την αποκάλυψή τους. Επιπρόσθετα, όταν ο μηχανισμός για την αποδοτική του λειτουργία λαμβάνει υπόψη του τις προτιμήσεις των χρηστών, αυτές θα πρέπει να θεωρούνται ως εμπιστευτικά δεδομένα και θα πρέπει επίσης να εξασφαλίζονται ως προς την ιδιωτικότητά τους. Κλιμάκωση: Το συγκεκριμένο κριτήριο είναι ιδιαίτερα σημαντικό και αφορά το βαθμό κλιμάκωσης του μηχανισμού. Τα συστήματα VoIP στο άμεσο μέλλον αναμένεται να επεκταθούν σε μεγάλο βαθμό και να χρησιμοποιούνται από περισσότερους χρήστες. Γίνεται φανερό, επομένως, ότι απαιτείται η δυνατότητα κλιμάκωσης του εκάστοτε μηχανισμού ώστε να μπορεί να ανταπεξέλθει σε αυτές τις νέες συνθήκες που αναμένεται να διαμορφωθούν. Υιοθέτηση: Η εν λόγω παράμετρος σχετίζεται με το πόσο εύκολα μπορεί να τεθεί σε χρήση και σε πλήρη λειτουργία ο εκάστοτε μηχανισμός. Η παράμετρος αυτή εξαρτάται σε μεγάλο βαθμό από τις προσπάθειες που απαιτούνται από τους χρήστες ή/και τους παρόχους να τον εγκαταστήσουν, να τον θέσουν σε σωστή λειτουργία και τελικά να το χρησιμοποιήσουν με ευκολία και επιτυχία, αλλά και από το πόσο εύκολα είναι σε θέση να προσαρμοσθεί στο εκάστοτε περιβάλλον VoIP που θα τον ενσωματώσει. Διαθεσιμότητα: Το κριτήριο της διαθεσιμότητας σχετίζεται με το πόσο και με ποιο τρόπο επηρεάζεται η διαθεσιμότητα των παρεχόμενων υπηρεσιών VoIP όταν κάποιος από τους μηχανισμούς anti-spit χρησιμοποιείται. Στον παρακάτω πίνακα (βλ. Πίνακας 4.8), παρουσιάζεται το πώς οι μηχανισμοί που αναλύθηκαν στην ενότητα 4.4 συμμορφώνονται και αξιολογούνται με χρήση των κριτηρίων που ορίστηκαν προηγουμένως. Η συμπλήρωση του παραπάνω πίνακα βασίζεται κυρίως στο πώς οι μηχανισμοί anti-spit προσμετρούν και αντιμετωπίζουν τα κριτήρια που παρουσιάσθηκαν προηγουμένως. Αυτό βασίζεται στην εμπεριστατωμένη και ολοκληρωμένη μελέτη των μηχανισμών καθώς και την εμπειρία μας, σε ότι αφορά το φαινόμενο SPIT. Οι μετρήσεις σε πραγματικές συνθήκες δεν ήταν δυνατόν να πραγματοποιηθούν, λόγω του ότι οι μηχανισμοί, στο σύνολό τους, αποτελούν θεωρητικά πλαίσια και δεν παρέχουν ουσιαστικές λεπτομέρειες ως προς το πώς θα μπορούσαν να υλοποιηθούν και να ενσωματωθούν σε πραγματικά περιβάλλοντα VoIP. Επιπρόσθετα, λόγω του ότι το φαινόμενο του SPIT είναι αρκετά νέο και δεν έχουν εκδηλωθεί πραγματικά περιστατικά εμφάνισης SPIT μηνυμάτων Οικονομικό Πανεπιστήμιο Αθηνών 133

134 ή/και κλήσεων (SPIT incidents) 8, η μέτρηση πραγματικών δεδομένων καθίσταται δύσκολη [MAR07]. Η έλλειψη αυτή, επομένως, δυσχεραίνει τη συλλογή των απαραίτητων εκείνων μεγεθών που θα μας επιτρέψουν την ποσοτική μελέτη τόσο του φαινομένου SPIT, όσο και της αποτελεσματικότητας των προτεινόμενων μηχανισμών. Πίνακας 4.8: Αξιολόγηση Μηχανισμών anti-spit με βάση τα οριζόμενα κριτήρια Μηχανισμοί Anti-SPIT Κριτήρια Ποσοστό SPIT κλήσεων/μηνυμάτων που αναγνωρίσθηκαν και αντιμετωπίστηκαν: Αξιοπιστία Αμεσότητα Εμπλοκή Χρήστη Κατανάλωση Πόρων Ανεκτικότητα Εξασφάλιση Ιδιωτικότητας AVA Anti-Spit Entity Reputation/Charging DAPES PMG Biometrics RFC 4474 SIP SAML DSIP VoIP Seal VSD Κλιμάκωση Υιοθέτηση Διαθεσιμότητα 4.6 Σύνοψη Στο κεφάλαιο αυτό, έγινε μια επισκόπηση των βασικών τεχνικών που χρησιμοποιούνται για την αντιμετώπιση του SPIT σε περιβάλλοντα VoIP. Οι εν λόγω τεχνικές υιοθετούμενες από την περίπτωση του SPAM στο ηλεκτρονικό ταχυδρομείο αποτελούν τα βασικά συστατικά (basic components) κάποιων πιο ολοκληρωμένων προσεγγίσεων και μηχανισμών για την αντιμετώπιση και διαχείριση του SPIT. Επιπρόσθετα, παρουσιάστηκε η αξιολόγηση και αποτίμηση των υπαρχόντων τεχνικών και μηχανισμών, βάσει της οποίας αναδεικνύεται με σαφήνεια η ανάγκη ορισμού ενός πιο γενικού, ολιστικού και πλήρους πλαισίου αντιμετώπισης και διαχείρισης του SPIT. 8 Μεμονωμένα περιστατικά διαφημιστικών κλήσεων ή/και μηνυμάτων υπάρχουν και έχουν καταγραφεί. Ωστόσο, τέτοια περιστατικά δεν αφορούν SPIT επιθέσεις λόγω της κύριας ιδιότητας του φαινομένου που σχετίζεται με τη μαζικότητα αποστολής μηνυμάτων ή προσπαθειών δημιουργίας κλήσεων. Οικονομικό Πανεπιστήμιο Αθηνών 134

135 5 Ανάλυση Απειλών και Αδυναμιών Πρωτοκόλλου SIP Computers are useless. They can only give you answers Pablo Picasso 5 Ανάλυση Απειλών και Αδυναμιών Πρωτοκόλλου SIP 5.1 Εισαγωγή Μια από τις νέες απειλές, σχετικά με τις τεχνολογίες VoIP, όπως παρουσιάστηκε στο κεφάλαιο 3, αποτελεί το SPIT (SPAM over Internet Telephony). Ενώ, μέχρι στιγμής, το εν λόγω φαινόμενο δεν αντιμετωπίζεται με τη δέουσα προσοχή λόγω έλλειψης (μαζικών) πραγματικών περιστατικών εκδήλωσης SPIT περιστατικών, ωστόσο στο σύντομο μέλλον αναμένεται να λάβει ανησυχητικές διαστάσεις. Κρίνεται αναγκαία, επομένως, η ουσιαστική και ενδελεχής μελέτη του SPIT και η ανεύρεση τρόπων και τεχνικών ουσιαστικής, αποδοτικής και αποτελεσματικής του διαχείρισης. Ως πρώτο και ουσιαστικό βήμα προς αυτή τη κατεύθυνση, αποτελεί η ανάλυση των απειλών και αδυναμιών τις οποίες ο ενδεχόμενος κακόβουλος χρήστης μπορεί να εκμεταλλευτεί με στόχο να εκδηλώσει SPIT επιθέσεις. Έτσι, λοιπόν, στο κεφάλαιο αυτό, θα παρουσιαστεί η λεπτομερής ανάλυση των αδυναμιών και απειλών που αντιμετωπίζει το πρωτόκολλο SIP, υπό την οπτική του πόσο διευκολύνει την εκδήλωση επιθέσεων τύπου SPIT. Παράλληλα, οι αναγνωριζόμενες αδυναμίες θα αποτιμηθούν και αξιολογηθούν, τόσο σε σχέση με την πιθανότητα εκδήλωσής τους, όσο και τις ενδεχόμενες επιπτώσεις που η πραγματοποίησή τους θα επιφέρει στην ομαλή και εύρυθμη λειτουργία των VoIP συστημάτων. 5.2 Το πρωτόκολλο SIP και το SPIT Ένα από τα θεμελιώδη και ουσιαστικά ερωτήματα που διέπουν την όλη διαδικασία διαχείρισης του SPIT, είναι γιατί οι περισσότερες anti-spit προσεγγίσεις περιορίζονται στη φάση της σηματοδοσίας; Οι απαντήσεις στο ερώτημα αυτό ποικίλλουν και βασίζονται τόσο Οικονομικό Πανεπιστήμιο Αθηνών 135

136 στα ιδιαίτερα χαρακτηριστικά λειτουργίας της τεχνολογίας VoIP όσο και στο φαινόμενο SPIT αυτό καθ αυτό. Πιο συγκεκριμένα, όπως έχει ήδη αναφερθεί στο κεφάλαιο 2, η λειτουργία της τεχνολογίας VoIP βασίζεται σε δύο διακριτές μεταξύ τους φάσεις: τη φάση της σηματοδοσίας (signaling), όπου αναφέρεται στη διαδικασία εγκαθίδρυσης της συνόδου μεταξύ των επικοινωνούντων οντοτήτων, και της φάσης αποστολής των πολυμέσων (multimedia streams, π.χ. φωνής), όπου αναφέρεται στο κυρίως και ουσιαστικό τμήμα της επικοινωνίας (δηλαδή τη συνομιλία). Το γεγονός αυτό, σε συνδυασμό με τη σύγχρονη και σε πραγματικό χρόνο φύση της τεχνολογίας VoIP, καθιστά αναγκαία την ανίχνευση και αντιμετώπιση του SPIT κατά τη φάση της σηματοδοσίας [DRI07]. Αν υποτεθεί, ότι ένα SPIT μήνυμα ή/και κλήση δεν αναγνωρισθεί κατά τη φάση της σηματοδοσίας, τότε αυτό έχει φτάσει στον εκάστοτε παραλήπτη και, επομένως, ο ενδεχόμενος κακόβουλος χρήστης έχει επιτύχει το σκοπό του. Επιπρόσθετα, η αναγνώριση μιας κλήσης SPIT κατά της φάση της μετάδοσης των πολυμέσων, απαιτεί διαδικασίες και τεχνικές που άπτονται της αναγνώρισης του περιεχομένου των πολυμέσων (φωνής). Οι τεχνικές αυτές, στην πλειονότητα των περιπτώσεων, είναι ιδιαίτερα απαιτητικές ως προς την κατανάλωση υπολογιστικών πόρων ενώ από την άλλη εισάγουν σημαντικό χρόνος καθυστέρησης. Το γεγονός αυτό αντιτίθεται στη βασική απαίτηση λειτουργίας της τεχνολογίας VoIP που είναι η σε πραγματικό χρόνο επικοινωνία. Στη συνέχεια συνοψίζονται τα βασικότερα πλεονεκτήματα που σχετίζονται με την αντιμετώπιση και διαχείριση του φαινομένου SPIT κατά τη φάση της σηματοδοσίας: Ταχύτητα: Η ανίχνευση μιας SPIT κλήσης ή/και μηνύματος είναι πολύ πιο σύντομη χρονικά κατά τη φάση της σηματοδοσίας. Απαιτήσεις: Οι πόροι που απαιτούνται κατά τη φάση της σηματοδοσίας είναι σημαντικά λιγότεροι συγκριτικά με τη φάση αποστολής των πολυμέσων. Απλότητα: Η ανίχνευση είναι πολύ πιο απλή σε σχέση με τη φάση μετάδοσης της φωνής, κατά την οποία απαιτούνται σύνθετοι και πολύπλοκοι αλγόριθμοι αναγνώρισης του περιεχομένου. Ευκολία χρήσης και εμπλοκή του τελικού χρήστη (Usability): Η ανίχνευση κατά τη φάση της μετάδοσης της φωνής απαιτεί την άμεση ή έμμεση εμπλοκή του χρήστη, αφού η συσκευή που χρησιμοποιεί έχει λάβει την εκάστοτε SPIT κλήση ή/και μήνυμα και ο χρήστης έχει ενοχληθεί. Διατήρηση Ιδιωτικότητας: Ο έλεγχος του περιεχομένου μιας κλήσης (συνομιλίας) εγείρει ζητήματα σχετικά με την προστασία προσωπικών δεδομένων των χρηστών, γεγονός που δεν λαμβάνει χώρα αν η ανίχνευση SPIT κλήσεων γίνεται κατά τη φάση της σηματοδοσίας. Οικονομικό Πανεπιστήμιο Αθηνών 136

137 Δεδομένου, λοιπόν, ότι είναι προτιμότερο και αποδοτικότερο η ανίχνευση και κατ επέκταση αντιμετώπιση του φαινομένου του SPIT, να λαμβάνει χώρα κατά τη φάση της σηματοδοσίας, το ενδιαφέρον μας, στη συνέχεια, επικεντρώνεται στο βασικό πρωτόκολλο σηματοδοσίας, το SIP. Ο βασικότερος λόγος για αυτό είναι ότι το πρωτόκολλο SIP τείνει να αποτελέσει το πρότυπο (standard) πρωτόκολλο σηματοδοσίας που χρησιμοποιείται στις υποδομές VoIP και, κυρίως, σε σχέση με το πρωτόκολλο H.323 [ΝΑΚ07]. Επιπρόσθετα, τα ιδιαίτερα χαρακτηριστικά του SIP, όπως η ευκολία χρήσης, η ευελιξία του, η επίτευξη διαλειτουργικότητας και συνέργειάς του με άλλα πρωτόκολλα, ενισχύουν σε μεγάλο βαθμό την περαιτέρω διείσδυση και χρήση του [JOH04]. Εν κατακλείδι, η όλη ανάλυση στο πλαίσιο της παρούσας διατριβής, που αφορά τη μελέτη και διαχείριση του φαινομένου SPIT, θα επικεντρωθεί μόνο στη φάση της σηματοδοσίας και ιδιαίτερα στο πρωτόκολλο SIP. 5.3 Εννοιολογικό και Θεωρητικό Υπόβαθρο Πριν παρουσιαστεί η ανάλυση των SPIT απειλών και αδυναμιών που διέπουν το πρωτόκολλο SIP, κρίνεται απαραίτητο να παρουσιαστούν οι βασικές έννοιες που χαρακτηρίζουν το φαινόμενο SPIT Απειλή SPIT Μία από τις βασικές έννοιες στο πλαίσιο μελέτης του φαινομένου SPIT είναι η έννοια της απειλής SPIT. Ως Aπειλή SPIT (SPIT Threat) ορίζεται η πιθανή ενέργεια ή ένα γεγονός προκαλούμενο από έναν κακόβουλο χρήστη, το οποίο αποσκοπεί στο να προκαλέσει την εκδήλωση ενός περιστατικού SPIT [DRI07]. Οι απειλές SPIT σε μια υποδομή VoIP ενδέχεται να ποικίλλουν, ωστόσο η μελέτη μας θα περιοριστεί σε ζητήματα που άπτονται της λειτουργίας του πρωτοκόλλου SIP. Παραδείγματα απειλών SPIT αποτελούν η συλλογή διευθύνσεων SIP (SIP-URIs) πολλών χρηστών, η μη εξουσιοδοτημένη είσοδο (register) σε ένα VoIP δικτυακό τομέα (network domain) κλπ Αδυναμία SPIT Κατά παρόμοιο τρόπο ορίζεται η έννοια της αδυναμίας SPIT (SPIT Vulnerability) ως το χαρακτηριστικό του πρωτοκόλλου SIP το οποίο μπορεί να εκμεταλλευτεί ένας κακόβουλος χρήστης, προκειμένου να εκδηλώσει μια επίθεση SPIT [DRI07]. Προφανώς, με βάση τον ορισμό αυτόν και τον προαναφερόμενο ορισμό που αφορά την απειλή SPIT, καθίσταται φανερό ότι οι έννοιες της απειλής και της αδυναμίας αλληλοσυσχετίζονται, αφού οι απειλές στο σύνολό τους αξιοποιούν (εκμεταλλεύονται) ενδεχόμενες αδυναμίες για την επίτευξη επιθέσεων SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 137

138 5.3.3 Επίθεση SPIT Άλλη μια βασική έννοια, αποτελεί η επίθεση SPIT (SPIT Violation), η οποία ορίζεται ως το γεγονός εκείνο το οποίο αναφέρεται στην αποστολή SPIT μηνυμάτων ή/και κλήσεων [DRI07]. Προφανώς, η έννοια της επίθεσης αναφέρεται σε ένα γεγονός το οποίο λαμβάνει χώρα εκμεταλλευόμενο την ύπαρξη μίας ή περισσότερων αδυναμιών SPIT Μέτρο anti-spit Τέλος, μια άλλη σημαντική έννοια που αφορά τη διαχείριση του φαινομένου SPIT, αποτελεί το μέτρο anti-spit (anti-spit Measure). Η συγκεκριμένη έννοια αναφέρεται στα μέσα εκείνα των οποίων η υιοθέτηση αποσκοπεί είτε να εμποδίσει την εκδήλωση μιας επίθεσης SPIT, ή και να ελαχιστοποιήσει και περιορίσει τις ενδεχόμενες επιπτώσεις από την πιθανή εκδήλωση της εκάστοτε παραβίασης Σύνδεση Όρων Οι προαναφερθείσες έννοιες αποτελούν τις βασικές έννοιες τις οποίες θα χρησιμοποιήσουμε κατά τη μελέτη του φαινομένου SPIT. Οι έννοιες αυτές συνδέονται εννοιολογικά μεταξύ τους, όπως παρουσιάζεται στην εικόνα που ακολουθεί 1. 1 Το πλήρες εννοιολογικό μοντέλο που διέπει το φαινόμενο SPIT παρουσιάζεται στην Ενότητα 7.4. Οικονομικό Πανεπιστήμιο Αθηνών 138

139 Εικόνα 5.1: Βασικές έννοιες SPIT και συσχέτισή τους Η ανάλυση που παρουσιάστηκε, καθιστά φανερό ότι προκειμένου να ελεγχθεί και να περιοριστεί, όσο το δυνατόν περισσότερο, το φαινόμενο SPIT είναι αναγκαίο να μελετηθούν ολοκληρωμένα και εμπεριστατωμένα οι αδυναμίες του πρωτοκόλλου SIP, τις οποίες αν εκμεταλλευτεί ο εκάστοτε κακόβουλος χρήστης μπορεί να προκαλέσει την εκδήλωση μιας παραβίασης SPIT. Η μελέτη των αδυναμιών και απειλών αποτελεί το βασικό και θεμελιώδες πρώτο βήμα στο οποίο θα βασιστεί η πρόταση συγκεκριμένων τεχνικών, μηχανισμών, ελέγχων και μέτρων, τα οποία θα συμβάλλουν στην ουσιαστική καταπολέμηση του SPIT και κατ επέκταση στη σημαντική μείωση των επιπτώσεων που αυτό ενδέχεται να επιφέρει, τόσο σχετικά με την εύρυθμη λειτουργία της τεχνολογίας VoIP, όσο και στην περαιτέρω διείσδυση και αποδοχή της. 5.4 Μεθοδολογία Εύρεσης Αδυναμιών και Απειλών Πριν τη λεπτομερή ανάλυση των αδυναμιών και απειλών του πρωτοκόλλου SIP, υπό το πρίσμα του πώς αυτές διευκολύνουν την εκδήλωση επιθέσεων SPIT, κρίνεται αναγκαίο να παρουσιαστεί η μεθοδολογία η οποία ακολουθήθηκε για το σκοπό αυτό. Τα βήματα που ακολουθήθηκαν για την ανεύρεση των αδυναμιών είναι τα εξής: 1. Μελέτη του φαινομένου SPAM: Σκοπός του συγκεκριμένου βήματος ήταν να μελετηθεί λεπτομερώς το φαινόμενο SPAM, να αναγνωρισθούν βασικές επιθέσεις του, αλλά και να μελετηθούν και κατανοηθούν αδυναμίες που έχουν αναγνωριστεί σε ότι αφορά τα πρωτόκολλα που χρησιμοποιούνται στο ηλεκτρονικό ταχυδρομείο και οι οποίες διευκολύνουν την εκδήλωση περιστατικών τύπου SPAM. 2. Μελέτη φαινομένου SPIT: Στο βήμα αυτό και σε συνάρτηση της αποκτηθείσας, από το προηγούμενο βήμα, εμπειρίας και γνώσης, μελετήθηκε λεπτομερώς το φαινόμενο SPIT στο σύνολό του. Έτσι, από τη μία μεριά, αναγνωρίσθηκαν οι διαφορετικοί τύποι SPIT που υπάρχουν και έχουν καταγραφεί μέχρι στιγμής ενώ, από την άλλη μεριά, έγινε μια σύγκριση των φαινομένων SPAM και SPIT με στόχο να αναγνωρισθούν τα κοινά τους στοιχεία. 3. Ενδελεχής μελέτη του πρωτοκόλλου SIP: Στο βήμα αυτό μελετήθηκε το πρωτόκολλο SIP, όπως αυτό προδιαγράφεται από το RFC 3261 [RFC3261]. Στόχος ήταν να κατανοηθεί σαφώς η όλη λειτουργία του πρωτοκόλλου στο πλαίσιο χρησιμοποίησής του σε Οικονομικό Πανεπιστήμιο Αθηνών 139

140 υποδομές VoIP. Επιπρόσθετα, μελετήθηκαν γενικότερα ζητήματα ασφάλειας του πρωτοκόλλου τα οποία μεταξύ άλλων, θα μπορούσαν να χρησιμοποιηθούν με στόχο την εκδήλωση SPIT. 4. Εντοπισμός αδυναμιών του πρωτοκόλλου SIP σε συνάρτηση φαινομένου SPIT: Το εν λόγω βήμα της μεθοδολογίας αποτελεί και το ουσιαστικότερο. Πιο συγκεκριμένα, στο βήμα αυτό εξετάσθηκε διεξοδικά το πρωτόκολλο SIP υπό το πρίσμα του πώς οι οριζόμενες προδιαγραφές αυτού μπορούν, εφόσον δεν υιοθετηθούν ή δεν χρησιμοποιηθούν με τον προβλεπόμενο τρόπο, να προκαλέσουν SPIT περιστατικά. Στόχος της μελέτης αυτής ήταν να εντοπιστούν και καταγραφούν: (α) σφάλματα στον ορισμό των προδιαγραφών του πρωτοκόλλου, (β) ελλείψεις και ενδεχόμενες γενικεύσεις του, (γ) ασαφώς διατυπωμένες λεπτομέρειες ως προς τον τρόπο λειτουργίας του, το σύνολο των οποίων μπορούν να διευκολύνουν ενδεχόμενες επιθέσεις SPIT. Στην παρακάτω εικόνα αποτυπώνεται σχηματικά η ακολουθούμενη για την εύρεση και ανάλυση απειλών και αδυναμιών μεθοδολογία. Εικόνα 5.2: Μεθοδολογία ανάλυσης και εύρεσης απειλών και αδυναμιών πρωτοκόλλου SIP 5.5 Αδυναμίες Πρωτοκόλλου SIP Στη συγκεκριμένη ενότητα, θα παρουσιαστεί το σύνολο των αδυναμιών και απειλών του πρωτοκόλλου SIP, η εκμετάλλευση των οποίων μπορεί να διευκολύνει την εκδήλωση SPIT επιθέσεων. Η ανάλυση που πραγματοποιήθηκε με την προαναφερθείσα μεθοδολογία, μας οδήγησε σε μια εκτενή λίστα αδυναμιών οι οποίες ταξινομούνται στις παρακάτω τέσσερις (4) κατηγορίες [DRI07]: 1. Εγγενείς αδυναμίες του πρωτοκόλλου 2. Αδυναμίες που οφείλονται στις προαιρετικές υποδείξεις και συστάσεις του πρωτοκόλλου, όπως αυτές ορίζονται από το κείμενο προδιαγραφών του (RFC 3261). 3. Αδυναμίες που οφείλονται σε ζητήματα διαλειτουργικότητας και συνέργειας του πρωτοκόλλου με άλλα πρωτόκολλα. 4. Αδυναμίες που οφείλονται σε γενικές (generic) αδυναμίες και ζητήματα ασφάλειας Εγγενείς αδυναμίες του πρωτοκόλλου Στην κατηγορία αυτή περιλαμβάνονται οι αδυναμίες που οφείλονται στα υποχρεωτικά χαρακτηριστικά του πρωτοκόλλου, όπως αυτά ορίζονται από το κείμενο προδιαγραφών αυτού. Η έννοια του υποχρεωτικού στη συγκεκριμένη περίπτωση αναφέρεται στα Οικονομικό Πανεπιστήμιο Αθηνών 140

141 χαρακτηριστικά εκείνα του πρωτοκόλλου τα οποία πρέπει οπωσδήποτε να υπάρχουν και να χρησιμοποιούνται σε οποιαδήποτε υλοποίηση του πρωτοκόλλου 2. Είναι γνωστό, από την περίπτωση του φαινομένου SPAM στο ηλεκτρονικό ταχυδρομείο, ότι μια από τις πιο συνηθισμένες τεχνικές των κακόβουλων χρηστών είναι η συλλογή και συγκέντρωση όσο το δυνατόν περισσοτέρων ηλεκτρονικών διευθύνσεων, οι οποίες αφορούν τους παραλήπτες των μηνυμάτων SPAM. Προφανώς, όσο μεγαλύτερο είναι το σύνολο των διευθύνσεων αυτών τόσο μεγαλύτερο το κέρδος των επιτιθέμενων, λόγω του ότι το μήνυμά τους έχει σταλεί σε μεγάλο πλήθος χρηστών. Όμοια και στην περίπτωση του SPIT ο στόχος σε πρώτο στάδιο των επιτιθέμενων είναι η συλλογή μεγάλου αριθμού διευθύνσεων των ενδεχόμενων παραληπτών των SPIT μηνυμάτων τους. Στη συνέχεια παρουσιάζονται οι αναγνωριζόμενες εγγενείς αδυναμίες του πρωτοκόλλου SIP Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Όπως ορίζεται από τις προδιαγραφές λειτουργίας του πρωτοκόλλου SIP, όταν ένας πληρεξούσιος εξυπηρετητής (proxy server) επιδιώκει να εντοπίσει τον εκάστοτε παραλήπτη του μηνύματος αίτησης (message request), τότε είτε τον εντοπίζει ελέγχοντας τα περιεχόμενα των επικεφαλίδων του μηνύματος, είτε επικοινωνεί με τον εξυπηρετητή εγγραφών (registrar), ο οποίος παρέχοντας υπηρεσίες καταλόγου (location service), τότε παρέχει την απαιτούμενη πληροφορία. Και στις δύο περιπτώσεις, ο πληρεξούσιος εξυπηρετητής χρησιμοποιεί την επικεφαλίδα REQUEST-URI. Στις περιπτώσεις, όμως, που ο πληρεξούσιος εξυπηρετητής χρησιμοποιεί τις υπηρεσίες καταλόγου και η επικεφαλίδα REQUEST-URI δεν παρέχει επαρκείς πληροφορίες για την εύρεση του παραλήπτη, τότε ο πληρεξούσιος επιστρέφει στον αιτούντα ένα μήνυμα απόκρισης (message response) δηλώνοντας την αδυναμία να βρει την ακριβή διεύθυνση του παραλήπτη (485 Ambiguous Response). Τέτοιες περιπτώσεις είναι συνήθεις σε υποδομές VoIP και οφείλονται στην ενδεχόμενη ύπαρξη δύο ή περισσότερων χρηστών με την ίδια διεύθυνση (SIP-URI). Το μήνυμα απόκρισης που αναφέρεται σε συγκεκριμένα μηνύματα αιτήσεων περιέχει, μεταξύ άλλων, μια επικεφαλίδα CONTACT στην οποία περιλαμβάνονται οι διευθύνσεις των χρηστών που ενδέχεται να καλεί ο χρήστης. Πιο συγκεκριμένα, αν κάποιος χρήστης αποστείλει ένα αίτημα και στο πεδίο CONTACT-URI περιέχεται το κείμενο και η υπηρεσία καταλόγου δεν είναι σε θέση να βρει τη συγκεκριμένη επαφή, τότε στο μήνυμα αποκρίσεως συμπεριλαμβάνονται οι διευθύνσεις οι οποίες περιέχουν το εν λόγω κείμενο ( ste ). Ακόμα χειρότερα, σε περίπτωση που το αρχικό αίτημα στο πεδίο CONTACT- 2 H λέξη MUST στο RFC μέσω της οποίας δηλώνεται αυτή η υποχρέωση: definition is an absolute requirement of the specification. Οικονομικό Πανεπιστήμιο Αθηνών 141

142 URI περιέχεται ένας ειδικός χαρακτήρας, τότε ο πληρεξούσιος εξυπηρετητής ενδέχεται να επιστρέψει όλες τις διευθύνσεις που διατηρούνται στον εξυπηρετητή εγγραφής. Προφανώς, η κατάσταση αυτή αποτελεί μια αδυναμία του πρωτοκόλλου την οποία ένας επίδοξος επιτιθέμενος μπορεί να εκμεταλλευτεί συγκεντρώνοντας ένα σύνολο διευθύνσεων ενδεχόμενων παραληπτών του μηνύματος SPIT που επιθυμεί να προωθήσει. Ένα παράδειγμα μηνύματος απόκρισης σε ένα αίτημα που περιέχει στο πεδίο CONTACT-URI το κείμενο είναι το εξής: SIP/ Ambiguous Contact: Stelios Dritsas Contact: Steve Martin Contact: Nick Stemovic Listening to a multicast address Η διαδικασία εγγραφής (registration) των χρηστών σε ένα VoIP δικτυακό τομέα βασιζόμενο στο πρωτόκολλο SIP, αποτελεί μια βασική διαδικασία, μιας και χρησιμοποιείται για να βρεθεί η φυσική διεύθυνση του εκάστοτε χρήστη και κατ επέκταση να καταστεί αυτός διαθέσιμος προς επικοινωνία. Κατά τη διαδικασία αυτή, οι πληρεξούσιοι εξυπηρετητές και οι εξυπηρετητές ανακατεύθυνσης (redirect servers) λαμβάνουν μηνύματα αιτήσεων εγγραφής (register requests) από τους εκάστοτε χρήστες ή άλλους εξυπηρετητές. Κατόπιν, συμβουλευόμενοι την υπηρεσία καταλόγου (location service), λαμβάνουν τη διεύθυνση του χρήστη με τον οποίο επιθυμούν να επικοινωνήσουν. Προκειμένου να διατηρείται μια αξιόπιστη υπηρεσία καταλόγου πρέπει πάντα να υπάρχει μια ενημερωμένη βάση δεδομένων στην οποία αποθηκεύονται οι τρέχουσες διευθύνσεις των χρηστών. Αυτό επιτυγχάνεται μέσω της αποστολής ενός αιτήματος REGISTER το οποίο περιλαμβάνει την τρέχουσα δικτυακή διεύθυνση (IP address) του χρήστη. Η επιλογή της διεύθυνσης, για την οποία η εγγραφή μπορεί να γίνει, καθορίζεται είτε χρησιμοποιώντας της διεύθυνση εγγραφής του εκάστοτε χρήστη (AOR: Address of Record) είτε με χρήση της εκάστοτε διεύθυνσης multicast. Στη δεύτερη περίπτωση, με βάση τις προδιαγραφές του πρωτοκόλλου SIP, ορίζεται ότι τα αιτήματα εγγραφών μπορούν να σταλούν προς τη διεύθυνση που αντιπροσωπεύει το σύνολο των εξυπηρετητών (sip.mcast.net ). Με αυτό τον τρόπο, οι αντιπρόσωποι του χρήστη (UAs), που αποτελούν μέλη της εν λόγω διεύθυνσης μπορούν να μάθουν την τοποθεσία (διεύθυνση) άλλων χρηστών. Προφανώς, την κατάσταση αυτή, μπορεί να εκμεταλλευτεί και ένας κακόβουλος χρήστης με αποτέλεσμα να ενημερωθεί για τις διευθύνσεις άλλων χρηστών και κατ επέκταση να προωθήσει τα SPIT μηνύματά του προς αυτούς Αποκάλυψη Ενεργών Διευθύνσεων Τα μηνύματα αιτήσεων REGISTER που χρησιμοποιούνται κατά τη διαδικασία εγγραφής αποσκοπούν στην αντιστοίχηση (binding) της SIP διεύθυνσης ενός χρήστη με τη δικτυακή Οικονομικό Πανεπιστήμιο Αθηνών 142

143 διεύθυνση (IP address) της συσκευής (soft-phone) που χρησιμοποιεί. Ένας κακόβουλος χρήστης, εκμεταλλευόμενος το γεγονός αυτό, σε συνδυασμό με την αδυναμία που παρουσιάστηκε στην προηγούμενη ενότητα, μπορεί να συγκεντρώσει τις ενεργές διευθύνσεις, δηλαδή τις διευθύνσεις των χρηστών που είναι άμεσα διαθέσιμοι για επικοινωνία (on-line users). Εν γένει, η δυνατότητα αυτή καθίσταται ιδιαίτερα βολική για τον εκάστοτε κακόβουλο χρήστη (spitter), διότι με ελάχιστη προσπάθεια και μικρό κόστος και υπολογιστικούς πόρους μπορεί να αποστείλει μηνύματα SPIT άμεσα σε όλους τους χρήστες που είναι διαθέσιμοι Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Οι εξυπηρετητές επανακατεύθυνσης (redirect servers) χρησιμοποιούνται, κυρίως, για τη μείωση του επεξεργαστικού φόρτου των πληρεξούσιων εξυπηρετητών. Από τις προδιαγραφές του πρωτοκόλλου, εάν ένας εξυπηρετητής επανακατεύθυνσης λάβει ένα μήνυμα αίτησης διαφορετικό από το CANCEL, τότε, είτε αρνείται να το εξυπηρετήσει, είτε συγκεντρώνει τη λίστα εναλλακτικών διευθύνσεων από την υπηρεσία καταλόγου (location service) και την επιστρέφει στον αποστολέα του αρχικού μηνύματος αίτησης. Το γεγονός αυτό μπορεί να εκμεταλλευτεί ο επίδοξος επιτιθέμενος. Πιο συγκεκριμένα, εκτελώντας μια επίθεση λεξικού (dictionary attack) προς τον εξυπηρετητή επανακατεύθυνσης, ζητά το σύνολο των εναλλακτικών διευθύνσεων στις οποίες πλέον είναι σε θέση να αποστείλει το SPIT μήνυμα του. Η αποδοτικότητα της εν λόγω επίθεσης μπορεί να ενισχυθεί σημαντικά αν εκτελεστεί συνδυαστικά με την αδυναμία που παρουσιάστηκε στην ενότητα Δημιουργία πολλαπλών λογαριασμών SIP Στο πλαίσιο λειτουργίας μιας υποδομής VoIP ένας κακόβουλος χρήστης έχει τη δυνατότητα να δημιουργήσει πολλαπλούς λογαριασμούς σ έναν η περισσότερους δικτυακούς τομείς (network domains). Με αυτόν τον τρόπο, μπορεί αφ ενός να δυσκολέψει σε μεγάλο βαθμό την ενδεχόμενη αποκάλυψή του μέσω της ταυτοποίησής του και αφετέρου να αποφύγει την ενδεχόμενη εισαγωγή του σε μια μαύρη λίστα (black list) που διατηρεί ένας χρήστης ή ένας δικτυακός τομέας. Όπως ορίζεται από τις προδιαγραφές του SIP, τα μηνύματα REGISTER δε χρησιμοποιούνται μόνο για την αντιστοίχηση διευθύνσεων στο πλαίσιο λειτουργίας της υπηρεσίας καταλόγου (location service), αλλά μπορούν να χρησιμοποιηθούν και για τη δημιουργία νέων λογαριασμών σε ένα SIP τομέα (SIP domain) ή για την αλλαγή των στοιχείων που αφορούν ένα ήδη οριζόμενο λογαριασμό χρήστη. Το συγκεκριμένο χαρακτηριστικό, χρησιμοποιείται προκειμένου να καταστήσει το πρωτόκολλο πιο ευέλικτο, καθώς ένα από τα σημαντικότερα χαρακτηριστικά του είναι η δυνατότητα που παρέχεται στους χρήστες και στις συσκευές που αυτοί χρησιμοποιούν, να μετακινούνται από δίκτυο σε δίκτυο (roaming services). Επομένως, ένας κακόβουλος χρήστης εκμε- Οικονομικό Πανεπιστήμιο Αθηνών 143

144 ταλλευόμενος αυτή την υπηρεσία, και αφού είναι μέλος του εκάστοτε VoIP δικτυακού τομέα, μπορεί να στείλει ένα πλήθος μηνυμάτων REGISTER δημιουργώντας έτσι ένα πλήθος εικονικών και ψεύτικων λογαριασμών 3. Ένα σενάριο της συγκεκριμένης περίπτωσης αποτελεί το εξής: ο επιτιθέμενος έχει τον ρόλο του καλούμενου και αρχικά έχει δημιουργήσει με νόμιμο τρόπο, αποστέλλοντας ένα μήνυμα αίτησης REGISTER, μια εγγραφή στον πληρεξούσιο εξυπηρετητή [ΚΟΤ08]. Η διεύθυνση η οποία περιέχεται σε αυτή την εγγραφή χρησιμοποιείται για κάποιο διάστημα. Κάποια στιγμή ο επιτιθέμενος, με χρήση πάλι της μεθόδου REGISTER, αλλάζει την εγγραφή, ώστε αυτή να δείχνει σε μια διεύθυνση στην οποία υπάρχει ένα ηχογραφημένο μήνυμα το οποίο αποτελεί το SPIT μήνυμά του. Όταν κάποιος χρήστης καλέσει το χρήστη στον οποίο άνηκε η αρχική εγγραφή, και προφανώς πριν πραγματοποιηθεί η αλλαγή της εγγραφής, αυτός οδηγείται στη διεύθυνση που αναφέρεται στο ηχογραφημένο μήνυμα. Το σενάριο απεικονίζεται στην παρακάτω εικόνα. Εικόνα 5.3: Παράδειγμα εκμετάλλευσης μηνύματος αίτησης REGISTER Εκμετάλλευση stateless εξυπηρετητών Στην περίπτωση του ηλεκτρονικού ταχυδρομείου η χρήση των Open Relay Servers 4 διευκολύνει και παρέχει την προώθηση οποιουδήποτε μηνύματος ηλεκτρονικού ταχυδρομείου λαμβάνουν, προς τον εκάστοτε προορισμό τους. Από την άλλη πλευρά, μπορούν, 3 Με την έννοια του εικονικού λογαριασμού δεν υπονοείται η μη φυσική δημιουργία και ύπαρξη αυτού, αλλά η μη πραγματική αντιστοίχησή του σε ένα φυσικό πρόσωπο. 4 Τα τελευταία χρόνια και με στόχο τη μείωση του αριθμού SPAM μηνυμάτων η ύπαρξη Open Relay Servers έχει ελαχιστοποιηθεί σημαντικά. Ωστόσο, όμως, και ενδεχόμενη ύπαρξή τους δεν μπορεί να χρησιμοποιηθεί Οικονομικό Πανεπιστήμιο Αθηνών 144

145 λόγω της έλλειψης μηχανισμών αυθεντικοποίησης, να χρησιμοποιηθούν από κακόβουλους χρήστες (spammers) με στόχο την αποστολή SPAM μηνυμάτων. Κυρίως χρησιμοποιούνται έτσι ώστε οι κακόβουλοι χρήστες να αποκρύψουν ενδεχόμενα ίχνη τους, τα οποία μπορούν να οδηγήσουν στην εύρεσή τους. Επιπλέον, μπορούν να δυσκολέψουν την ανίχνευση SPAM μηνυμάτων από τους εκάστοτε χρησιμοποιούμενους μηχανισμούς που ελέγχουν τις επικεφαλίδες των πακέτων των SMTP μηνυμάτων. Σύμφωνα με τις προδιαγραφές του πρωτοκόλλου SIP, ένας stateless εξυπηρετητής παρέχει όμοιες με τους Open Relay Servers υπηρεσίες: απλώς προωθούν τα εκάστοτε λαμβανόμενα μηνύματα προς τη κατεύθυνση που απαιτείται. Κατά ανάλογο τρόπο, επομένως, οι stateless εξυπηρετητές μπορούν να χρησιμοποιηθούν για την αποστολή ή/και προώθηση SPIT μηνυμάτων. Παρόλο που οι συγκεκριμένου τύπου εξυπηρετητές δε χρησιμοποιούνται συχνά σε υποδομές VoIP, ωστόσο η χρήση τους κρίνεται αρκετές φορές αναγκαία προκειμένου να περιοριστούν φαινόμενα μαζικών μηνυμάτων αιτήσεων (request flooding) Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Σε συνδυασμό με τους Open Relay Servers, οι κακόβουλοι χρήστες (spammers) συνήθως χρησιμοποιούν ανώνυμους επανα-ταχυδρομητές (r ers) με στόχο να καταστήσουν τα μηνύματά τους ανώνυμα και κατ επέκταση να αποφύγουν πολλές τεχνικές αντιμετώπισης του SPAM (π.χ. μαύρες λίστες, έλεγχο επικεφαλίδων κλπ.). Σύμφωνα με αυτό και με όσα αναφέρθηκαν στην ενότητα , οι B2B αντιπρόσωποι χρήστη μεταξύ των υπηρεσιών που προσφέρουν, παρέχουν και υπηρεσίες ανωνυμίας. Πιο συγκεκριμένα, λαμβάνοντας ένα μήνυμα, αντικαθιστούν όλα τα πεδία των επικεφαλίδων τα οποία μπορούν να ταυτοποιήσουν ένα χρήστη και εισάγουν πληροφορίες που αφορούν τους ίδιους (τους εξυπηρετητές). Με αυτό τον τρόπο, ο επίδοξος επιτιθέμενος μπορεί να χρησιμοποιήσει τις εν λόγω υπηρεσίες κατά παρόμοιο τρόπο, όπως τους ανώνυμους επαναταχυδρομητές, στην περίπτωση του ηλεκτρονικού ταχυδρομείου Αποστολή μηνυμάτων σε multicast διευθύνσεις Ένα από τα βασικά πεδία των επικεφαλίδων των μηνυμάτων SIP είναι το πεδίο Via. Το συγκεκριμένο πεδίο αποτυπώνει το δρομολόγιο (route) το οποίο ακολούθησε το εκάστοτε μήνυμα μέχρι να φτάσει στον προορισμό του. Επιπρόσθετα, ορίζει και το δρομολόγιο το οποίο θα ακολουθήσει και το μήνυμα απόκρισης (response message) προκειμένου να φτάσει πάλι πίσω στον αρχικό αποστολέα. Μια πιθανή τιμή της επικεφαλίδας Via είναι η τιμή maddr flag, η οποία αντιστοιχεί στον προορισμό των μηνυμάτων τη διεύθυνση multicast [RFC3261]. Έτσι, λοιπόν, χρησιμοποιώντας αυτή τη διεύθυνση ένας χρήστης μπορεί να στείλει ένα μήνυμα αιτήματος (request) προς τη multicast διεύθυνση. Κατά αναλογία, ο ενδεχόμενος κακόβουλος χρήστης, μπορεί για την αποστολή SPAM μηνυμάτων λόγω του ότι έχουν υιοθετηθεί μηχανισμοί ταυτοποίησης και αυθεντικοποίησης των χρηστών που επιθυμούν να κάνουν χρήση τους. Οικονομικό Πανεπιστήμιο Αθηνών 145

146 να χρησιμοποιήσει την εν λόγω τιμή αποσκοπώντας στο να στείλει τα SPIT μηνύματά του προς τους χρήστες που μετέχουν στη διεύθυνση αυτή και συνθέτουν την ομάδα multicast (multicast group) Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Με βάση τις προδιαγραφές του πρωτοκόλλου SIP ορίζεται ότι ένας stateful πληρεξούσιος εξυπηρετητής ενδέχεται να έχει τη δυνατότητα να αποστείλει ένα μήνυμα αίτησης INVITE σε περισσότερα του ενός σημεία (locations) την ίδια χρονική στιγμή. Ο τύπος αυτός των πληρεξούσιων εξυπηρετητών ονομάζεται forking proxies. Το γεγονός αυτό, σε συνδυασμό με την αδυναμία που αφορά την αποστολή συγκεχυμένων μηνυμάτων προς τους πληρεξούσιους εξυπηρετητές ή τους εξυπηρετητές εγγραφών (registrars), μπορεί να αποβεί προς όφελος ενός κακόβουλου χρήστη. Πιο συγκεκριμένα, αν ένας κακόβουλος χρήστης αποστείλει ένα μήνυμα INVITE προς ένα forking πληρεξούσιο εξυπηρετητή περιέχοντας σε αυτό μια συγκεχυμένη διεύθυνση, τότε αυτομάτως το εν λόγω μήνυμα αποστέλλεται σε όλες τις διευθύνσεις που επέστρεψε η υπηρεσία καταλόγου. Γίνεται φανερό, επομένως, ότι με αυτό τον τρόπο ο επιτιθέμενος πετυχαίνει μέσω ενός μηνύματος αίτησης INVITE να προωθήσει το SPIT μήνυμά του σε περισσότερους του ενός παραλήπτες χρησιμοποιώντας, απλώς, τις υπηρεσίες που προσφέρει ένας stateful πληρεξούσιος εξυπηρετητής Εκμετάλλευση της δομής των μηνυμάτων και των επικεφαλίδων Στο κεφάλαιο 3, αναφέρθηκε ότι ένας από τους τύπους SPIT είναι η αποστολή μαζικών (bulk) και αυτόκλητων (unsolicited) στιγμιαίων μηνυμάτων (instant messages SPIT, SPIM). Στο πλαίσιο λειτουργίας του πρωτοκόλλου SIP, η αποστολή στιγμιαίων μηνυμάτων παρέχεται με χρήση της μεθόδου (method) MESSAGE. Την ίδια μέθοδο μπορεί να χρησιμοποιήσει και ο εκάστοτε κακόβουλος χρήστης προκειμένου να προωθήσει το SPIT στιγμιαίο μήνυμα που επιθυμεί. Ο παραπάνω τρόπος δεν είναι ο μοναδικός στον οποίο μπορεί να βασισθεί ο επίδοξος επιτιθέμενος προκειμένου να προωθήσει ένα SPIT μήνυμα ή/και κλήση. Το περιεχόμενο του εκάστοτε SPIT μηνύματος μπορεί να εισαχθεί, είτε σε ορισμένα πεδία των επικεφαλίδων των πακέτων του SIP, είτε στο κυρίως σώμα (message body) ενός μηνύματος SIP και κατόπιν να παραληφθεί από το χρήστη. Ενώ τα μηνύματα αιτήσεων (request messages) είναι πιο ελκυστικά για έναν επίδοξο επιτιθέμενο μιας και αυτά χρησιμοποιούνται για την έναρξη διαλόγων (dialogs initiation), ο επιτιθέμενος ενδέχεται να χρησιμοποιήσει και τα μηνύματα αποκρίσεων (response messages) με στόχο την παραβίαση SPIT. Αυτό συμβαίνει όταν ένας νόμιμος χρήστης επικοινωνεί με τον εκάστοτε επιτιθέμενo ή όταν ο επιτιθέμενος παραποιεί τα μηνύματα των αποκρίσεων. Στη συνέχεια παρουσιάζονται τα πεδία των μηνυμάτων αιτήσεων και αποκρίσεων τα οποία μπορούν να χρησιμοποιηθούν με σκοπό να ενσωματώνουν ένα μήνυμα SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 146

147 Μηνύματα αιτήσεων Οι μέθοδοι αιτήσεων (request methods) INVITE και ACK (βλ. ενότητα 2.3.3), περιλαμβάνουν ένα σώμα μηνύματος (message body) το οποίο ενδέχεται να είναι ένα απλό κείμενο, μια φωτογραφία ή εικόνα ή ένα ηχογραφημένο μήνυμα (audio message). Ως εκ τούτου, τα εν λόγω μηνύματα μπορούν να χρησιμοποιηθούν από τον κακόβουλο χρήστη έτσι ώστε να προωθήσει το μήνυμα SPIT που επιθυμεί. Οι προαναφερόμενοι τύποι αρχείων που ενδέχεται να περιλαμβάνονται στο σώμα των μηνυμάτων, μπορούν να αναγνωσθούν από τον εκάστοτε αντιπρόσωπο χρήστη (UA) και κατ επέκταση να παρουσιασθούν στον παραλήπτη τους, δηλαδή στο θύμα μιας παραβίασης SPIT. Επιπρόσθετα, η μέθοδος MESSAGE (βλ. ενότητα 2.3.3) παρέχει τη δυνατότητα να αποσταλεί ένα μήνυμα εκτός διαλόγου (dialog) που αφορά μια σύνοδο SIP. Το γεγονός αυτό, σε συνδυασμό με το ότι η αυθεντικοποίηση εκτός διαλόγου δεν είναι υποχρεωτική, καθίσταται φανερό ότι η χρήση της μεθόδου MESSAGE μπορεί να διευκολύνει σε μεγάλο βαθμό την εκδήλωση επιθέσεων SPIT Μηνύματα αποκρίσεων Αρκετά από τα μηνύματα αποκρίσεων (response messages) -κατ αναλογία με τα μηνύματα αιτήσεων- περιλαμβάνουν ένα σώμα μηνύματος το οποίο μπορεί να χρησιμοποιηθεί για την αποστολή SPIT μηνυμάτων. Επιπρόσθετα, και όπως ορίζεται από τις προδιαγραφές του πρωτοκόλλου SIP, τα περισσότερα μηνύματα αποκρίσεων ενδέχεται να περιέχουν ένα πεδίο επεξηγηματικής φράσης (Reason Phrase), το οποίο χρησιμοποιείται για να παρέχει περισσότερες λεπτομέρειες και πληροφορίες που αφορούν το εκάστοτε μήνυμα απόκρισης. Στη συνέχεια παρουσιάζονται τα μηνύματα αποκρίσεων τα οποία μπορούν να χρησιμοποιηθούν έτσι ώστε να διευκολύνουν την εκδήλωση μιας παραβίασης SPIT [DRI07]. Οι αποκρίσεις Provisional (1XXX) ενδέχεται να περιέχουν ένα σώμα μηνύματος, συμπεριλαμβανομένων μεταξύ άλλων και πληροφοριών που αφορούν τις εκάστοτε συνόδους (sessions). Οι αποκρίσεις 180 Ringing ενδέχεται να περιέχουν ένα σώμα μηνύματος το οποίο παρέχει διάφορες πληροφορίες σε μορφή κειμένου. Επιπρόσθετα, ενδέχεται να περιλαμβάνουν ένα ηχητικό μήνυμα ή ακόμα και κινούμενες εικόνες (animations). Οι αποκρίσεις 182 Queued ενδέχεται να περιέχουν επεξηγηματικές φράσεις (reason phrases) παρέχοντας με αυτό τον τρόπο επιπρόσθετες λεπτομέρειες για την κατάσταση μιας κλήσης. Επιπρόσθετα, ενδέχεται να περιέχουν ένα σώμα μηνύματος το οποίο μπορεί να αναπαράγει ένα ηχητικό σήμα. Οι αποκρίσεις 183 Session Progress χρησιμοποιούνται για την παροχή πληροφοριών σχετικά με την πρόοδο μιας κλήσης. Η ενδεχόμενη ύπαρξη επεξηγηματικής φράσης ή το σώμα μηνύματος χρησιμοποιείται για την παροχή επιπρόσθετων λεπτομερειών. Οικονομικό Πανεπιστήμιο Αθηνών 147

148 Οι αποκρίσεις 200 OK περιέχουν πληροφορίες οι οποίες συναρτώνται από τη μέθοδο που χρησιμοποιήθηκε στο εκάστοτε απεσταλμένο μήνυμα αίτησης. Οι αποκρίσεις 300 Multiple Choices ενδέχεται να περιλαμβάνουν ένα σώμα μηνύματος. Οι αποκρίσεις 380 Alternative Services περιέχουν ένα σώμα μηνύματος στο οποίο περιγράφονται εναλλακτικές υπηρεσίες που μπορεί να υποστηρίξει ο εκάστοτε αντιπρόσωπος χρήστη (UA). Οι αποκρίσεις 400 Bad Request περιέχουν επεξηγηματικές φράσεις (reason phrases) οι οποίες χρησιμοποιούνται για την περιγραφή και αποσαφήνιση ενδεχόμενου συντακτικού λάθους στο μήνυμα αίτησης που στάλθηκε. Οι αποκρίσεις 480 Temporally Unavailable ενδέχεται να περιέχουν μια επεξηγηματική φράση στην οποία αιτιολογείται γιατί ο εκάστοτε καλούμενος δεν είναι διαθέσιμος. Οι αποκρίσεις 484 Address Incomplete ενδέχεται να περιέχουν ένα σώμα μηνύματος. Οι αποκρίσεις 488 Not Acceptable Here ενδέχεται να περιέχουν ένα σώμα μηνύματος στο οποίο προσδιορίζονται οι δυνατότητες σε ότι αφορά την αποστολή και λήψη συγκεκριμένων τύπων πολυμέσων (media capabilities). Οι αποκρίσεις 606 (Not Acceptable) ενδέχεται να περιέχουν ένα σώμα μηνύματος. Στο σημείο αυτό είναι χρήσιμο να παρουσιάσουμε ένα παράδειγμα στο οποίο φαίνεται η εκμετάλλευση κάποιου μηνύματος απόκρισης με στόχο να επιτευχθεί μια παραβίαση SPIT. Στο εν λόγω παράδειγμα θα παρουσιάσουμε πως μπορεί κάποιος να εκμεταλλευτεί την απόκριση 300 Multiple Choices [ΚΟΤ08]. Οι απαντήσεις αυτές επιστρέφονται όταν η διεύθυνση που περιέχεται σε μια αίτηση μπορεί να αναφέρεται σε πολλούς προορισμούς, οπότε στο πεδίο CONTACT αυτής, αναφέρονται οι εναλλακτικοί προορισμοί που αντιστοιχούν στη διεύθυνση αυτή. Το πρωτόκολλο ορίζει ότι είναι θεμιτή η τελική επιλογή ενός από αυτούς τους εναλλακτικούς προορισμούς, να δύναται να γίνει με αυτόματο και διαφανή προς το χρήστη τρόπο. Έτσι, κάποιος επιτιθέμενος θα μπορούσε στη διάρκεια της διαπραγμάτευσης μιας νέας συνόδου να στείλει στον καλούντα ένα τέτοιο μήνυμα, το οποίο θα έχει σαν αποτέλεσμα την αυτόματη ανακατεύθυνση της επικοινωνίας σε έναν πόρο διαφορετικό από αυτόν που ο καλούντας αρχικά είχε καλέσει. Αυτή η παρέμβαση στην επικοινωνία θα μπορούσε να γίνει σε οποιοδήποτε σημείο της, καθώς το μόνο που χρειάζεται να γίνει είναι να ανιχνευθεί η αίτηση σύνδεσης και να κατασκευαστεί βάσει αυτής, το κατάλληλο μήνυμα απάντησης. Διαγραμματικά αυτή η παρέμβαση φαίνεται στην παρακάτω εικόνα. Οικονομικό Πανεπιστήμιο Αθηνών 148

149 Εικόνα 5.4: Εκμετάλλευση μηνύματος απόκρισης 300 Multiple Choices με στόχο επίτευξη παραβίασης SPIT Πεδία Επικεφαλίδας Μηνυμάτων Τα εκάστοτε μηνύματα αιτήσεων και αποκρίσεων (message requests and responses) ενσωματώνουν ένα πλήθος επικεφαλίδων, οι οποίες παρέχουν διάφορες πληροφορίες και οι οποίες τυγχάνουν επεξεργασίας από τον εκάστοτε αντιπρόσωπο χρήστη (UA). Ενδέχεται, όμως, οι εν λόγω επικεφαλίδες να έχουν τροποποιηθεί με τέτοιο τρόπο έτσι ώστε να περιλαμβάνουν μηνύματα SPIT, τα οποία εν τέλει θα παραληφθούν από τον αποδέκτη του μηνύματος. Επιπρόσθετα, η δυνατότητα που έχουν διάφορες επικεφαλίδες να έχουν μεταβλητό μήκος, διευκολύνει τον εκάστοτε κακόβουλο χρήστη να ενσωματώσει σε αυτές μεγαλύτερα μηνύματα. Τέλος, ορισμένες από τις επικεφαλίδες παρέχουν κάποια ιδιαίτερα χαρακτηριστικά τα οποία ενδέχεται οι επίδοξοι επιτιθέμενοι να εκμεταλλευτούν με άλλους τρόπους επιδιώκοντας την αποστολή πιο πολύπλοκων (sophisticated) SPIT μηνυμάτων. Στον πίνακα που ακολουθεί παρουσιάζονται οι επικεφαλίδες που μπορούν να χρησιμοποιηθούν με σκοπό την ενσωμάτωση σε αυτές ενός μηνύματος SPIT. Επιπλέον, παρουσιάζονται τα χαρακτηριστικά αυτών καθώς και ο τρόπος εκμετάλλευσης τους προς όφελος του κακόβουλου χρήστη. Πίνακας 5.1: Επικεφαλίδες μηνυμάτων SIP που μπορούν να χρησιμοποιηθούν για SPIT επιθέσεις Πεδίο επικεφαλίδας Subject From Alert-Info Call-Info Contact To Χαρακτηριστικό Μπορεί να αναλυθεί από το λογισμικό και να εμφανιστεί στο τερματικό του χρήστη. Επιτρέπει την εμφάνιση κειμένου στον χρήστη. Καθορίζει εναλλακτικό ήχο επανάκλησης και μπορεί να χρησιμοποιηθεί από προ-ηχογραφημένο μήνυμα SPIT. Κάποιες παράμετροι της συγκεκριμένης επικεφαλίδας (purpose, icon, info, card) μπορεί να χρησιμοποιηθούν για αποστολή SPIT. Η display name flag παράμετρος μπορεί να μετατραπεί για να σταλεί ένα μήνυμα SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 149

150 Πεδίο επικεφαλίδας Retry-After Error-Info Warning Content-Disposition Content-Type Priority Χαρακτηριστικό Η προαιρετική παράμετρος textual comment μπορεί να χρησιμοποιηθεί για μεταφορά μηνύματος SPIT. Ο δείκτης που δείχνει στις πρόσθετες πληροφορίες που σχετίζονται με την κατάσταση λάθους, μπορεί να αλλαχθεί από έναν spitter, ώστε να δείχνει σε ένα μήνυμα SPIT. Το κείμενο προειδοποίησης που περιέχεται σ αυτή την επικεφαλίδα, μπορεί να αντικατασταθεί από ένα μήνυμα SPIT. Αυτή η επικεφαλίδα δείχνει τον τρόπο ερμηνείας ενός μηνύματος από έναν UA και μπορεί επίσης να χρησιμοποιηθεί ώστε να περιέχει ένα μήνυμα SPIT. Δηλώνει τον τύπο των πολυμέσων του σώματος μηνύματος. Μπορεί επίσης να χρησιμοποιηθεί για μήνυμα SPIT. Δείχνει το πόσο επείγον είναι ένα μήνυμα. Ένας spitter μπορεί να το εκμεταλλευθεί για να δώσει υψηλή προτεραιότητα στα μηνύματα SPIT που αποστέλλει. Η χρήση των επικεφαλίδων με σκοπό την επίτευξη παραβίασης SPIT αποτελεί μια σημαντική αδυναμία η οποία συναντάται σε μεγάλο βαθμό και στην περίπτωση του ηλεκτρονικού ταχυδρομείου. Για παράδειγμα, μια συνήθης πρακτική των κακόβουλων χρηστών (spammers) είναι η χρήση του πεδίου Subject με σκοπό να ενσωματώσουν σε αυτό ένα μήνυμα SPAM. Για να γίνει αντιληπτή η αναλογία αυτή, αλλά και η χρήση των επικεφαλίδων ως μέσο αποστολής SPIT μηνυμάτων παρουσιάζουμε ένα παράδειγμα. Στο εν λόγω παράδειγμα, όπως φαίνεται και από την παρακάτω εικόνα, χρησιμοποιείται η επικεφαλίδα FROM, στην οποία ο επιτιθέμενος έχει εισάγει τη διεύθυνση μιας ιστοσελίδας που εμφανίζει στην οθόνη του παραλήπτη ένα μήνυμα SPIT (π.χ. διαφήμιση προϊόντος) [ΝΑΚ07]. Οικονομικό Πανεπιστήμιο Αθηνών 150

151 Εικόνα 5.5: Εκμετάλλευση επικεφαλίδας FROM για την αποστολή SPIT μηνύματος Αδυναμίες οφειλόμενες στις προαιρετικές συστάσεις του πρωτοκόλλου Στη συγκεκριμένη κατηγορία περιλαμβάνονται οι αδυναμίες που προκύπτουν από τις προαιρετικές συστάσεις του πρωτοκόλλου. Οι προαιρετικές συστάσεις αναφέρονται σε στοιχεία εκείνα των προδιαγραφών του πρωτοκόλλου των οποίων η υιοθέτηση και κατ επέκταση υλοποίηση αφήνεται στη διακριτική ευχέρεια του εκάστοτε κατασκευαστή που θα αναπτύξει μια υποδομή VoIP με χρήση του πρωτοκόλλου SIP Εκμετάλλευση εξυπηρετητών εγγραφής Όπως έχει ήδη αναφερθεί (βλ. ενότητα ), ο εξυπηρετητής εγγραφής (registrar server) είναι υπεύθυνος για τη λήψη αιτημάτων εγγραφής (REGISTER messages) και επομένως για την ενημέρωση των πληροφοριών τοποθεσίας (location information) σε ότι αφορά ένα χρήστη. Επί της ουσίας, ο εν λόγω εξυπηρετητής είναι αυτός στον οποίο βασίζεται η παροχή υπηρεσιών καταλόγου (location service). Επομένως, μέσω αυτού παρέχονται οι πληροφορίες που αφορούν τις εγγραφές των χρηστών και κάποιο VoIP δικτυακό τομέα (network domain). Έτσι, ένας κακόβουλος χρήστης μπορεί να θέσει επερωτήσεις προς τον εξυπηρετητή εγγραφής αποτελούμενες από ειδικούς χαρακτήρες ή να εξαπολύσει επιθέσεις τύπου λεξικού (dictionary attacks), με άμεσο στόχο να λάβει ένα σύνολο διευθύνσεων SIP (SIP URIs). Το σενάριο αυτό είναι πολύ εύκολο να λάβει χώρα εξαιτίας του ότι, με βάση τις προδιαγραφές του πρωτοκόλλου, η αυθεντικοποίηση μεταξύ του χρήστη και του πληρεξούσιου εξυπηρετητή ή/και του εξυπηρετητή εγγραφών δεν είναι απαραίτητο να παρέχεται και να υλοποιείται. Πιο συγκεκριμένα, το πρωτόκολλο SIP δεν απαιτεί την υποχρεωτική ανάπτυξη υπηρεσιών αυθεντικοποίησης των αντιπροσώπων των χρηστών (UAs) από τους εκάστοτε πληρεξούσιους εξυπηρετητές. Γίνεται σαφές, επομένως, ότι η μη παροχή υπηρεσιών αυθεντικοποίησης μπορεί να διευκολύνει την εκδήλωση διαφόρων περιστατικών ανασφάλειας σε ένα Οικονομικό Πανεπιστήμιο Αθηνών 151

152 VoIP τομέα (domain), όπως λ.χ. η επίτευξη πλαστοπροσωπίας (impersonation) ενός νόμιμου χρήστη. Παράδειγμα τέτοιου τύπου επίθεσης αποτυπώνεται στην παρακάτω εικόνα. Εικόνα 5.6: Εκμετάλλευση Εξυπηρετητή Εγγραφής Τα βήματα της παραπάνω επίθεσης είναι τα εξής: Βήμα 0: Ο επιτιθέμενος κάνει επίθεση τύπου DoS στο χρήστη Bob, με στόχο να καταστεί αυτός μη διαθέσιμος. Βήμα 1: Ο επιτιθέμενος εγγράφεται (register) στο δικτυακό τομέα όπου ανήκει ο Bob. Bήμα 2: Η Alice στέλνει μήνυμα αίτησης INVITE προς τον Bob Βήμα 3: Ο πληρεξούσιος εξυπηρετητής του δικτυακού τομέα όπου ανήκει η Alice λαμβάνει το μήνυμα INVITE και το προωθεί στον πληρεξούσιος εξυπηρετητής του τομέα όπου ανήκει ο Bob. Βήμα 4: Ο πληρεξούσιος εξυπηρετητής του δικτυακού τομέα όπου ανήκει ο Bob αναζητά - μέσω της υπηρεσίας εγγεγραμμένων χρηστών - την IP διεύθυνση του Bob για να γίνει η επικοινωνία. H διεύθυνση που του επιστρέφεται είναι του επιτιθέμενου, ο οποίος υποδύεται τον Bob. Βήμα 5: Ο πληρεξούσιος εξυπηρετητής του δικτυακού τομέα όπου ανήκει ο Bob προωθεί το μήνυμα στον υποτιθέμενο Bob, ο οποίος πλέον αναπαριστάνεται από τον επιτιθέμενο. Βήμα 6: Ο επιτιθέμενος αποδέχεται το μήνυμα αίτησης και το προωθεί μέσω των εμπλεκόμενων στην επικοινωνία πληρεξούσιων εξυπηρετητών στην Αlice. Βήμα 7: Η Alice προωθεί το μήνυμα τελικής αποδοχής της κλήσης του Bob Προαιρετική εφαρμογή μηχανισμών ασφαλείας Το πρωτόκολλο SIP κατά τον ορισμό των προδιαγραφών του ορίζει ένα σύνολο προδιαγραφών ασφάλειας οι οποίες ενσωματώνουν διάφορες τεχνικές και μηχανισμούς ασφάλειας με στόχο να εξασφαλίζουν την απρόσκοπτη και εύρυθμη λειτουργία των υποδομών VoIP που βασίζονται στον εν λόγω πρωτόκολλο (βλ. ενότητα 3.4.1). Ωστόσο, πολλοί από τους προτεινόμενους μηχανισμούς, ενώ μπορούν να θέσουν ένα αρκετά ικανοποιητικό υπόβαθρο για την πρόληψη ενδεχόμενων περιστατικών SPIT, δεν είναι υποχρεωτικό να Οικονομικό Πανεπιστήμιο Αθηνών 152

153 υλοποιούνται. Το γεγονός αυτό καθιστά εύκολη την ενδεχόμενη εκδήλωση επιθέσεων SPIT. Στη συνέχεια παρουσιάζουμε, εν γένει πώς η έλλειψη των βασικών μηχανισμών ασφάλειας του SIP μπορεί να διευκολύνει την αποστολή SPIT μηνυμάτων. Παράλληλα, παρουσιάζονται συγκεκριμένες αδυναμίες που άπτονται, κυρίως, της έλλειψης ισχυρών μηχανισμών αυθεντικοποίησης Μη υλοποίηση βασικών μηχανισμών ασφάλειας στο SIP H χρήση του μηχανισμού TLS, ενώ επιβάλλεται στην περίπτωση των πληρεξούσιων εξυπηρετητών, των εξυπηρετητών επανακατεύθυνσης και εγγραφής, στην περίπτωση των αντιπροσώπων χρήστη δεν είναι υποχρεωτική. Το αποτέλεσμα μιας τέτοιας υλοποίησης, θα είναι η εγκαθίδρυση ενός μη ασφαλούς καναλιού επικοινωνίας μεταξύ αντιπροσώπων χρήστη και εξυπηρετητών, το οποίο μπορεί να οδηγήσει σε πλήθος επιθέσεων (π.χ. manin-the-middle). Τέτοιου είδους περιστατικά, διευκολύνουν την παραποίηση των ταυτοτήτων νόμιμων χρηστών, καθιστώντας τις επιθέσεις SPIT πιο αποτελεσματικές. Επιπρόσθετα, η χρήση του μηχανισμού IPSec δεν αντιμετωπίζεται ως υποχρεωτική, με αποτέλεσμα η έλλειψή της να ενισχύει τις δυνατότητες των κακόβουλων χρηστών να αποστείλουν SPIT μηνύματα. Τέλος, ο μηχανισμός S/MIME, παρόλο που προσφέρει υπηρεσίες ασφάλειας από άκρο σε άκρο (end to end security), δε θεωρείται υποχρεωτικός και, επομένως, μπορεί να διευκολύνει το έργο των επίδοξων επιτιθέμενων Έλλειψη αυθεντικοποίησης στον εξυπηρετητή εγγραφών Ο πλέον συνηθισμένος μηχανισμός αντιμετώπισης της ετεροπροσωπίας και της απόκρυψης ταυτότητας είναι η αυθεντικοποίηση των χρηστών. Παρά το γεγονός ότι η αυθεντικοποίηση αποτελεί βασική απαίτηση ασφάλειας, στην περίπτωση του πρωτοκόλλου SIP, αναφέρεται ως προαιρετικό χαρακτηριστικό και όχι ως αυστηρή απαίτηση. Το πρωτόκολλο SIP ορίζει ότι κατά την εγγραφή των χρηστών σε έναν εξυπηρετητή εγγραφής (registrar), δεν είναι απαραίτητος κάποιος μηχανισμός αυθεντικοποίησης. Οι επιτιθέμενοι, εκμεταλλευόμενοι αυτό το χαρακτηριστικό, έχουν τη δυνατότητα να αλλάζουν αυτόκλητα εγγραφές και να δημιουργούν νέες «ταυτότητες» με την μορφή εγγραφών, χωρίς να χρειάζεται να αποδείξουν την πραγματική ταυτότητά τους. Έτσι, καθίσταται δυνατή η απόκρυψη ή η αλλαγή της ταυτότητας τους, όταν εκδηλώνουν κάποια επίθεση SPIT Έλλειψη αυθεντικοποίησης για την επεξεργασία μηνυμάτων αιτήσεων Κάθε μήνυμα που αποστέλλεται για προώθηση σε έναν από τους πληρεξούσιους εξυπηρετητές ενός δικτυακού τομέα (network domain), μπορεί να ξεκινά μια επίθεση SPIT ή να δημιουργεί τις απαραίτητες προϋποθέσεις για την εκδήλωση τέτοιας επίθεσης. Αν ο πληρεξούσιος εξυπηρετητής δεν έχει έναν τρόπο να επαληθεύει τον αποστολέα του κάθε μηνύματος, δε είναι σε θέση να διασφαλίσει ότι διατηρείται η ταυτοπροσωπία των οντοτήτων που μετέχουν στην επικοινωνία. Το πρωτόκολλο, όπως και στην περίπτωση του εξυπηρετητή εγγραφής, ορίζει σχετικά χαλαρές απαιτήσεις όσον αφορά τις διαδικασίες που Οικονομικό Πανεπιστήμιο Αθηνών 153

154 ακολουθούνται κατά την παραλαβή ενός μηνύματος αίτησης από τον εκάστοτε πληρεξούσιο εξυπηρετητή, γεγονός που μπορεί να αποβεί προς το συμφέρον του επίδοξου επιτιθέμενου (spitter) Δυνατότητα χρήσης ταυτότητας Anonymous στην αυθεντικοποίηση Η διαδικασία της αυθεντικοποίησης, αντιμετωπίζεται γενικά με χαλαρότητα στις προδιαγραφές του πρωτοκόλλου SIP. Άλλο ένα χαρακτηριστικό παράδειγμα της κατάστασης αυτής, είναι ότι επιτρέπεται σε ένα χρήστη να απαντήσει σε μια αίτηση αυθεντικοποίησης με όνομα χρήστη anonymous και την κενή συμβολοσειρά για συνθηματικό. Αυτό το χαρακτηριστικό, αποτελεί ευπάθεια που μπορεί να εκμεταλλευτεί κάποιος επιτιθέμενος για να αποκρύψει την ταυτότητα του [ΚΟΤ08] Ζητήματα αυθεντικοποίησης μεταξύ των ενδιάμεσων εξυπηρετητών Ελάχιστη σημασία, κατά τον ορισμό των προδιαγραφών του πρωτοκόλλου, έχει δοθεί και στο ζήτημα της διασφάλισης της ταυτότητας των εμπλεκομένων ενδιάμεσων εξυπηρετητών. Αν στο ενδιάμεσο μέρος της επικοινωνίας υπήρχε η απαίτηση για αμοιβαία αυθεντικοποίηση μεταξύ των εξυπηρετητών, θα είχε προστεθεί ένα ικανοποιητικό επίπεδο ασφάλειας το οποίο θα ήταν πολύ χρήσιμο στην αντιμετώπιση της απειλής απόκρυψης ταυτότητας των ενδεχόμενων κακόβουλων χρηστών. Όταν έχουν εγκαθιδρυθεί τέτοιες σχέσεις εμπιστοσύνης ανάμεσα στα μέρη που ανταλλάσσουν μηνύματα, είναι δυσκολότερο για έναν εξωτερικό επιτιθέμενο να παρεμβληθεί στην επικοινωνία με οποιοδήποτε τρόπο και χωρίς να γίνει αντιληπτός. Επιπλέον, με την ύπαρξη τέτοιων σχέσεων, όλοι οι εξυπηρετητές που συμμετέχουν στην επικοινωνία έχουν συγκεκριμένη ταυτότητα. Έτσι, είναι πολύ δύσκολο για έναν ήδη έμπιστο ενδιάμεσο εξυπηρετητή να δράσει με κακόβουλο τρόπο Ελλιπής διαχείριση ψηφιακών πιστοποιητικών Είναι γνωστό, ότι ένας από τους αποτελεσματικότερους μηχανισμούς ταυτοποίησης και αυθεντικοποίησης είναι η χρήση ψηφιακών πιστοποιητικών. Ωστόσο, η χρήση τους δεν ορίζεται αυστηρά από το πρωτόκολλο SIP, γεγονός που διευκολύνει τη ενδεχόμενη μη ταυτοποίηση και αυθεντικοποίηση του εκάστοτε επιτιθέμενου (spitter). Για παράδειγμα, το πρωτόκολλο ορίζει πως όταν ένας ενδιάμεσος εξυπηρετητής παραλαμβάνει ένα αίτημα το οποίο περιέχει σώμα σε μορφή S/MIME, που περιέχει ένα ψηφιακό πιστοποιητικό, δεν είναι απαραίτητο να επαληθεύει την εγκυρότητα και την ισχύ του πιστοποιητικού αυτού, με ότι αρνητικές συνέπειες αυτό μπορεί να επιφέρει Έλλειψη μηχανισμών ασφαλείας σε peer-to-peer επικοινωνία Στις προδιαγραφές του SIP παρέχονται οδηγίες για τον ασφαλή τρόπο επικοινωνίας μεταξύ των εξυπηρετητών και μεταξύ των αντιπροσώπων χρήστη (UAs) και των εξυπηρετητών. Δεν υπάρχουν όμως οδηγίες για ασφαλή επικοινωνία μεταξύ των αντιπροσώπων των χρηστών. Οικονομικό Πανεπιστήμιο Αθηνών 154

155 Το SIP, εν γένει, ακολουθεί το μοντέλο πελάτη εξυπηρετητή (client server), όμως επιτρέπει και την απευθείας (peer-to-peer) επικοινωνία μεταξύ των αντιπροσώπων χρήστη, χωρίς τη μεσολάβηση πληρεξούσιων εξυπηρετητών ή άλλων ενδιάμεσων οντοτήτων. Οι οντότητες αυτές παρέχουν κυρίως υπηρεσίες δρομολόγησης και επανακατεύθυνσης, που δεν είναι απαραίτητες στην περίπτωση που ο αποστολέας ενός μηνύματος γνωρίζει τη διεύθυνση (SIP URI) του χρήστη ή χρηστών, στους οποίους θέλει να αποστείλει το μήνυμα. Ας υποθέσουμε, λοιπόν, ότι ο αποστολέας ενός μηνύματος είναι κακόβουλος χρήστης (spitter) και έχει καταφέρει με χρήση διαφόρων μεθόδων να αποκτήσει αρκετές διευθύνσεις χρηστών. Ο επιτιθέμενος, πλέον, έχει τη δυνατότητα να αποστείλει κατευθείαν μηνύματα SPIT σε άλλους χρήστες SIP, χωρίς τη μεσολάβηση ενδιάμεσων οντοτήτων οι οποίες εμπεριέχουν κάποιους μηχανισμούς ασφαλείας. Είναι φανερό ότι η έλλειψη καθορισμού μηχανισμών ασφαλείας σε απευθείας (peer-to-peer) επικοινωνία, μεταξύ αντιπροσώπων χρηστών, διευκολύνει την εκδήλωση επιθέσεων SPIT [SHIW06] Αδυναμίες οφειλόμενες σε ζητήματα διαλειτουργικότητας του SIP Στη συγκεκριμένη κατηγορία ανήκουν οι αδυναμίες που οφείλονται σε ζητήματα που άπτονται της διαλειτουργικότητας και συνέργειας του πρωτοκόλλου SIP με άλλα πρωτόκολλα που χρησιμοποιούνται στο πλαίσιο λειτουργίας του. Στο σημείο αυτό αξίζει να αναφερθεί ότι τα πρωτόκολλα τα οποία μελετούνται στη συγκεκριμένη περίπτωση είναι αυτά τα οποία έχουν μια οριζόντια επικάλυψη σε ότι αφορά τη λειτουργία του SIP, δηλαδή πρωτόκολλα τα οποία ανήκουν στο ίδιο με το SIP επίπεδο του OSI. Εσκεμμένα, αγνοούμε τα πρωτόκολλα που έχουν κάθετη επικάλυψη με το SIP και τα οποία ανήκουν σε επίπεδα κατώτερα του επίπεδου του SIP. Ο λόγος είναι, ότι οι αδυναμίες που αντιμετωπίζουν τα πρωτόκολλα της δεύτερης κατηγορίας είναι γνωστές στη βιβλιογραφία και δεν απαιτείται να αναφερθούν στην παρούσα ανάλυση [ΓΚΡΙ03], [NIST05]. Επιπλέον, η εκμετάλλευση των εν λόγω πρωτοκόλλων, χωρίς να αγνοούμε τις ενδεχόμενες επιπτώσεις που μπορεί να επιφέρει, δεν οδηγεί άμεσα σε περιστατικά SPIT. Αυτό συνεπάγεται, συνεπώς, ότι ο εκάστοτε επίδοξος επιτιθέμενος πρέπει να προβεί σε περαιτέρω ενέργειες προκειμένου να εξαπολύσει SPIT επιθέσεις. Οι περαιτέρω ενέργειες, αφορούν την εκμετάλλευση αδυναμιών και απειλών που αναφέρονται στο κεφάλαιο αυτό και αφορούν το πρωτόκολλο SIP Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Οι δικτυακές διευθύνσεις των πληρεξούσιων εξυπηρετητών μπορούν να ανακτηθούν εμμέσως μέσω της εκμετάλλευσης υπηρεσιών άλλων πρωτοκόλλων, όπως για παράδειγμα επερωτήσεις στις DNS εγγραφές, του πρωτοκόλλου ENUM κλπ. Ωστόσο, τα πρωτόκολλα αυτά αντιμετωπίζουν ένα σύνολο αδυναμιών, τις οποίες μπορεί να εκμεταλλευτεί ένας κακόβουλος χρήστης με στόχο την επίτευξη επιθέσεων SPIT. Στο πλαίσιο αυτό, και λόγω του ότι η λειτουργία του SIP βασίζεται εν μέρει και στις υπηρεσίες που παρέχουν τα προαναφερθέντα πρωτόκολλα, γίνεται φανερό ότι οι αδυναμίες Οικονομικό Πανεπιστήμιο Αθηνών 155

156 αυτές μεταβιβάζονται και στο SIP. Ως παράδειγμα, ας αναλογιστούμε διάφορα ενδεχόμενα, όπως επιθέσεις ενδιαμέσων οντοτήτων (man in the middle attacks), επιθέσεις παραποίησης της ταυτότητας ενός νόμιμου χρήστη (impersonation attacks), την αποστολή μηνυμάτων SPIT με χρήση ταυτοτήτων νόμιμων χρηστών, τη συγκέντρωση νέων διευθύνσεων τις οποίες ενδέχεται να χρησιμοποιήσει σε μετέπειτα επιθέσεις κλπ. Στη συνέχεια αναφέρονται κάποιες επιμέρους και πιο συγκεκριμένες αδυναμίες που οδηγούν στην εκμετάλλευση διαδικασιών διευθυνσιοδότησης στηριζόμενες σε πρωτόκολλα στα οποία βασίζεται η αποτελεσματική λειτουργία του SIP: Επιθέσεις SPIT οι οποίες οφείλονται σε γνωστές αδυναμίες τις οποίες αντιμετωπίζει το πρωτόκολλο DNS. Εκμετάλλευση των αδύναμων μηχανισμών εγγραφής που αντιμετωπίζει το πρωτόκολλο ENUM (ENUM registration process) και οι οποίες μπορούν να οδηγήσουν τόσο στην δημιουργία ψευδών λογαριασμών ή/και στη συγκέντρωση διευθύνσεων χρηστών οι οποίοι θα καταστούν παραλήπτες SPIT μηνυμάτων. H μη ελεγχόμενη υλοποίηση του πρωτοκόλλου ENUM (Public ENUM vs Private ENUM), μπορεί να διευκολύνει έναν κακόβουλο χρήστη είτε στο να δημιουργήσει ψευδείς διευθύνσεις ή/και να συλλέξει ενεργές διευθύνσεις νόμιμων (legitimate) χρηστών στους οποίους μπορεί να στείλει μηνύματα SPIT Αδυναμίες οφειλόμενες σε γενικές αδυναμίες ασφάλειας Στην ενότητα αυτή παρουσιάζονται αδυναμίες οι οποίες μπορούν να διευκολύνουν την εκδήλωση επιθέσεων SPIT λόγω άλλων γενικών αδυναμιών ασφάλειας και όχι αποκλειστικά λόγω του πρωτοκόλλου SIP. Κάποιες από τις αναγνωριζόμενες σε αυτή την κατηγορία αδυναμίες οφείλονται στο γεγονός ότι στο SIP δεν αυθεντικοποιούνται οι τελικοί χρήστες στους πληρεξούσιους εξυπηρετητές, ώστε να εγκαθιδρυθεί ένα ασφαλές κανάλι επικοινωνίας Παρακολούθηση κυκλοφορίας κοντά σε εξυπηρετητή SIP Μια απειλή που μπορεί να οδηγήσει στη συλλογή των διευθύνσεων των χρηστών είναι η παρακολούθηση της κίνησης που καταλήγει σε έναν πληρεξούσιο εξυπηρετητή (proxy server) ή σε έναν εξυπηρετητή εγγραφών (registrar). Πιο συγκεκριμένα, αν ένας κακόβουλος χρήστης έχει τη δυνατότητα, με χρήση κατάλληλου λογισμικού (packet sniffing software), της συλλογής και επεξεργασίας των μεταδιδόμενων SIP πακέτων, μπορεί μέσω της αποκάλυψης συγκεκριμένων πεδίων των επικεφαλίδων (π.χ. στις επικεφαλίδες To, Via και Contact) να συλλέξει μεγάλο αριθμό διευθύνσεων των χρηστών. Οι εν λόγω διευθύνσεις, επομένως, μπορούν να χρησιμοποιηθούν ώστε να προωθήσει SPIT μηνύματα προς του χρήστες που αντιστοιχούν. Οικονομικό Πανεπιστήμιο Αθηνών 156

157 Ανίχνευση των γνωστών θυρών του SIP Μια άλλη, γνωστή απειλή, είναι η ανίχνευση των δικτυακών θυρών (network ports) με χρήση κατάλληλου λογισμικού. Αφού στο πλαίσιο λειτουργίας του SIP το σύνολο σχεδόν των αντιπροσώπων χρηστών (UAs) χρησιμοποιούν τις δικτυακές θύρες 5060 και 5061, τότε ένας κακόβουλος χρήστης μπορεί μέσω ενός λογισμικού ανίχνευσης θυρών να καταγράψει όλες τις δικτυακές διευθύνσεις, οι οποίες ανταποκρίνονται (listening) στις συγκεκριμένες θύρες που ορίζονται από το SIP. Με αυτόν τον τρόπο, είναι δυνατή η συλλογή μιας λίστας διευθύνσεων οι οποίες μπορούν να χρησιμοποιηθούν για την αποστολή SPIT μηνυμάτων Πληρεξούσιος Εξυπηρετητής στο μέσον (Proxy-in-the-middle) Οι πληρεξούσιοι εξυπηρετητές, όπως έχει αναφερθεί, αποτελούν σημαντικές οντότητες σε ότι αφορά τη λειτουργία του πρωτοκόλλου SIP, μιας και σε αυτούς βασίζεται η διασύνδεση των διαφόρων οντοτήτων που μετέχουν σε μια SIP σύνοδο (session). Η διασφάλιση των εξυπηρετητών, όπως ορίζεται και από τις προδιαγραφές του SIP, κρίνεται αναγκαία γι αυτό και καθορίζονται ισχυροί μηχανισμοί ασφάλειας για την μεταξύ τους επικοινωνία (intracommunication). Ωστόσο, λόγω του ότι η λειτουργικότητα του πρωτοκόλλου, βασίζεται μεταξύ άλλων και σε γνωστά από το χώρο του διαδικτύου πρωτόκολλα, καθιστά αρκετά ευπαθείς τους πληρεξούσιους εξυπηρετητές σε διάφορες και γνωστές από το χώρο του διαδικτύου επιθέσεις (π.χ. hijacking). Επιπρόσθετα, το γεγονός ότι από τις προδιαγραφές του SIP, ορίζεται ότι οι πληρεξούσιοι εξυπηρετητές δεν πρέπει με κανένα τρόπο να τροποποιούν το σώμα των μηνυμάτων, ενδέχεται να οδηγήσει σε εσφαλμένη εντύπωση σχετικά με το συνολικό επίπεδο ασφάλειας που παρέχεται. Για παράδειγμα, διάφορες εφαρμογές και υπηρεσίες μπορεί να εγκατασταθούν στους αντιπροσώπους των χρηστών (UAs). Αυτές θα ενεργούν με την παραδοχή ότι ο χρήστης, αυθεντικοποιημένος ή όχι, θα προβαίνει σε ενέργειες που είναι σύμφωνες με συγκεκριμένες πολιτικές και αρχές ασφάλειας. Παρά το γεγονός ότι ένας χρήστης μπορεί πράγματι να ενεργεί νόμιμα, ένας κακόβουλος πληρεξούσιος εξυπηρετητής, ο οποίος τροποποιεί τα ανταλλασσόμενα μηνύματα, ενδέχεται να επηρεάσει αρνητικά την ασφαλή επικοινωνία. Η κατάσταση αυτή αποτελεί μια νέου τύπου απειλή στις υποδομές VoIP, τα χαρακτηριστικά της οποίας είναι παρόμοια με τις επιθέσεις ενδιαμέσων οντοτήτων (man-in-the-middle attacks). H απειλή αυτή είναι γνωστή ως Ενδιάμεσος Πληρεξούσιος Εξυπηρετητής (PITM: Proxy-In-The-Middle). Ένας κακόβουλος χρήστης εκμεταλλευόμενος την εν λόγω αδυναμία, μπορεί να θέσει σε επισφάλεια όλη τη λειτουργία της υποδομής VoIP που βασίζεται στο SIP. Τέλος, είναι χρήσιμο να αναφερθεί ότι οι επιθέσεις τύπου PITM ευνοούν σε μεγάλο βαθμό την εκμετάλλευση των αδυναμιών που έχουν αναφερθεί μέχρι στιγμής, ώστε ένας κακόβουλος χρήστης να προβεί σε επιθέσεις SPIT. Ωστόσο, όμως, εμφανίζονται επιπρόσθετες αδυναμίες, οι οποίες παρουσιάζονται στις επόμενες παραγράφους. Οικονομικό Πανεπιστήμιο Αθηνών 157

158 Εκμετάλλευση του αιτήματος re-invite Το πρωτόκολλο SIP δίνει στους χρήστες τη δυνατότητα να τροποποιήσουν τους ήδη οριζόμενους διαλόγους (dialogs), στο πλαίσιο μιας συνόδου (session). Αυτό μπορεί να επιτευχθεί με τη χρήση της μεθόδου re-invite, η οποία είναι ένα συνηθισμένο μήνυμα αίτησης (request message) INVITE, το οποίο αποστέλλεται κατά τη διάρκεια ενός διαλόγου. Το re-invite μήνυμα αίτησης χρησιμοποιείται για την τροποποίηση του διαλόγου και των παραμέτρων της συνόδου [RFC3261], [CAM02]. Για παράδειγμα, ένας χρήστης μπορεί να τροποποιήσει τον απομακρυσμένο στόχο (remote target) ενός διαλόγου ή να προσθέσει νέα ροή πολυμέσων (media streams) σε ένα διάλογο. Η δεύτερη περίπτωση, μπορεί να γίνει αντικείμενο εκμετάλλευσης από έναν ενδιάμεσο πληρεξούσιο εξυπηρετητή (PITM), κατά την διάρκεια ενός διαλόγου, αποσκοπώντας στην αποστολή παραποιημένων μηνυμάτων re-invite, τα οποία περιέχουν πολυμέσα με περιεχόμενο το οποίο χαρακτηρίζεται ως SPIT Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Η αποτελεσματικότητα μιας επίθεσης ενδιάμεσου πληρεξούσιου εξυπηρετητή (PITM attacks) αυξάνεται, αν ένας κακόβουλος χρήστης χρησιμοποιήσει το πεδίο επικεφαλίδας Record-Route. Χρησιμοποιώντας αυτό το πεδίο, ένας πληρεξούσιος εξυπηρετητής μπορεί να παραμείνει στην διαδρομή ανταλλαγής μηνυμάτων και μετά τον αρχικό διάλογο IN- VITE. Η αρχική πρόθεση χρήσης αυτού του πεδίου ήταν για την παροχή υπηρεσιών ενδιάμεσων κλήσεων (δυνατότητα παράπλευρης ιδιωτικής συνομιλίας κατά τη διάρκεια μιας τηλεδιάσκεψης κλπ.). Ωστόσο, ένας κακόβουλος πληρεξούσιος εξυπηρετητής μπορεί να χρησιμοποιήσει την προαναφερθείσα υπηρεσία προκειμένου να πετύχει μια SPIT παραβίαση. Άλλο ένα αξιοσημείωτο στοιχείο της δυνατότητας ενδιάμεσης κλήσης, είναι και ο χαρακτηρισμός ενός SIP μηνύματος σε ότι αφορά μια επείγουσα κλήση, γεγονός το οποίο μπορεί να χρησιμοποιηθεί ώστε τα ενδεχόμενα μηνύματα SPIT να αντιμετωπίζονται με υψηλότερη προτεραιότητα. Ένα μήνυμα SPIT με το συγκεκριμένο πεδίο επικεφαλίδας να δείχνει υψηλή προτεραιότητα, μπορεί να εκμεταλλευθεί αυτό το στοιχείο και να παραδοθεί άμεσα Σύνοψη Αδυναμιών Το σύνολο των αδυναμιών που παρουσιάστηκαν στις προηγούμενες παραγράφους αποτελεί, όπως έχει ήδη αναφέρει, το θεμελιώδες βήμα πάνω στο οποίο μπορεί να βασισθεί η αξιολόγηση των μηχανισμών και τεχνικών που έχουν προταθεί μέχρι στιγμής και στοχεύουν στην αντιμετώπιση του SPIT. Από την άλλη, βέβαια, μπορούν να χρησιμοποιηθούν και για την ενδεχόμενη ανάπτυξη ενός νέου μηχανισμού που θα στοχεύει στο να αντιμετωπίσει το σύνολο των αδυναμιών αυτών ή κατ ελάχιστο αυτών των αδυναμιών που κρίνονται ιδιαίτερα επικίνδυνες σε μια υποδομή VoIP. Στον πίνακα που ακολουθεί παρουσιάζονται, συνοπτικά, οι αναγνωριζόμενες αδυναμίες, με στόχο ο αναγνώστης να έχει μια εποπτική εικόνα αυτών. Οικονομικό Πανεπιστήμιο Αθηνών 158

159 Πίνακας 5.2: Συνολική εικόνα αδυναμιών και απειλών Κατηγορία Αδυναμιών Εγγενείς αδυναμίες του πρωτοκόλλου SIP Αδυναμίες οφειλόμενες στις προαιρετικές συστάσεις του πρωτοκόλλου Αδυναμίες οφειλόμενες σε ζητήματα διαλειτουργικότητας του SIP με άλλα πρωτόκολλα. Αδυναμίες οφειλόμενες σε γενικά ζητήματα ασφάλειας 5.6 Αξιολόγηση και Αποτίμηση Αδυναμιών Αναγνωριζόμενες Αδυναμίες Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Listening to a multicast address Αποκάλυψη Ενεργών Διευθύνσεων Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Αποστολή μηνυμάτων σε multicast διευθύνσεις Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Εκμετάλλευση της δομής των μηνυμάτων και των επικεφαλίδων Εκμετάλλευση εξυπηρετητών εγγραφής Προαιρετική εφαρμογή μηχανισμών ασφαλείας Προαιρετική χρήση και εφαρμογή μηχανισμών αυθεντικοποίησης Έλλειψη μηχανισμών ασφαλείας σε peer-to-peer επικοινωνία Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Παρακολούθηση κυκλοφορίας κοντά σε εξυπηρετητή SIP Ανίχνευση των γνωστών θυρών του SIP Πληρεξούσιος Εξυπηρετητής στο μέσον (Proxy-in-themiddle) Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Στην ενότητα αυτή παρουσιάζεται η αξιολόγηση και αποτίμηση των αδυναμιών που παρουσιάστηκαν στις προηγούμενες παραγράφους. Η μέχρι τώρα περιορισμένη (σε σχέση με την κλασσική τηλεφωνία) διείσδυση της τεχνολογίας VoIP, οδηγεί στην έλλειψη πραγματικών περιστατικών SPIT βάσει των οποίων μπορούμε να μελετήσουμε τις συνηθισμένες μεθόδους και τεχνικές που ενδέχεται να χρησιμοποιούν οι επίδοξοι επιτιθέμενοι (spitters). Η έλλειψη αυτή, μας οδηγεί στην εύρεση άλλων μεθόδων για την αξιολόγηση των αδυναμιών που αναγνωρίσθηκαν. Η μέθοδος που χρησιμοποιήθηκε ήταν η επικοινωνία με γνωστούς παρόχους VoIP υπηρεσιών, οι οποίοι λόγω της εμπειρίας, γνώσης και τεχνικής κατάρτισης αποτέλεσαν σημαντικό βοήθημα για την αξιολόγηση και κατ επέκταση την αναγνώριση των κρίσιμων αδυναμιών και απειλών των οποίων η εκμετάλλευση οδηγεί στην εκδήλωση αρκετά επιζήμιων επιθέσεων SPIT. Η επικοινωνία μας βασίστηκε σε ειδικά διαμορφωμένο, για αυτό το σκοπό, Οικονομικό Πανεπιστήμιο Αθηνών 159

160 ερωτηματολόγιο το οποίο ζητήθηκε να συμπληρωθεί από τους επικοινωνούντες παρόχους (βλ. ΠΑΡΑΡΤΗΜΑ Γ: ΕΡΩΤΗΜΑΤΟΛΟΓΙΟ ΑΞΙΟΛΟΓΗΣΗΣ ΑΔΥΝΑΜΙΩΝ) Μέθοδος Αποτίμησης Αδυναμιών Η αποτίμηση των αναγνωριζόμενων αδυναμιών οι οποίες μπορούν να διευκολύνουν την εκδήλωση μιας παραβίασης SPIT, πραγματοποιήθηκε με χρήση της μεθόδου που περιγράφεται στις επόμενες παραγράφους. Με στόχο να υπολογιστεί ο συνολικός κίνδυνος (risk) που αναφέρεται σε μια παραβίαση SPIT όταν ο ενδεχόμενος κακόβουλος χρήστης εκμεταλλευτεί μια ή περισσότερες από τις αναγνωριζόμενες αδυναμίες, ορίστηκαν δύο κριτήρια: (α) η πιθανότητα εκδήλωσης μιας παραβίασης SPIT, και (β) η επίπτωση από την ενδεχόμενη πραγματοποίηση μιας παραβίασης SPIT. Η πιθανότητα εκδήλωσης (Likehood) αναφέρεται στο πόσο πιθανό είναι το ενδεχόμενο να εκδηλωθεί από έναν κακόβουλο χρήστη μια παραβίαση SPIT, όταν και αν αυτός εκμεταλλευτεί μια συγκεκριμένη αδυναμία. Ο παράγοντας στον οποίο βασίζεται το κριτήριο της πιθανότητας εκδήλωσης μιας παραβίασης SPIT αφορά, κυρίως, στο βαθμό δυσκολίας από άποψη τεχνολογιών και τεχνικών που έχει να αντιμετωπίσει ο επίδοξος επιτιθέμενος (spitter) προκειμένου να πετύχει το σκοπό του. Η διαβάθμιση της πιθανότητας εκδήλωσης μιας παραβίασης SPIT γίνεται σε τρία (3) επίπεδα (βλ. Πίνακας 5.3), τα οποία είναι: Χαμηλή πιθανότητα εκδήλωσης (Low Likehood - Unlikely): Η συγκεκριμένη περίπτωση αναφέρεται σε χαμηλή πιθανότητα να πραγματοποιηθεί η εκάστοτε απειλή ενώ παράλληλα απαιτείται σημαντική προσπάθεια από τεχνολογικής άποψης από τον εκάστοτε επιτιθέμενο. Μέση πιθανότητα εκδήλωσης (Medium Likehood - Possible): Η περίπτωση αυτή αναφέρεται στην ύπαρξη αρκετών τεχνολογικών δυσκολιών που καλείται να αντιμετωπίσει ο εκάστοτε κακόβουλος χρήστης ώστε να επιτύχει το στόχο του. Υψηλή πιθανότητα εκδήλωσης (High Likehood - Likely): Στην περίπτωση αυτή, ο ενδεχόμενος επιτιθέμενος δεν έχει να αντιμετωπίσει καμία τεχνολογική δυσκολία και επομένως η εκδήλωση μιας παραβίασης SPIT είναι πολύ πιθανό να πραγματοποιηθεί. Σε ότι αφορά το κριτήριο της επίπτωσης (Impact), στην περίπτωση αυτή εξετάζονται οι συνέπειες που συνεπάγεται η εκδήλωση μιας παραβίασης SPIT, η οποία πραγματοποιείται όταν ο κακόβουλος χρήστης εκμεταλλευτεί την εκάστοτε απειλή ή/και αδυναμία. Ομοίως, με το κριτήριο της πιθανότητας εκδήλωσης, η διαβάθμιση της επίπτωσης γίνεται σε τρία (3) επίπεδα, τα οποία είναι: Χαμηλή επίπτωση (Low Impact): Στη συγκεκριμένη περίπτωση, οι συνέπειες από την πραγματοποίηση μιας παραβίασης SPIT αφορούν μόνο την ενόχληση των χρηστών και κατ επέκταση μπορούν να αντιμετωπιστούν αρκετά εύκολα. Μέση επίπτωση (Medium Impact): Στη συγκεκριμένη περίπτωση, ενδεχόμενη εκδήλωσης μιας παραβίασης SPIT αφορά ένα μεμονωμένο χρήστη. Οι συνέπειες σχετίζονται, Οικονομικό Πανεπιστήμιο Αθηνών 160

161 κυρίως, με τη διακοπή των εργασιών του χρήστη (loss of productivity) για αρκετά μεγάλο χρονικό διάστημα. Υψηλή Επίπτωση (High Impact): Στην περίπτωση αυτή η πραγματοποίηση μιας παραβίασης SPIT έχει συνέπειες που άπτονται της διακοπή εργασιών (loss of productivity) ενός μεγάλου αριθμού χρηστών για αρκετά μεγάλο χρονικό διάστημα. Με βάση τα κριτήρια αυτά και με στόχο να προσδιοριστεί ο κίνδυνος σχετικά με τη εκδήλωση μιας παραβίασης SPIT λήφθηκαν υπόψη τόσο τεχνολογικά όσο και εμπορικά ζητήματα (technical and commercial aspects). Πιο συγκεκριμένα οι πάροχοι VoIP υπηρεσιών που μετείχαν στο Ευρωπαϊκό έργο SPIDER 5 (λ.χ. VozTelecom, Telio κλπ.), αποτίμησαν τις αδυναμίες, που αναφέρθηκαν στην ενότητα 5.5, σε σχέση με τις επιπτώσεις που θα επέφερε η ενδεχόμενη εκμετάλλευση κάθε μίας από τις αυτές. Οι επιπτώσεις αυτές αφορούν ζητήματα που άπτονται της ποιότητας των παρεχόμενων υπηρεσιών, τη σχέση του παρόχου με τους πελάτες-χρήστες των υπηρεσιών τους, τον εμπορικό ανταγωνισμό που καλούνται να αντιμετωπίσουν σε ότι αφορά την παροχή υπηρεσιών VoIP, τη φήμη της εταιρείας κλπ. Επιπρόσθετα, οι αναγνωριζόμενες αδυναμίες αποτιμήθηκαν και ως προς τις τεχνολογικές τους πτυχές, ορίζοντας τις τεχνικές απαντήσεις (βλ. Πίνακας 5.4 έως Πίνακας 5.7). Ο στόχος ήταν να αξιολογηθεί ο βαθμός δυσκολίας προκειμένου να πραγματοποιηθούν περιστατικά SPIT. Έτσι, λοιπόν, για τον υπολογισμό του συνολικού κινδύνου ενοποιήθηκαν οι απαντήσεις τόσο των παρόχων όσο και οι τεχνικές απαντήσεις, με βάση τους παρακάτω μαθηματικούς τύπους: L = a L i + A L j, σε ότι αφορά την πιθανότητα εκδήλωσης (Likehood), και Ι = Α Ι i + a I j σε ότι αφορά την επίπτωση (Impact). Στις μαθηματικές αυτές σχέσεις, οι τιμές Li και Ii αναφέρονται στις τιμές που δόθηκαν από τους ερωτηθέντες παρόχους υπηρεσιών VoIP (απαντήσεις παρόχων), ενώ οι τιμές Lj και Ij αναφέρονται αποκλειστικά στα τεχνολογικά ζητήματα που λήφθηκαν υπόψη (τεχνικές απαντήσεις). Επιπλέον, οι τιμές Α και α, υποδηλώνουν το βάρος (weight) που αναφέρεται σε κάθε απάντηση. Στόχος μας ήταν να δοθεί μεγαλύτερο βάρος στις απαντήσεις των παρόχων σε ότι αφορά τα ζητήματα επιπτώσεων, ενώ από την άλλη να δοθεί μεγαλύτερο βάρος στις απαντήσεις που αφορούν την πιθανότητα εκδήλωσης επιθέσεων SPIT και συναρτώνται αποκλειστικά από τα τεχνολογικά ζητήματα. Έτσι, οι τιμές που δόθηκαν ήταν Α = 0,6 και α = 0,4. Τέλος, σε ότι αφορά τον υπολογισμό του κινδύνου, αυτός υπολογίζεται με βάση τη σχέση: R = L I. H διαβάθμιση του κινδύνου σε αυτή την περίπτωση θεωρείται χαμηλή (low), όταν το R [1, 4], μέσο (medium) όταν R (4, 16], και υψηλό (high), όταν R (16, 25]. Τέλος, στην 5 SPIDER project site: Οικονομικό Πανεπιστήμιο Αθηνών 161

162 περίπτωση όπου από κάποιον πάροχο υπηρεσιών δεν δίνεται τιμή σε ότι αφορά την επίπτωση (impact), τότε οι τιμές που δίνονται στις προαναφερθείσες σχέσεις ορίζονται ως εξής: Li= 0, Ii = 0, και Α = a = 1 αντίστοιχα. Η διαβάθμιση και κατηγοριοποίηση των προαναφερθέντων μεγεθών (πιθανότητα εκδήλωσης SPIT, επίπτωση και κίνδυνος) συνοψίζεται στον παρακάτω πίνακα. Πίνακας 5.3: Διαβάθμιση κριτηρίων αποτίμησης αδυναμιών Κριτήριο Διαβάθμιση Μέσο διαβάθμισης Βαθμός Πιθανότητα Εκδήλωσης (Likelihood) Επίπτωση (Impact) Κίνδυνος (Risk) Απίθανο (Χαμηλή) Δύσκολος τρόπος εκμετάλλευσης 1 Πιθανό (Μέση) Μέσης δυσκολίας τρόπος εκμετάλλευσης 3 Πολύ πιθανό (Υψηλή) Πολύ απλός τρόπος εκμετάλλευσης 5 Χαμηλή Ενόχληση 1 Μέση Διακοπή εργασίας μεμονωμένου χρήστη 3 Υψηλή Διακοπή εργασίας πολλών χρηστών 5 Χαμηλό Δεν απαιτούνται μέτρα R [1, 4] Μέσο Απαιτούνται μέτρα αντιμετώπισης R (4, 16] Υψηλό Υψηλή προτεραιότητα και ανάπτυξη συγκεκριμένων μέτρων αντιμετώπισης R (16, 25] Στις ενότητες που ακολουθούν παρουσιάζεται η αποτίμηση των αδυναμιών και απειλών ταξινομημένες στις τέσσερις (4) κατηγορίες αδυναμιών Αποτίμηση Εγγενών Αδυναμιών Πρωτοκόλλου SIP Στον πίνακα που ακολουθεί, συνοψίζονται τα αποτελέσματα που αφορούν την αποτίμηση των εγγενών αδυναμιών του πρωτοκόλλου SIP. Επιπρόσθετα, παρουσιάζεται και ο βαθμός κινδύνου (risk factor, R), που αφορά την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. Πίνακας 5.4: Αποτίμηση εγγενών αδυναμιών του πρωτοκόλλου SIP Αδυναμία Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Listening to a Multicast Address. Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I Low (1) Medium (3) High (3) High (3) High (5) High (3) High (3) High (5) High (5) High (5) Medium (3.4) High (5) High (5) Medium (3.8) R High (25) High (25) Medium (13) Αποκάλυψη Ενεργών Διευθύνσεων Low (1) Low (1) High (5) Low (1) Medium (3.4) Low (1) Low (3.4) Οικονομικό Πανεπιστήμιο Αθηνών 162

163 Αδυναμία Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Αποστολή μηνυμάτων σε multicast διευθύνσεις Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Μήνυμα αίτησης: Invite, ACK Μήνυμα αίτησης: Message Μήνυμα απόκρισης: 180 Ringing 182 Queued, 183 Session Progress Μήνυμα απόκρισης: 200 OK Μήνυμα απόκρισης: 300 Multiple Choices, 380 Alternative Services Μήνυμα απόκρισης: 400 Bad Request, 480 Temporally Unavailable, 484 Address Incomplete, 488 Not Acceptable Here Μήνυμα απόκρισης: 606 Not Acceptable Header Fields: Subject, From, Contact, To Header Fields: Alert-Info Header Fields: Call-Info Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I Low (1) High (5) High (5) Low (1) Low (1) Low (1) Medium (3) Low (1) Low (1) Low (1) Low (1) Low (1) Medium (3) Low (1) Low (1) Low (1) High (5) Medium (3) Low (1) Medium (3) Low (1) Medium (3) Low (1) Low (1) Low (1) Low (1) Low (1) Low (1) Low (1) Low (1) High (5) Low (1) Low (1) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) Medium (3) High (5) High (5) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3.4) Medium (2.6) Medium (2.6) Medium (3.4) Medium (3.4) Medium (3.4) High (4.2) Medium (3.4) Medium (3.4) Medium (3.4) Medium (3.4) Medium (3.4) High (4.2) Medium( 3.4) Medium (3.4) Medium (2.6) High (5) Medium (3) Medium (2.6) Medium (3.8) Low (1.8) Medium (3) Low (1.8) Low (1.8) Low (1.8) Low (1.8) Low (1.8) Low (1.8) Low (1.8) Low (1.8) R Medium (8.8) Medium (13) Medium (7.8) Medium (8.8) Medium (12.9) Medium (6.1) Medium (12.6) Medium (8.8) Medium (8.8) Medium (8.8) Medium (8.8) Medium (8.8) Medium (7.5) Medium (8.8) Medium (8.8) Οικονομικό Πανεπιστήμιο Αθηνών 163

164 Αδυναμία Header: Retry After Header Fields: Error-Info Header Fields: Warning Header Fields: Content-Disposition Header Fields: Content-Type Header Fields: Priority Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I Low (1) Low (1) Low (1) Low (1) Medium (3) Medium (3) Low (1) Low (1) Low (1) Low (1) Medium (3) Medium (3) High (5) High (5) High (5) High (5) High (5) High (5) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3) Medium (3.4) Medium (3.4) Medium (3.4) Medium (3.4) High (4.2) High (4.2) Low (1.8) Low (1.8) Low (1.8) Low (1.8) Medium (3) Medium (3) R Medium (8.8) Medium (8.8) Medium (8.8) Medium (8.8) Medium (12.6) Medium (12.6) Αποτίμηση Αδυναμιών οφειλόμενων στις προαιρετικές συστάσεις του SIP Στον πίνακα που ακολουθεί, συνοψίζονται τα αποτελέσματα που αφορούν την αποτίμηση των αδυναμιών που οφείλονται στις προαιρετικές συστάσεις που ορίζονται από τις προδιαγραφές του πρωτοκόλλου SIP. Επιπρόσθετα, παρουσιάζεται και ο βαθμός κινδύνου (risk factor, R), που αφορά την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. Πίνακας 5.5: Αποτίμηση αδυναμιών που οφείλονται σε προαιρετικές συστάσεις του SIP Αδυναμία Εκμετάλλευση εξυπηρετητών εγγραφής Μη υλοποίηση βασικών μηχανισμών ασφάλειας στο SIP Έλλειψη αυθεντικοποίησης στον εξυπηρετητή εγγραφών Έλλειψη αυθεντικοποίησης για τη επεξεργασία μηνυμάτων αιτήσεων Δυνατότητα χρήση της ταυτότητας Anonymous κατά την αυθεντικοποίηση Ζητήματα αυθεντικοποίησης μεταξύ των ενδιάμεσων εξυπηρετητών Ελλειπής διαχείριση ψηφιακών πιστοποιητικών Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I - - Low (1) High (5) High (5) Low (1) Low (1) Low (1) High (5) Medium (3) Medium (3) Low (1) High (3) High (3) High (5) Low (1) Low (1) High (5) High (5) High (3) High (3) High (5) High (5) Medium (3) High (5) High (5) High (5) High (5) Medium (3.4) Medium (2.6) Medium (2.6) Medium (3.4) Medium (3.4) High (5) High (5) Medium (2.6) High (5) Medium (3) Medium (3.8) Medium (2.6) R High (25) High (25) Medium (8.8) Medium (13) Medium (7.8) Medium (12.9) Medium (8.8) Οικονομικό Πανεπιστήμιο Αθηνών 164

165 5.6.4 Αποτίμηση Αδυναμιών οφειλόμενων σε Ζητήματα Διαλειτουργικότητας του SIP Στον πίνακα που ακολουθεί, συνοψίζονται τα αποτελέσματα που αφορούν την αποτίμηση των απειλών που οφείλονται σε ζητήματα διαλειτουργικότητας και συνέργειας του πρωτοκόλλου SIP με άλλα πρωτόκολλα. Επιπρόσθετα, παρουσιάζεται και ο βαθμός κινδύνου (risk factor, R), που αφορά την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. Πίνακας 5.6: Αποτίμηση αδυναμιών που οφείλονται σε ζητήματα διαλειτουργικότητας του SIP με άλλα πρωτόκολλα Απειλή Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Ασθενείς μηχανισμοί εγγραφής πρωτοκόλλου ENUM Αδυναμίες οφειλόμενες στο πρωτόκολλο DNS Public ENUM versus Private ENUM Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I Αποτίμηση Αδυναμιών οφειλόμενων σε γενικά Ζητήματα Ασφάλειας High (3) High (3) High (3) High (3) Τέλος, στον παρακάτω πίνακα παρουσιάζονται τα αποτελέσματα που αφορούν την αποτίμηση των αδυναμιών που οφείλονται σε γενικά ζητήματα ασφάλειας. Επιπρόσθετα, παρουσιάζεται και ο βαθμός κινδύνου (risk factor, R), που αφορά την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. High (3) High (3) High (3) High (3) High (5) High (5) High (5) High (5) High (5) High (5) High (5) High (5) R High (25) High (25) High (25) High (25) Πίνακας 5.7: Αποτίμηση αδυναμιών που οφείλονται σε γενικά ζητήματα ασφάλειας Απειλή Παρακολούθηση κυκλοφορίας κοντά σε εξυπηρετητή SIP Ανίχνευση των γνωστών θυρών του SIP Ενδιάμεσος πληρεξούσιος εξυπηρετητής (PITM) Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Απαντήσεις παρόχων Τεχνικές Απαντήσεις Ενοποίηση Απαντήσεων L I L I L I Low (1) High (5) High (5) Low (1) Low (1) Low (1) Low (1) Low (1) High (5) High (5) Low (1) High (5) High (5) Low (1) Low (1) High (5) High (5) High (5) High (5) High (5) Low (1) High (5) High (5) Low (1) Low (1) Low (3.8) Medium (2.6) Medium (2.6) High (5) High (5) R Low (3.8) Medium (13) Medium (13) Medium (5) Medium (5) Οικονομικό Πανεπιστήμιο Αθηνών 165

166 5.6.6 Αποτελέσματα Αξιολόγησης Η προσεκτική μελέτη των παραπάνω πινάκων στους οποίους συνοψίζονται τα αποτελέσματα της αξιολόγησης των αδυναμιών, καθορίζει σε μεγάλο βαθμό το πού πρέπει να στραφεί το ενδιαφέρον τόσο των παρόχων υπηρεσιών, όσο και των απλών χρηστών προκειμένου να καταστεί ικανός ο αποτελεσματικός και αποδοτικός έλεγχος του φαινομένου SPIT. Μέσω της ανάλυσης των σημαντικών αδυναμιών και απειλών μπορούν να υιοθετηθούν και αναπτυχθούν συγκεκριμένοι έλεγχοι και μέτρα αντιμετώπισης του SPIT (anti-spit measures), τα οποία από τη μία πλευρά θα ελαχιστοποιήσουν τα ενδεχόμενα εκδήλωσης επιθέσεων SPIT και από την άλλη, θα περιορίσουν σε σημαντικό βαθμό τις ενδεχόμενες επιπτώσεις και συνέπειες που θα προκληθούν ακόμα και αν συμβεί ένα περιστατικό παραβίασης SPIT [MAR07]. Στο πλαίσιο αυτό, οι ερωτηθέντες πάροχοι υπηρεσιών VoIP αναγνώρισαν ότι η ενδεχόμενη παραβίαση SPIT θα επηρεάσει σημαντικά το όλο πλαίσιο λειτουργίας τους, θέτοντας αρκετά ζητήματα και ερωτηματικά ως προς την περαιτέρω διείσδυση και χρήση των υπηρεσιών που προσφέρουν. Οι σημαντικότερες επιπτώσεις που οι πάροχοι υπηρεσιών θεωρούν σημαντικές σε περίπτωση εκδήλωσης παραβίασης SPIT είναι μεταξύ άλλων: (α) η απώλεια καλής φήμης της εταιρείας με ότι αρνητικές συνέπειες αυτό μπορεί να επιφέρει σε ένα πλήρως αναπτυσσόμενο και ανταγωνιστικό περιβάλλον, (β) η απώλεια πελατών και κατ επέκταση οικονομικών κερδών, (γ) η κακή χρήση των δικτυακών πόρων που ενδέχεται να επηρεάσει αρνητικά την ποιότητα των παρεχόμενων υπηρεσιών, και (δ) η ενδεχόμενη διακοπή παροχής υπηρεσιών. Έτσι, ολοκληρώνοντας την ανάλυση, από το σύνολο των αναγνωριζόμενων αδυναμιών, παρατηρείται ότι το σύνολο αυτών αποτιμώνται με υψηλό βαθμό κινδύνου (Μέσος και Υψηλός βαθμός κινδύνου, όπως παρουσιάζεται στους σχετικούς πίνακες). Το γεγονός αυτό, αποτυπώνει με έκδηλο τρόπο, πώς η αντιμετώπιση και αποτελεσματική διαχείριση του φαινομένου SPIT απαιτεί μελετημένες και ουσιαστικές πρωτοβουλίες και δράσεις, ώστε να αποφευχθούν όσο το δυνατόν νωρίτερα παρόμοιες με την περίπτωση του SPAM καταστάσεις. Τέλος, στη συνέχεια παρουσιάζονται οι αδυναμίες οι οποίες κατά την αξιολόγηση έλαβαν μεγάλο βαθμό σε ότι αφορά είτε την πιθανότητα εκδήλωσής τους (likehood), είτε της επίπτωσης από την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT (impact) [MAR07]: Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Μήνυμα αίτησης MESSAGE. Εκμετάλλευση stateless εξυπηρετητών Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση της δομής των μηνυμάτων και των επικεφαλίδων Οικονομικό Πανεπιστήμιο Αθηνών 166

167 Εκμετάλλευση εξυπηρετητών εγγραφής (registrar servers). Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Ανίχνευση των γνωστών θυρών του SIP Ενδιάμεσος πληρεξούσιος εξυπηρετητής (PITM) Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route 5.7 Αξιολόγηση Αποτελεσματικότητας Μηχανισμών anti-spit Στο κεφάλαιο 4, παρουσιάστηκε μια ανάλυση των τρέχουσων προσεγγίσεων σε ότι αφορά την αντιμετώπιση του SPIT. Οι μηχανισμοί αυτοί αξιολογήθηκαν με βάση διάφορα ποιοτικά και ποσοτικά κριτήρια, και διαπιστώθηκε ότι κρίνονται ανεπαρκείς στο να καλύψουν και να αντιμετωπίσουν ολοκληρωμένα και αποτελεσματικά το φαινόμενο SPIT. Κρίνεται, επομένως, απαραίτητο να μελετηθεί πώς οι μηχανισμοί αυτοί ανταποκρίνονται και αντιμετωπίζουν τις αδυναμίες του SIP, που εντοπίστηκαν και διευκολύνουν τις SPIT επιθέσεις. Η ανάλυση αυτή θα επιτρέψει να αναγνωρισθούν οι ενδεχόμενες ελλείψεις και τα μειονεκτήματα των anti-spit μηχανισμών, με στόχο η προτεινόμενη στην παρούσα διατριβή προσέγγιση να ανταπεξέλθει σε αυτά τα μειονεκτήματα και να καταστεί πιο αποδοτική και αποτελεσματική. Έτσι, λοιπόν, με βάση τη μελέτη των βασικών τεχνικών και μηχανισμών που έχουν προταθεί, στους παρακάτω πίνακες παρουσιάζεται η καταλληλότητά τους για την καταπολέμηση του SPIT [GRI08]. Πίνακας 5.8: Αξιολόγηση βασικών τεχνικών anti-spit ως προς αδυναμίες του SIP Αδυναμίες Βασικές Τεχνικές anti-spit Αποκάλυψη Ενεργών Διευθύνσεων Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Αποστολή μηνυμάτων σε multicast διευθύνσεις Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Εκμετάλλευση εξυπηρετητών εγγραφής Εκμετάλλευση διαδικασιών διευθυνσιοδότησης σε ένα δικτυακό τομέα Black and white lists Content filtering Challenge-Response Consent-based Reputation-based User address management Charging-based Βασίζεται σε άλλους τρόπους αντιμετώπισης Οικονομικό Πανεπιστήμιο Αθηνών 167

168 Αδυναμίες Βασικές Τεχνικές anti-spit Ενδιάμεσος πληρεξούσιος εξυπηρετητής (PITM) Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Εκμετάλλευση μηνυμάτων και επικεφαλίδων Black and white lists Content filtering Challenge-Response Consent-based Reputation-based User address management Charging-based Βασίζεται σε άλλους τρόπους αντιμετώπισης Πίνακας 5.9: Αξιολόγηση anti-spit προσεγγίσεων ως προς αδυναμίες SIP Anti-SPIT Μηχανισμοί Αδυναμίες Αποκάλυψη Ενεργών Διευθύνσεων Δημιουργία πολλαπλών λογαριασμών SIP Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι εξυπηρετητές και B2B αντιπρόσωποι χρήστη Αποστολή μηνυμάτων σε multicast διευθύνσεις Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών Εκμετάλλευση εξυπηρετητών εγγραφής Εκμετάλλευση του αιτήματος re-invite Εκμετάλλευση του πεδίου επικεφαλίδας Record-Route Anonymous Verifying Authorities Network Layer Anti-SPIT Entity Reputation and Charging techniques DAPES Progressive Multi Gray-Leveling Biometric Framework RFC4474 SIP SAML DSIP` Voice SPAM Detector VoIP SEAL Οικονομικό Πανεπιστήμιο Αθηνών 168

169 Αδυναμίες Anti-SPIT Μηχανισμοί Anonymous Verifying Authorities Network Layer Anti-SPIT Entity Reputation and Charging techniques DAPES Progressive Multi Gray-Leveling Biometric Framework RFC4474 SIP SAML DSIP` Voice SPAM Detector VoIP SEAL Εκμετάλλευση μηνυμάτων και επικεφαλίδων 5.8 Σύνοψη Στο κεφάλαιο αυτό παρουσιάστηκε η ανάλυση του πρωτοκόλλου SIP με στόχο την εύρεση και καταγραφή των βασικών αδυναμιών αυτού, οι οποίες δύνανται μέσω της εκμετάλλευσής τους, να οδηγήσουν σε περιστατικά SPIT. Το σύνολο των αδυναμιών αυτών μας διευκολύνει, όπως θα παρουσιαστεί στη συνέχεια, στον ορισμό συγκεκριμένων σεναρίων επιθέσεων (attacks scenarios), τα οποία θα χρησιμοποιούνται από την προτεινόμενη προσέγγιση διαχείρισης του φαινομένου SPIT, με στόχο την ανίχνευση επιθέσεων SPIT και κατ επέκταση την αντιμετώπισή τους. Οικονομικό Πανεπιστήμιο Αθηνών 169

170 / 6 Ανίχνευση και Ταυτοποίηση SPIT Επιθέσεων Imagination is the beginning of creation. You imagine what you desire, you will what you imagine and at last you create what you will George Bernard Shaw 6 Ανίχνευση και Ταυτοποίηση SPIT Επιθέσεων 6.1 Εισαγωγή Στο προηγούμενο κεφάλαιο παρουσιάστηκαν οι αδυναμίες που έχει το πρωτόκολλο SIP και οι οποίες μπορούν να διευκολύνουν την εκδήλωση επιθέσεων SPIT. Αν η εξάπλωση του φαινομένου SPIT, πραγματοποιηθεί με τους ρυθμούς διάδοσης και επικράτησης του φαινομένου SPAM, τότε η περαιτέρω διείσδυση και χρήση της τεχνολογίας VoIP τίθεται σε κίνδυνο. Στο κεφάλαιο αυτό, λοιπόν, παρουσιάζει και τονίζεται ότι η αποτελεσματική διαχείριση του SPIT πρέπει να γίνεται με έναν ολοκληρωμένο τρόπο, αποτελούμενη από διακριτά μεταξύ τους στάδια και φάσεις που αναφέρονται στη πρόληψη, ανίχνευση και τελικά αντίδραση-ανάδραση στις ενδεχόμενες επιθέσεις SPIT. Έτσι, προτείνεται ένα σύνολο κριτηρίων αναγνώρισης και ταυτοποίησης ενδεχόμενων επιθέσεων SPIΤ. Επιπρόσθετα, με στόχο η αναγνώριση των περιστατικών SPIT να καταστεί πιο αποτελεσματική, μοντελοποιούμε το σύνολο των αδυναμιών που μελετήθηκαν στο προηγούμενο κεφάλαιο, με χρήση δένδρων και γράφων επιθέσεων. Η μοντελοποίηση αυτή σε συνδυασμό με τα κριτήρια αναγνώρισης, θα διαμορφώσουν ένα σύνολο σεναρίων επιθέσεων SPIT, η χρήση των οποίων, καθιστά την αναγνώριση και ταυτοποίησή τους πιο αποδοτική και ουσιαστική, διευκολύνοντας περαιτέρω και τον ορισμό πιθανών ενεργειών αντιμετώπισης τους [MAL07]. 6.2 Περιγραφή Προσέγγισης Όπως έχει ήδη αναφερθεί, η τεχνολογία VoIP παρέχει τις βασικές λειτουργίες για την εγκαθίδρυση και υποστήριξη συνόδων φωνής (voice sessions). Επιπλέον, η σε πραγματικό Οικονομικό Πανεπιστήμιο Αθηνών 170

171 χρόνο απαίτηση λειτουργίας του VoIP, καθιστά προτιμότερη την αντιμετώπιση και διαχείριση του φαινομένου SPIT κατά τη φάση της σηματοδοσίας - λόγω της πιο σύντομης και λιγότερο απαιτητικής σε πόρους διαδικασία- από ότι στη φάση της αποστολής του κυρίως περιεχομένου της κλήσης (φωνή). Με βάση, λοιπόν, το βασικό λειτουργικό σχήμα του SIP (τραπεζοειδές, βλ. Εικόνα 2.14), θεωρούμε ότι η ουσιαστική διαχείριση του SPIT θα πρέπει να βασίζεται σε τρία διακριτά μεταξύ τους στάδια, όπως φαίνεται και από την εικόνα που ακολουθεί. Τα στάδια αυτά, τα οποία αναλύονται στις επόμενες ενότητες με μεγαλύτερη λεπτομέρεια, είναι η πρόληψη, η ανίχνευση και, εν τέλει, η αντίδραση σε ενδεχόμενες επιθέσεις SPIT [DRI08]. Εικόνα 6.1: Μακροσκοπική απεικόνιση πλαισίου διαχείρισης SPIT Πρόληψη Επιθέσεων SPIT Το στάδιο της πρόληψης αναφέρεται σε εκείνες τις ενέργειες οι οποίες υιοθετούνται προκειμένου να αποτραπεί η εκδήλωση μιας ενδεχόμενης παραβίασης SPIT. Πιο συγκεκριμένα, η πρόληψη αποσκοπεί στο να αποτρέψει έναν κακόβουλο χρήστη από να επιχειρήσει να κάνει μια SPIT κλήση ή να αποστείλει ένα στιγμιαίο μήνυμα και αυτό να περάσει από τον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα που ο χρήστης ανήκει (outbound proxy server) και να εισέλθει στο διαδίκτυο. Προφανώς, στη συγκεκριμένη περίπτωση, όπως θα παρουσιαστεί στη συνέχεια, ενεργοποιούνται κριτήρια ανίχνευσης και κατ επέκταση μέτρα και ενέργειες αντίδρασης σε επιθέσεις SPIT στο δικτυακό τομέα του καλούντα (domain of caller). Το σύνολο των υιοθετούμενων κριτηρίων και ενεργειών επιδιώκουν να περιορίσουν τη SPIT κλήση ή μήνυμα, εντός του δικτυακού τομέα που ανήκει ο κακόβουλος χρήστης και με βάση τις εκάστοτε υιοθετούμενες πολιτικές anti-spit στον εν λόγω δικτυακό τομέα. Στην περίπτωση αυτή η όλη διαδικασία αντιμετώπισης του SPIT κρίνεται αποτελεσματικότερη διότι με αυτόν τον τρόπο περιορίζεται η ενδεχόμενη αποστολή μαζικών μηνυμάτων SIP SPIT εντός του δικτυακού τομέα του επιτιθέμενου αποτρέποντας την είσοδο στο κυρίως δίκτυο (λ.χ. Internet) και κατ επέκταση να φτάσει στους ενδεχόμενους παραλήπτες του. Οικονομικό Πανεπιστήμιο Αθηνών 171

172 6.2.2 Ανίχνευση Επιθέσεων SPIT Το συγκεκριμένο στάδιο αναφέρεται στην ανίχνευση επιθέσεων SPIT, που λαμβάνουν χώρα στο δικτυακό τομέα του καλούμενου-παραλήπτη (callee s network domain). Στην περίπτωση αυτή, υιοθετούνται κριτήρια τα οποία στοχεύουν στην ανίχνευση SPIT κλήσεων ή/και μηνυμάτων, τα οποία έφτασαν στο δικτυακό τομέα που ανήκει ο καλούμενος (domain of callee). Eίναι φανερό, ότι τα εκάστοτε υιοθετούμενα κριτήρια ανίχνευσης στην περίπτωση αυτή, θα επηρεάζονται σε μεγάλο βαθμό και από τις επιμέρους προτιμήσεις (preferences) που ενδέχεται να θέτει ο τελικός χρήστης. H πρακτική που ακολουθείται, στην πλειονότητα των περιπτώσεων, ορίζει ότι οι προτιμήσεις των χρηστών είναι δευτερεύουσας σημασίας. Άρα, περισσότερη προτεραιότητα και βαρύτητα δίνεται στα κριτήρια που ορίζονται από τους διαχειριστές του εκάστοτε VoIP δικτυακού τομέα. Ωστόσο, πρέπει να σημειωθεί ότι στη συγκεκριμένη περίπτωση ο επίδοξος επιτιθέμενος έχει προκαλέσει ήδη κάποια ζημία στην όλη υποδομή VoIP, λόγω του ότι το μήνυμα του έχει εισέλθει στο κυρίως δίκτυο προκαλώντας επιπλέον κίνηση, που σε κάποιες περιπτώσεις, μπορεί να οδηγήσει και στην άρνηση των παρεχόμενων υπηρεσιών (DoS attacks) Αντίδραση σε Επιθέσεις SPIT Στη συγκεκριμένη περίπτωση αναφερόμαστε στο σύνολο των ενεργειών που αφορούν την αποτελεσματική και αποδοτική αντιμετώπιση ενδεχόμενων και ήδη ανιχνεύσιμων επιθέσεων SPIT. Είναι προφανές, ότι οι εκάστοτε οριζόμενες και τελικά υιοθετούμενες ενέργειες αντιμετώπισης του SPIT, καθορίζονται από την πολιτική αντιμετώπισης του SPIT (anti- SPIT policy), όπως αυτή ορίζεται από τον εκάστοτε VoIP δικτυακό τομέα. Το ύφος και η αυστηρότητα της πολιτικής αυτής αποτελεί ένα μείγμα των προτιμήσεων των χρηστών και των απαιτήσεων των διαχειριστών. Ωστόσο, η τελική ευθύνη ορισμού και εφαρμογής των δράσεων επαφίεται στις προτιμήσεις των διαχειριστών. Με φάση τα προαναφερόμενα στάδια στη συνέχεια παρουσιάζεται ένα σύνολο κριτηρίων τα οποία μπορούν να χρησιμοποιηθούν και να διευκολύνουν την ανίχνευση και ταυτοποίηση ενδεχόμενων περιστατικών SPIT. 6.3 Κριτήρια Ανίχνευσης SPIT Επιθέσεων Μια από τις πιο βασικές διαδικασίες σε ότι αφορά την αποτελεσματική διαχείριση του SPIT είναι η σωστή και έγκυρη ανίχνευση και ταυτοποίηση ενδεχόμενων περιστατικών SPIT [DRI08a], [DRI08]. H διαδικασία αυτή, προϋποθέτει την ορθή αναγνώριση SPIT μηνυμάτων, με όσο το δυνατόν χαμηλές τιμές στα ενδεχόμενα σφάλματα λανθασμένης αποδοχής (false positives) και λανθασμένης απόρριψης (false negatives). Στην ενότητα αυτή παρουσιάζεται μια λίστα προτεινόμενων κριτηρίων ανίχνευσης SPIT επιθέσεων, ταξινομημένα με τέτοιο τρόπο, έτσι ώστε να αναφέρονται στο σημείο εφαρμογής και χρήσης τους σε μια υποδομή VoIP [DRI08]. Οικονομικό Πανεπιστήμιο Αθηνών 172

173 Επιπρόσθετα, και με σημείο αναφοράς το βασικό τραπεζοειδές σχήμα λειτουργίας του SIP θεωρείται ότι τα προτεινόμενα κριτήρια μπορούν να χρησιμοποιηθούν ως κανόνες ανίχνευσης τόσο στο δικτυακό τομέα του καλούντα, όσο και στο δικτυακό τομέα του καλούμενου. Πιο συγκεκριμένα, όταν τα κριτήρια αυτά εφαρμόζονται στο δικτυακό τομέα που ανήκει ο καλών (π.χ. στον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα του καλούντα), τότε τα κριτήρια μπορούν να χαρακτηριστούν ως προληπτικά (preventive criteria), λόγω του ότι στοχεύουν στη πρόληψη μιας παραβίασης SPIT από τα αρχικά στάδια εκδήλωσής της και πριν το εκάστοτε κακόβουλο μήνυμα μεταδοθεί στο δίκτυο. Από την άλλη, όταν τα κριτήρια αυτά εφαρμόζονται στο δικτυακό τομέα που ανήκει ο καλούμενος, τότε μπορούν να χαρακτηριστούν ως κριτήρια ανίχνευσης (detective criteria), αφού χρησιμοποιούνται για την ανίχνευση ενδεχόμενων περιστατικών SPIT στην πλευρά του παραλήπτη 1. Έτσι, λοιπόν, ορίζονται στη συνέχεια τρεις γενικές κατηγορίες ταξινόμησης και κατηγοριοποίησης των προτεινόμενων κριτηρίων ανίχνευσης, οι οποίες είναι [DRI08]: Κριτήρια Ελέγχου Ιδιοτήτων Καλούντα/Αποστολέα (Caller/Sender Properties Criteria): Στην κατηγορία αυτή περιλαμβάνονται κριτήρια που αφορούν τον έλεγχο της λογικής ή/και δικτυακής διεύθυνσης του αποστολέα ενός μηνύματος ή/και της διεύθυνσης του δικτυακού τομέα που αυτός ανήκει. Κριτήρια Ελέγχου Μηνυμάτων SIP (SIP Messages Criteria): Στη συγκεκριμένη κατηγορία ανήκουν τα κριτήρια στα οποία ελέγχονται τα χαρακτηριστικά και οι ιδιότητες που διέπουν τα εκάστοτε μεταδιδόμενα μηνύματα SIP. Κριτήρια Σημασιολογικού Ελέγχου Επικεφαλίδων (Headers Semantics Analysis): Στην κατηγορία αυτή ανήκουν κριτήρια στα οποία ελέγχεται η ύπαρξη ενός μηνύματος SPIT λαμβάνοντας υπόψη τα αποτελέσματα της σημασιολογικής ανάλυσης του περιεχομένου των επικεφαλίδων των εκάστοτε ανταλλασσόμενων μηνυμάτων SIP. Στη συνέχεια της ανάλυσης μας, παρουσιάζονται λεπτομέρειες σε ότι αφορά τις προαναφερθείσες κατηγορίες, όσο και τα ιδιαίτερα χαρακτηριστικά των κριτηρίων που περιλαμβάνονται σε κάθε μία από αυτές Κριτήρια Ελέγχου Ιδιοτήτων Καλούντα/Αποστολέα Στην κατηγορία αυτή, περιλαμβάνονται κριτήρια στα οποία ελέγχεται η λογική (SIP URI) και η δικτυακή (φυσική) διεύθυνση (IP address) του εκάστοτε καλούντα ή/και αποστολέα ενός στιγμιαίου μηνύματος. Επιπρόσθετα, ελέγχονται με τον ίδιο ακριβώς τρόπο οι αντίστοιχες διευθύνσεις που αφορούν τον εκάστοτε δικτυακό τομέα (network domain). Τα 1 Η διαδικασία της πρόληψης εμπεριέχει την ανίχνευση, ωστόσο λόγω του ότι εφαρμόζεται στο δικτυακό τομέα του αποστολέα (λ.χ. ο κακόβουλος χρήστης (spitter)), θεωρείται ότι ενεργούν προληπτικά μιας και η επίθεση δεν έχει ακόμα ληφθεί από το δικτυακό τομέα του ενδεχόμενου παραλήπτη. Επιπρόσθετα, το σημείο που αναφέρεται στη μετάδοση των SIP μηνυμάτων εντός του Διαδικτύου δε λαμβάνεται υπόψη λόγω του ότι δεν υπάρχει η κατάλληλη δικαιοδοσία και γνώση ως προς τι εφαρμόζεται στο ενδιάμεσο. Οικονομικό Πανεπιστήμιο Αθηνών 173

174 αναγνωριζόμενα επιμέρους κριτήρια ανίχνευσης επιθέσεων SPIT που περιλαμβάνονται σε αυτή την κατηγορία είναι: Αποδοχή Καλούντα/Αποστολέα (Caller/Sender Trustworthiness): Στην περίπτωση αυτή, ελέγχεται η διεύθυνση του αποστολέα ενός στιγμιαίου μηνύματος ή του εκάστοτε καλούντα. Σε περίπτωση που η διεύθυνση αυτή, προκύπτει ότι ανήκει σε κάποιον ήδη γνωστό κακόβουλο χρήστη (spitter), τότε έχουμε θετική αναγνώριση μιας ενδεχόμενης παραβίασης SPIT και, επομένως, το εν λόγω μήνυμα/κλήση θα μπορούσε να απορριφθεί. Ο έλεγχος των διευθύνσεων γίνεται σε σύγκριση μιας λίστας διευθύνσεων κακόβουλων χρηστών (black list addresses), η οποία μπορεί να φυλάσσεται τόσο στην συσκευή/λογισμικό, που διατηρεί ο κάθε χρήστης, όσο και στον πληρεξούσιο εξυπηρετητή, που εντοπίζεται στο δικτυακό τομέα που ο χρήστης ανήκει. Αποδοχή Δικτυακού Τομέα (Domain Trustworthiness): Σε αυτή την περίπτωση, με ακριβώς παρόμοιο τρόπο, όπως στην προηγούμενη περίπτωση, ελέγχεται η λογική ή/και δικτυακή διεύθυνση του δικτυακού τομέα που ανήκει ο καλούντας ή/και ο αποστολέας ενός στιγμιαίου μηνύματος. Σε περίπτωση που η διεύθυνση αυτή αναφέρεται σε έναν έμπιστο δικτυακό τομέα, τότε η κλήση/μήνυμα επιτρέπεται, ενώ σε αντίθετη περίπτωση, θα μπορούσε να αγνοηθεί ως πιθανή αναγνωριζόμενη SPIT κλήση/μήνυμα. Και πάλι, όπως προηγουμένως, η διεύθυνση αυτή ελέγχεται σε σύγκριση με διευθύνσεις μη-έμπιστων δικτυακών τομέων (black list of domains), που διατηρούνται είτε σε επίπεδο δικτυακού τομέα είτε σε επίπεδο χρήστη. Στον πίνακα που ακολουθεί, παρουσιάζονται οι συγκεκριμένες επικεφαλίδες ενός μηνύματος SIP οι οποίες μπορούν να ελεγχθούν εφαρμόζοντας τα προαναφερόμενα κριτήρια. Πίνακας 6.1: Επικεφαλίδες για τον έλεγχο των διευθύνσεων αποστολέα ή/και δικτυακού τομέα Επικεφαλίδες Πεδία Επικεφαλίδων From To Contact Reply To Organization Περιγραφή Δηλώνει τον αποστολέα ενός μηνύματος SIP Δηλώνει τον παραλήπτη ενός μηνύματος αίτησης Περιέχει λογικές διευθύνσεις που χρησιμοποιούνται για μελλοντικές προωθήσεις μηνυμάτων αιτήσεων Εμπεριέχει τη λογική διεύθυνση στην οποία πρέπει να σταλεί ένα μήνυμα απόκρισης και μπορεί να είναι διαφορετική από τη διεύθυνση που αναφέρεται στο πεδίο FROM Δηλώνει το όνομα του οργανισμού που ανήκει η οντότητα που έστειλε ένα μήνυμα αίτησης ή μήνυμα απόκρισης Κριτήρια Ελέγχου Χαρακτηριστικών και Ιδιοτήτων Μηνυμάτων SIP Στην κατηγορία αυτή ελέγχονται και αξιολογούνται διάφορα χαρακτηριστικά και ιδιότητες των SIP μηνυμάτων, προκειμένου να διαπιστωθεί αν μια κλήση ή/και ένα στιγμιαίο μήνυμα μπορεί να χαρακτηριστεί ως SPIT ή όχι. Στη συνέχεια, παρουσιάζουμε μια λίστα των Οικονομικό Πανεπιστήμιο Αθηνών 174

175 συγκεκριμένων χαρακτηριστικών καθώς και λεπτομέρειες σε ότι αφορά τα εν λόγω κριτήρια και το πώς αυτά εφαρμόζονται. Μονοπάτι Mηνύματος (Path Traversal): Μια κλήση ή/και ένα στιγμιαίο μήνυμα πριν φτάσει στον τελικό προορισμό του ενδέχεται να περάσει από πολλές ενδιάμεσες οντότητες (π.χ. ένα σύνολο πληρεξούσιων εξυπηρετητών διάφορων VoIP δικτυακών τομέων). Η καταγραφή και ο έλεγχος αυτού το μονοπατιού μπορεί να γίνει άμεσα ή έμμεσα με χρήση διάφορων επικεφαλίδων των SIP μηνυμάτων, η χαρακτηριστικότερη εκ των οποίων, είναι η επικεφαλίδα VIA. Εάν από τον έλεγχο αυτό προκύψει ότι ένα SIP μήνυμα πέρασε από κάποια κακόβουλη οντότητα (π.χ. κακόβουλο πληρεξούσιο εξυπηρετητή που διατηρείται στην εκάστοτε μαύρη λίστα), η οποία μπορεί να θεωρηθεί ως πηγή SPIT μηνυμάτων, τότε υπάρχουν πολλές πιθανότητες το μήνυμα να έχει τροποποιηθεί και, πλέον, να μπορεί να χαρακτηριστεί ως SPIT. Στον παρακάτω πίνακα, παρουσιάζονται οι επικεφαλίδες των SIP μηνυμάτων μέσω των οποίων μπορεί να ελεγχθεί και εξεταστεί το ακολουθούμενο μονοπάτι ενός SIP μηνύματος. Πίνακας 6.2: Επικεφαλίδες μέσω των οποίων ελέγχεται το μονοπάτι ενός SIP μηνύματος Επικεφαλίδες Πεδία Επικεφαλίδων Via Route Record-Route Περιγραφή Αποτυπώνει το μονοπάτι που ακολούθησε ένα μήνυμα αίτησης. Χρησιμοποιείται για την αποθήκευση του δρομολογίου που ακολούθησε ένα μήνυμα. Χρησιμοποιείται για τον ορισμό ενός μονοπατιού που θα ακολουθήσουν τα μηνύματα στο πλαίσιο μιας συνόδου. Αριθμός Aπεσταλμένων Mηνυμάτων Aιτήσεων ή Στιγμιαίων Μηνυμάτων εντός (μικρού) Χρονικού Διαστήματος: Στη συγκεκριμένη περίπτωση ελέγχεται ο αριθμός κλήσεων ή/και αποστολής στιγμιαίων μηνυμάτων από ένα χρήστη, εντός ενός προκαθορισμένου χρονικού διαστήματος, όπως λ.χ. η αποστολή ενός μεγάλου αριθμού μηνυμάτων αιτήσεων INVITΕ εντός μικρού χρονικού διαστήματος. Ο έλεγχος αυτός γίνεται σε σύγκριση με ένα εκ των προτέρων καθοριζόμενο όριο (threshold) και αν είναι μεγαλύτερο από αυτό, τότε η κλήση/μήνυμα θα μπορούσε να χαρακτηριστεί ως ενδεχόμενη παραβίαση SPIT και κατ επέκταση να απορριφθεί. Στο σημείο αυτό είναι χρήσιμο να αναφέρουμε ότι το εν λόγω κριτήριο ορίζεται με στόχο να προστατέψει έναντι των SPIT μηνυμάτων προκαλούμενα από αυτοματοποιημένα λογισμικά (software bots). Τα εν λόγω λογισμικά, οφείλονται για το μεγαλύτερο ποσοστό αποστολής SPAM μηνυμάτων στο ηλεκτρονικό ταχυδρομείο και προβλέπεται ανάλογη κατάσταση να σημειωθεί και σε σχέση με το φαινόμενο SPIT. Τα λογισμικά αυτά, έχουν τη δυνατότητα να αποστέλλουν μεγάλο αριθμό μηνυμάτων ταυτόχρονα και σε ένα μικρό χρονικό διάστημα. H χρήση ενός κριτηρίου σαν αυτό που ορίστηκε, μπορεί να θεωρηθεί ως Οικονομικό Πανεπιστήμιο Αθηνών 175

176 ένα χρήσιμο εργαλείο ανίχνευσης ενεργειών προκαλούμενων από αυτού του είδους τα αυτοματοποιημένα λογισμικά. Χαρακτηριστικά Διευθύνσεων Παραληπτών (Receivers Address Pattern): Στην πλειονότητα των περιπτώσεων οι επίδοξοι επιτιθέμενοι δε γνωρίζουν τις διευθύνσεις των χρηστών στους οποίους σκοπεύουν να αποστείλουν μηνύματα SPIT. Οπότε, λόγω του γεγονότος αυτού, καταφεύγουν σε τυχαίες διευθύνσεις προκειμένου να βρουν τυχαία κάποιον παραλήπτη του μηνύματός τους. Ακόμα χειρότερα, ενδέχεται να αποστείλουν μαζικά μηνύματα, στα οποία η διεύθυνση των παραληπτών ακολουθεί ένα συγκεκριμένο πρότυπο (pattern), μέσω του οποίου μπορεί να διευκολυνθεί η αποστολή SPIT μηνυμάτων. Για παράδειγμα, ενδέχεται ο ενδεχόμενος κακόβουλος χρήστης να αποστείλει μηνύματα προς χρήστες των οποίων η διεύθυνση τους (SIP-URI), ξεκινάει από το γράμμα Α. Πολλές φορές, οι ενέργειες αυτές διευκολύνονται, όπως αναφέρθηκε προηγουμένως, από τη χρήση ενός αυτοματοποιημένου λογισμικού (software bot). Έτσι, η αναγνώριση τέτοιων προτύπων στα εκάστοτε απεσταλμένα μηνύματα SIP, μπορεί να διευκολύνει την ανίχνευση ενδεχόμενων αποπειρών εκτέλεσης επιθέσεων SPIT. Σταθερή Διάρκεια Κλήσεων (Static Calls Duration): Στην περίπτωση που οι κλήσεις που λαμβάνουν χώρα έχουν μια σταθερή διάρκεια, τότε είναι πολύ πιθανό το περιεχόμενό τους να είναι σταθερό και το ίδιο για όλες. Το γεγονός αυτό μπορεί να οφείλεται στο ότι κάθε κλήση ξεκινάει από ένα αυτοματοποιημένο λογισμικό, το οποίο έχει σχεδιασθεί με στόχο να προωθεί την ίδια κλήση και με το ίδιο περιεχόμενο, σε όσο το δυνατόν περισσότερους παραλήπτες. Το συγκεκριμένο χαρακτηριστικό, μπορεί να βοηθήσει στην ανεύρεση ενδεχόμενων μηνυμάτων-κλήσεων SPIT και κατ επέκταση στην ενδεχόμενη απόρριψη τους. Μικρός Aριθμός Πετυχημένων Κλήσεων (Small Percentage of Answered/Dialed Calls): Το ενδεχόμενο η αναλογία πετυχημένων κλήσεων προς των αντίστοιχων αποτυχημένων, να ορίζεται συντριπτικά υπέρ των αποτυχημένων κλήσεων, μπορεί να αποτελέσει μια ικανοποιητική ένδειξη ότι ένας κακόβουλος χρήστης ή/και ένα αυτοματοποιημένο λογισμικό προσπαθεί να εντοπίσει διάφορους παραλήπτες και κατ επέκταση να αποστείλει μηνύματα SPIT. Έτσι, θα μπορούσε η εκάστοτε κλήση από το συγκεκριμένο αποστολέα να χαρακτηριστεί ως SPIT και κατ επέκταση, ανάλογα με την εκάστοτε υιοθετούμενη anti-spit πολιτική του δικτυακού τομέα, να απορριφθεί. Μεγάλος Aριθμός Λαθών (Large Numbers of Errors): Στην περίπτωση που παρατηρείται ένας μεγάλος αριθμός μηνυμάτων λαθών ως προς το πρωτόκολλο SIP (π.χ. 404 Not Found), ενδέχεται να λαμβάνουν χώρα απόπειρες κλήσεων προς τυχαίους παραλήπτες ή/και δικτυακούς τομείς. Το στοιχείο αυτό, αποτελεί ένδειξη ενεργειών που αφορούν την αποστολή SPIT μηνυμάτων, οπότε θα μπορούσε το σύνολο των κλήσεων ή/και των στιγμιαίων μηνυμάτων να απορριφθεί. Οικονομικό Πανεπιστήμιο Αθηνών 176

177 Μέγεθος SIP Μηνυμάτων (Size of SIP Messages): Στη συγκεκριμένη περίπτωση, ελέγχεται το μέγεθος των απεσταλμένων μηνυμάτων SIP. Αν τα ελεγχόμενα μηνύματα έχουν σταθερό μέγεθος, τότε είναι ιδιαίτερα πιθανό, τα μηνύματα να αποστέλλονται μαζικά από ένα αυτοματοποιημένο λογισμικό και κατ επέκταση να αποτελούν ενδεχόμενες απόπειρες εκτέλεσης επιθέσεων SPIT Κριτήρια Σημασιολογικού Ελέγχου Επικεφαλίδων SIP Μηνυμάτων Στη συγκεκριμένη κατηγορία κριτηρίων αναγνώρισης SPIT μηνυμάτων, ελέγχονται οι επικεφαλίδες των SIP μηνυμάτων με στόχο να αναγνωρισθεί αν το περιεχόμενό τους μπορεί να χαρακτηριστεί ως SPIT. Προφανώς, στη συγκεκριμένη περίπτωση ελέγχεται το περιεχόμενο των επικεφαλίδων των μηνυμάτων, οπότε θα μπορούν με ευκολία να χρησιμοποιηθούν τεχνικές και μηχανισμοί που εφαρμόζονται για τον έλεγχο SPAM μηνυμάτων από το ηλεκτρονικό ταχυδρομείο (π.χ. φίλτρα βασιζόμενα στο τύπο του Bayes [ZDZ05], [COS05]). Ωστόσο, η εν λόγω κατηγορία κριτηρίων εισάγει μια σημαντική καθυστέρηση εγκαθίδρυσης και διεκπεραίωσης των εκάστοτε τηλεφωνικών κλήσεων, λόγω της ανάλυσης του περιεχόμενου και μπορεί να χρησιμοποιηθεί όταν ο εκάστοτε VoIP δικτυακός τομέας επιθυμεί αυστηρό έλεγχο, ως προς τα ανταλλασσόμενα μηνύματα [MAL07], [RFC5039]. Από την άλλη, όμως, ένα άμεσα προφανές επιχείρημα υπέρ της χρήσης των εν λόγω κριτηρίων, είναι ότι μπορούν να χρησιμοποιηθούν αυτούσια φίλτρα ελέγχου του περιεχομένου και χωρίς περαιτέρω ενέργειες τεχνοδιαμόρφωσής τους, λόγω του ότι το ύποπτο, συνήθως, περιεχόμενο, είναι κοινό τόσο για το φαινόμενο SPAM όσο και για το SPIT. Στο πλαίσιο αυτό, η συγκεκριμένη κατηγορία κριτηρίων μπορεί περαιτέρω να κατηγοριοποιηθεί ανάλογα του ποια πεδία, από τα εκάστοτε SIP μηνύματα, χρησιμοποιούνται από τον επίδοξο επιτιθέμενο. Οι κατηγορίες που προτείνονται είναι οι εξής: Πεδία επικεφαλίδων (headers) μηνυμάτων SIP. Το σώμα των μηνυμάτων (message body) που ενδέχεται να έχει ενσωματωθεί σε κάποιο πακέτο SIP και αφορούν τόσο μηνύματα αιτήσεων όσο και μηνύματα αποκρίσεων. Οι φράσεις αιτιολόγησης (reason phrases), οι οποίες εντοπίζονται μόνο στην περίπτωση μηνυμάτων απόκρισης, εφόσον αυτές υπάρχουν. Επιπρόσθετα, θα πρέπει να σημειωθεί, ότι έχουν αναγνωριστεί τρεις (3) διαφορετικοί τύποι SPIT περιεχομένου το οποίο μπορεί να εισαχθεί στα εκάστοτε πεδία των επικεφαλίδων του SIP ή στο σώμα μηνύματος (εφόσον υπάρχει) των SIP πακέτων: (α) ένα απλό κείμενο (plain text), (β) ένα αρχείο πολυμέσων (π.χ. ένα ηχογραφημένο μήνυμα, μια εικόνα κλπ) και, (γ) ένας σύνδεσμος (hyperlink), ο οποίος προωθεί τον εκάστοτε παραλήπτη του προς ένα δικτυακό τόπο που εμπεριέχει το SPIT μήνυμα. Στον πίνακα που ακολουθεί, παρουσιάζουμε τόσο τις επικεφαλίδες που μπορούν να χρησιμοποιηθούν για την προώθηση SPIT μηνυμάτων, όσο και το ενδεχόμενο περιεχόμενο που μπορεί να εισαχθεί σε αυτές. Οικονομικό Πανεπιστήμιο Αθηνών 177

178 Πίνακας 6.3: Πεδία επικεφαλίδων που ενδέχεται να εμπεριέχουν SPIT περιεχόμενο Πεδία Επικεφαλίδων Τύπος SPIT Μηνύματα Αιτήσεων Μηνύματα Αποκρίσεων Subject Κείμενο From Κείμενο Call-Info Hyperlink Contact Κείμενο To Κείμενο Retry After Κείμενο Alert-Info Σύνδεσμος Reply To Κείμενο -- Error-Info Σύνδεσμος -- Warning Κείμενο -- Πεδία επικεφαλίδων που περιέχουν σώμα μηνύματος (όχι άμεσα SPIT μηνύματα) Content-Disposition Content-Type Εμφανιζόμενο σώμα μηνύματος Εμφανιζόμενο σώμα μηνύματος Ο επόμενος πίνακας παρουσιάζει τους τύπους των SIP μηνυμάτων τα οποία διαθέτουν ένα σώμα μηνύματος (message body) και τα οποία θα μπορούσαν να χρησιμοποιηθούν για την προώθηση SPIT μηνυμάτων. Οι οριζόμενοι τύποι κατηγοριοποιούνται ανάλογα αν χρησιμοποιούνται από μηνύματα αιτήσεων ή μηνύματα αποκρίσεων. Το περιεχόμενο τους μπορεί να είναι απλό κείμενο, αρχείο πολυμέσων ή σύνδεσμος. Πίνακας 6.4: Μηνύματα που έχουν σώμα μηνύματος που ενδέχεται να περιέχει SPIT Τύπος Μηνύματος Μήνυμα INVITE Μηνύματα Αιτήσεων ACK 180 Ringing 183 Session Progress 200 OK Μηνύματα Αποκρίσεων 300 Multiple Choices 380 Alternative Service 488 Not Acceptable Here 606 Not Acceptable Τέλος, στον επόμενο πίνακα, παρουσιάζονται οι φράσεις αιτιολόγησης (reason phrases), οι οποίες ενδέχεται να υπάρχουν στα εκάστοτε μηνύματα αποκρίσεων και να περιέχουν SPIT περιεχόμενο. Ο τύπος του SPIT περιεχομένου μπορεί να είναι απλό κείμενο, αρχείο πολυμέσων ή σύνδεσμος. Οικονομικό Πανεπιστήμιο Αθηνών 178

179 Πίνακας 6.5: Φράσεις αιτιολόγησης που ενδέχεται να περιέχουν SPIT Μηνύματα αποκρίσεων που ενδέχεται να περιέχουν φράσεις αιτιολόγησης 182 Queued 183 Session Progress 200 OK 400 Bad Request 480 Temporarily Unavailable 484 Address Incomplete 6.4 Ζητήματα Εφαρμογής και Υιοθέτησης Κριτηρίων Στην ενότητα αυτή παρουσιάζονται κάποια ζητήματα απόδοσης (performance) σε ότι αφορά το σημείο εφαρμογής των κριτηρίων ανίχνευσης και με βάση το δικτυακό τομέα που είναι προτιμότερο να εφαρμόζονται. Επιπρόσθετα, προτείνεται μια προτεραιότητα εφαρμογής και ενεργοποίησης των κριτηρίων με στόχο να επιτευχθεί η βέλτιστη χρήση των υπολογιστικών πόρων. Τέλος, εξετάζεται πώς τα προτεινόμενα κριτήρια υιοθετούνται από τις υπάρχουσες προσεγγίσεις διαχείρισης και αντιμετώπισης του SPIT Σημείο Εφαρμογής SPIT Κριτηρίων Ένα σημαντικό ζήτημα που αφορά το σύνολο των προτεινόμενων κριτηρίων ανίχνευσης SPIT επιθέσεων, είναι το σημείο εφαρμογής τους και με βάση το τραπεζοειδές σχήμα λειτουργίας του SIP. Η πρώτη περίπτωση, αναφέρεται στο δικτυακό τομέα του αποστολέα (κακόβουλου χρήστη) και τα οποία δρουν προληπτικά, αποτρέποντας τη μαζική αποστολή SPIT μηνυμάτων και την είσοδό τους στο κυρίως δίκτυο. Από την άλλη, στη δεύτερη περίπτωση, παρατίθενται τα κριτήρια τα οποία εφαρμόζονται στο δικτυακό τομέα που ανήκει ο παραλήπτης και τα οποία αποσκοπούν στην ανίχνευση επιθέσεων SPIT πριν φτάσουν στους τελικούς χρήστες. Ωστόσο, θα πρέπει να σημειωθεί, ότι ο - όσο το δυνατόν- αποτελεσματικότερος έλεγχος, επιβάλλει το σύνολο των κριτηρίων να εφαρμόζονται σε όλους τους δικτυακούς τομείς από τους οποίους το εκάστοτε μήνυμα διέρχεται. Το γεγονός αυτό, όμως, ενδέχεται να επιβαρύνει χρονικά τη διαδικασία εγκαθίδρυσης της κλήσης, το οποίο πιθανότατα δε θα είναι αποδεκτό από πολλούς χρήστες. Έτσι, λοιπόν, μια προσεκτική μελέτη εφαρμογής ενός έκαστου από τα προτεινόμενα κριτήρια, μπορεί να βοηθήσει σημαντικά στην εξοικονόμηση πόρων, αφού δε χρειάζεται η εκάστοτε υπολογιστική μηχανή να εκτελεί το σύνολο των κριτηρίων και ελέγχων. Η κατάσταση αυτή, προφανώς, διασφαλίζει τις απαιτήσεις ποιότητας των παρεχόμενων VoIP υπηρεσιών που τίθενται από το σύνολο των χρηστών. Οικονομικό Πανεπιστήμιο Αθηνών 179

180 Στον παρακάτω πίνακα, παρουσιάζουμε καθένα από τα προτεινόμενα κριτήρια που είναι προτιμότερο να εφαρμόζονται σε συνάρτηση των δύο προαναφερθέντων κατηγοριών: είτε στο δικτυακό τομέα του καλούνται είτε στο δικτυακό τομέα του καλούμενου 2 [DRI08a]. Πίνακας 6.6: Σημείο εφαρμογής κριτηρίων ανίχνευσης SPIT Κριτήριο Ανίχνευσης Αποδοχή καλούντα Αποδοχή δικτυακού τομέα Μονοπάτι μηνύματος Αριθμός απεσταλμένων κλήσεων μηνυμάτων εντός χρονικού διαστήματος Χαρακτηριστικά διευθύνσεων παραληπτών Μικρός αριθμός πετυχημένων κλήσεων Μεγάλος αριθμός λαθών Μέγεθος SIP μηνυμάτων Δικτυακός Τομέας Καλούντα Δικτυακός Τομέας Καλούμενου Σχόλια - Περιγραφή Κριτήρια Ελέγχου Ιδιοτήτων Αποστολέα/Καλούντα Ο έλεγχος της λογικής ή/και δικτυακής διεύθυνσης του καλούντα είναι προτιμότερο να λαμβάνει χώρα στο δικτυακό τομέα του παραλήπτη. Ο έλεγχος της λογικής ή/και δικτυακής διεύθυνσης του δικτυακού τομέα του καλούντα είναι προτιμότερο να λαμβάνει χώρα στο δικτυακό τομέα του παραλήπτη. Κριτήρια Ελέγχου Ιδιοτήτων Μηνυμάτων SIP Το μονοπάτι που θα ακολουθήσει ένα μήνυμα δηλώνεται εξ αρχής, οπότε ο έλεγχος είναι προτιμότερο να λαμβάνει χώρα στο δικτυακό τομέα του καλούντα. Αν ο εκάστοτε καλών αποστέλλει πολλά μηνύματα αιτήσεων εντός μικρού χρονικού διαστήματος, ο εν λόγω έλεγχος είναι προτιμότερο να λαμβάνει χώρα στο δικτυακό τομέα που αυτός ανήκει, ώστε τα μηνύματα αυτά να αποφεύγονται να εισέλθουν στο κυρίως δίκτυο. Οι διευθύνσεις των παραληπτών δηλώνονται εξ αρχής, οπότε είναι προτιμότερο να ελέγχονται στο δικτυακό τομέα του αποστολέα/καλούντα. Έλεγχος των μηνυμάτων που έστειλε ο καλών είναι προτιμότερο να λαμβάνει χώρα στο δικτυακό τομέα που αυτός εντοπίζεται. Τα μηνύματα λαθών λαμβάνονται από τον καλούντα, άρα ο έλεγχος πρέπει να γίνεται στο δικτυακό τομέα που αυτός ανήκει Το μέγεθος των εκάστοτε απεσταλμένων SIP μηνυμάτων φαίνεται εξ αρχής, οπότε προτιμότερο είναι να ελέγχονται στο δικτυακό τομέα του καλούντα Σημασιολογικός έλεγχος επικεφαλίδων SIP μηνυμάτων 2 Προφανώς,η εν λόγω ταξινόμηση γίνεται βάσει του βασικού λειτουργικού μοντέλου που υιοθετείται στο SIP και αναφέρεται στο τραπέζιο SIP. Το γεγονός αυτό, όμως, δεν αναιρεί τη γενικότητα εφαρμογής των κριτηρίων. Οικονομικό Πανεπιστήμιο Αθηνών 180

181 Κριτήριο Ανίχνευσης Δικτυακός Τομέας Καλούντα Δικτυακός Τομέας Καλούμενου Σχόλια - Περιγραφή Επικεφαλίδες Προτιμότερο να ενεργοποιούνται στο δικτυακό τομέα του καλούντα/αποστολέα Μηνύματα Αιτήσεων Τα μηνύματα αιτήσεων πρέπει να ελέγχονται από το δικτυακό τομέα του καλούντα Μηνύματα Αποκρίσεων Τα μηνύματα αποκρίσεων πρέπει να ελέγχονται από το δικτυακό τομέα του καλούμενου Φράσεις Αιτιολόγησης Οι φράσεις αιτιολόγησης εμπεριέχονται στα μηνύματα αποκρίσεων οπότε θα πρέπει να ελέγχονται από το δικτυακό τομέα του καλούμενου Προτεραιότητα Εφαρμογής Κριτηρίων Άλλο ένα σημαντικό ζήτημα, που αφορά τα κριτήρια ανίχνευσης SPIT επιθέσεων, σχετίζεται με τη χρονική σειρά ενεργοποίησης τους και κατ επέκταση εφαρμογής τους. Για προφανείς λόγους, η διαφορετική χρονική στιγμή ενεργοποίησης των κριτηρίων δεν σχετίζεται μόνο με τη δυσκολία (από άποψη υπολογιστικών απαιτήσεων) και την παραλληλία της εφαρμογής τους. Η ενεργοποίηση των κριτηρίων πρέπει να λαμβάνει υπόψη και άλλα επιμέρους στοιχεία τα οποία θα διασφαλίζουν τόσο την αποδοτικότητα των παρεχόμενων υπηρεσιών, όσο και την χωρίς επιπλέον υπολογιστικό φόρτο αποτελεσματική ανίχνευση ενδεχόμενων περιστατικών SPIT. Στη συνέχεια αποτυπώνονται κάποια βασικά χαρακτηριστικά τα οποία πρέπει να λαμβάνονται υπόψη κατά την επιλογή της χρονικής ενεργοποίησης των κριτηρίων [DRI08a]: Ακρίβεια ανίχνευσης (accuracy): Η ακρίβεια ανίχνευσης και ταυτοποίησης SPIT επιθέσεων αφορά το πόσο επιτυχής και έγκυρη είναι η ενδεχόμενη εύρεση και χαρακτηρισμός των εκάστοτε μηνυμάτων ως SPIT. Όσο πιο ακριβές είναι το αποτέλεσμα εφαρμογής ενός ελέγχου, τόσο μειώνονται τα σφάλματα λανθασμένης αποδοχής (false positive) και λανθασμένης απόρριψης (false negative) και τόσο αυξάνεται η ουσιαστική αποτελεσματικότητα του κάθε κριτηρίου. Απλότητα (simplicity): Το χαρακτηριστικό της απλότητας αφορά το πόσο εύκολο είναι να υλοποιηθεί και να εφαρμοσθεί το κάθε κριτήριο. Προφανώς, τεχνικές ελέγχου του περιεχομένου των μηνυμάτων είναι πιο δύσκολο να χρησιμοποιηθούν σε σύγκριση με τον απλό έλεγχο που αφορά τις επικεφαλίδες των μηνυμάτων SIP. Ταχύτητα (speed): Η ταχύτητα εφαρμογής ενός κριτηρίου ανίχνευσης SPIT επιθέσεων θεωρείται σημαντικό χαρακτηριστικό το οποίο θα πρέπει να λαμβάνεται σοβαρά υπόψη. Πιο συγκεκριμένα, όσο πιο νωρίς ενεργοποιείται ένα κριτήριο και κατ επέκταση όσο πιο γρήγορα ελέγχεται η φύση του μηνύματος (ως προς το αν μπορεί να χαρακτηριστεί ως SPIT ή όχι) τόσο πιο σύντομη η όλη διαδικασία. Με αυτό τον τρόπο, επιτυγχάνεται η σύντομη εγκαθίδρυση τηλεφωνικών κλήσεων χωρίς να υπεισέρχονται αισθητές χρονικές καθυστερήσεις για τους εκάστοτε παραλήπτες. Οικονομικό Πανεπιστήμιο Αθηνών 181

182 Οικονομία (economy): Το χαρακτηριστικό της οικονομίας αναφέρεται στο πόσο οικονομικό ή όχι (από την άποψη κατανάλωσης υπολογιστικών πόρων) είναι το κάθε χρησιμοποιούμενο κριτήριο. Προφανώς, η σημασιολογική ανάλυση του περιεχομένου των μηνυμάτων SIP θεωρείται μη οικονομική, λόγω του ότι οι επιμέρους χρησιμοποιούμενοι μηχανισμοί και τεχνικές απαιτούν σημαντικά ποσά υπολογιστικών πόρων. Έχοντας υπόψη μας τα προαναφερόμενα χαρακτηριστικά, προτείνεται μια ιεραρχία εφαρμογής των κριτηρίων στην οποία διαφαίνεται η χρονική σειρά ενεργοποίησης των κριτηρίων ανίχνευσης SPIT περιστατικών. Έτσι, λοιπόν, αν υποθέσουμε ότι ανιχνευθεί μια απόπειρα αποστολής SPIT μηνύματος μέσω του ελέγχου της διεύθυνσης του αποστολέα, τότε, προφανώς, δεν είναι απαραίτητο να ενεργοποιηθούν περαιτέρω κριτήρια, των οποίων η χρήση θα επηρεάσει σημαντικά το χρόνο εγκαθίδρυσης μιας κλήσης. Από την άλλη πλευρά, αν κάποιο κριτήριο εφαρμοσθεί και το αποτέλεσμα του ελέγχου δεν κρίνεται ικανοποιητικό (από την άποψη ότι δεν μπορεί να αποφανθεί περί της φύσης του μηνύματος) τότε ενδέχεται να είναι απαραίτητο να χρησιμοποιηθούν περαιτέρω κριτήρια, ώστε η εκάστοτε απόφαση να βασίζεται σε σίγουρα και πιο βέβαια αποτελέσματα που υπεισέρχονται της χρήσης των κριτηρίων, μειώνοντας κατ επέκταση και τα σφάλματα λανθασμένης αποδοχής ή/και απόρριψης. Στο Εικόνα 6.2, παρουσιάζεται η προτεινόμενη ιεραρχία ενεργοποίησης των κριτηρίων ανίχνευσης λαμβάνοντας υπόψη τα προαναφερόμενα χαρακτηριστικά. Έτσι, στον οριζόντιο παρουσιάζεται η χρονική αλληλουχία ενεργοποίησης των κριτηρίων ενώ στον κάθετο άξονα αποτυπώνεται η πολυπλοκότητα εφαρμογής και οι απαιτήσεις σε πόρους των κριτηρίων σε συνάρτηση των προαναφερόμενων χαρακτηριστικών. Έτσι, η προτεινόμενη ιεραρχία εφαρμογής των κριτηρίων καθορίζεται ως εξής: 1. Σε πρώτο επίπεδο ενεργοποιούνται τα κριτήρια που αφορούν τις ιδιότητες καλούντα/αποστολέα (caller/sender properties). Τα κριτήρια αυτά, καλύπτουν τα χαρακτηριστικά της απλότητας, ταχύτητας και οικονομίας. H ακρίβεια ανίχνευσης ενδέχεται να μην είναι υψηλή αν δεν υπάρχει γνώση για τον αποστολέα. 2. Στη συνέχεια, ενδέχεται να ενεργοποιηθούν κριτήρια που αφορούν τον έλεγχο των ιδιοτήτων των μηνυμάτων αιτήσεων ή/και των στιγμιαίων μηνυμάτων (message properties criteria). Ενώ, τα εν λόγω κριτήρια παρουσιάζουν μεγαλύτερη ακρίβεια, από την άλλη είναι πιο αργά, αρκετά σύνθετα και πιο απαιτητικά σε κατανάλωση πόρων. 3. Τέλος, ενδέχεται να ενεργοποιηθούν κριτήρια που αφορούν το σημασιολογικό έλεγχο του περιεχομένου των επικεφαλίδων των SIP μηνυμάτων (semantic analysis criteria). Τα κριτήρια αυτά, κρίνονται πολύ αποτελεσματικά, αλλά ακριβά σε ότι αφορά τη χρήση υπολογιστικών πόρων, και δύσκολα εφαρμόσιμα, λόγω του ότι ενσωματώνουν τεχνικές ελέγχου περιεχομένου. Βέβαια, δεν πρέπει να αγνοείται το γεγονός ότι τα εν Οικονομικό Πανεπιστήμιο Αθηνών 182

183 λόγω κριτήρια είναι τα πιο αποτελεσματικά σε ότι αφορά την επιτυχή ανίχνευση ενδεχόμενων περιστατικών SPIT (όπως έχει αποδειχθεί από την περίπτωση εφαρμογής τους για την αντιμετώπιση του SPAM). Εικόνα 6.2: Προτεινόμενη χρονική σειρά ενεργοποίησης των κριτηρίων ανίχνευσης SPIT Υιοθέτηση Κριτηρίων από τους Μηχανισμούς anti-spit Στις ενότητες 4.3 και 4.4, παρουσιάστηκαν οι τρέχουσες τεχνικές και μηχανισμοί για την αντιμετώπιση του φαινομένου SPIT. Σε συνδυασμό με την ανάλυση των κριτηρίων που παρουσιάστηκε προηγουμένως, θα μελετηθεί το αν και σε τί βαθμό οι εν λόγω μηχανισμοί υιοθετούν τα προτεινόμενα κριτήρια. Η ανάλυση αυτή παρέχει ένα μέσο το οποίο διευκολύνει την επιλογή του κατάλληλου μηχανισμού και πάντα σε συνάρτηση του VoIP συστήματος (π.χ. απαιτήσεις που τίθενται από τους εκάστοτε διαχειριστές, κλπ.) στο οποίο αυτός θα εφαρμοσθεί. Ο Πίνακας 6.7, παρουσιάζει τους μηχανισμούς που λαμβάνουν υπόψη τα προτεινόμενα κριτήρια. Προκειμένου να διαπιστωθεί αυτό, λήφθηκε υπόψη η γενική περιγραφή του κάθε μηχανισμού. Η μη υλοποίηση αυτών των μηχανισμών ή/και η έλλειψη στοιχείων όσον αφορά λεπτομέρειες της εν δυνάμει χρήσης τους, οδηγεί στην έμμεση εξαγωγή συμπερασμάτων, ως προς το βαθμό υιοθέτησης τους. Για παράδειγμα, στην περίπτωση του μηχανισμού που υιοθετεί τεχνικές φήμης και χρέωσης, παρόλο που απαιτείται η ύπαρξη ενός τρόπου για τον έλεγχο των διευθύνσεων των χρηστών, η μη ρητή αναφορά σε αυτό, μας οδηγεί στο να θεωρήσουμε ότι το συγκεκριμένο κριτήριο δε λαμβάνεται υπόψη. Επιπρόσθετα, πρέπει να σημειωθεί ότι ο πίνακας (Πίνακας 6.7) αυτός μπορεί να ληφθεί σαν σημείο αναφοράς με στόχο να επιλεχθεί ο κάθε φορά καταλληλότερος μηχανισμός anti- SPIT και ο οποίος πληρεί ένα σύνολο απαιτήσεων και προϋποθέσεων. Για παράδειγμα, η μελέτη και ο έλεγχος του προτύπου που αφορά το σύνολο των μηνυμάτων και κλήσεων (messages and calls pattern) ενδέχεται να θεωρείται κοστοβόρα προσέγγιση, διότι Οικονομικό Πανεπιστήμιο Αθηνών 183

184 απαιτείται τόσο η συγκέντρωση των δεδομένων, όσο και η επεξεργασία αυτών, καταναλώνοντας περαιτέρω υπολογιστικούς πόρους. Έτσι ενδέχεται τέτοιοι μηχανισμοί να αγνοούνται και να προτιμώνται άλλες λιγότερο απαιτητικές προσεγγίσεις. Τέλος, ο Πίνακας 6.7 μπορεί να χρησιμοποιηθεί ώστε να μελετηθούν και αναζητηθούν περαιτέρω πρακτικές, ενέργειες και βελτιώσεις σχετικά με τους ήδη προτεινόμενους μηχανισμούς anti-spit. Μερικά ζητήματα αφορούν τον τρόπο με τον οποίο ο κάθε μηχανισμός λειτουργεί σχετικά με την πρόληψη ή/και ανίχνευση SPIT επιθέσεων, ποιος συνδυασμός τεχνικών μπορεί να υιοθετηθεί ώστε να έχουμε αποτελεσματικότερη αντιμετώπιση του SPIT κλπ. Πίνακας 6.7: Χρήση κριτηρίων από τους μηχανισμούς anti-spit Μηχανισμοί anti-spit Κριτήρια Έλεγχος Ιδιοτήτων Καλούντα Αποδοχή Καλούντα Αποδοχή Δικτυακού Τομέα Μονοπάτι Μηνύματος Έλεγχος Ιδιοτήτων Μηνυμάτων SIP Αριθμός Απεσταλμένων Μηνυμάτων εντός (μικρού) Χρονικού Διαστήματος Χαρακτηριστικά Διευθύνσεων Παραληπτών Σταθερή Διάρκεια Κλήσεων Μικρός Αριθμός Πετυχημένων Κλήσεων AVA Anti-Spit Entity Reputation/Chargin g DAPES PMG Biometrics RFC 4474 SIP SAML DSIP VoIP Seal VSD Μεγάλος Αριθμός Λαθών Μέγεθος SIP Μηνυμάτων Σημασιολογικός έλεγχος Έλεγχος Επικεφαλίδων, Σώματος Μηνυμάτων και Φράσεων Αιτιολόγησης 6.5 Υλοποίηση Κριτηρίων Ένα βασικό ζήτημα που αφορά το σύνολο των προτεινόμενων κριτηρίων είναι το πώς και κατά πόσο αυτά είναι εύκολο να εφαρμοσθούν και χρησιμοποιηθούν στο πλαίσιο μιας VoIP υποδομής, βασιζόμενης στο πρωτόκολλο SIP. Έτσι, προκειμένου να μελετηθεί η εφαρμογή των κριτηρίων, χρησιμοποιήθηκε η υποδομή VoIP που αναπτύχθηκε στο εργαστήριο Πληροφοριακών Συστημάτων και Βάσεων Δεδομένων και η οποία απεικονίζεται στην παρακάτω εικόνα: Οικονομικό Πανεπιστήμιο Αθηνών 184

185 Εικόνα 6.3: Υποδομή VoIP εργαστηρίου ΠΣ&ΒΔ Η υποδομή VoIP που χρησιμοποιήθηκε ενσωματώνει έναν εξυπηρετητή SIP (SIP server) ο οποίος βασίζεται στο λογισμικό SER (SIP Express Router) 3. Ο συγκεκριμένος εξυπηρετητής ενεργεί ως πληρεξούσιος εξυπηρετητής, ως εξυπηρετητής επανακατεύθυνσης και ως εξυπηρετητής εγγραφών. Επιπρόσθετα, οι εκπρόσωποι χρήστη που χρησιμοποιήθηκαν βασίζονται και εκτελούν το λογισμικό x-lite 4. Προκειμένου να ορισθούν και εφαρμοσθούν τα κριτήρια ανίχνευσης χρησιμοποιήθηκαν δύο προσεγγίσεις οι οποίες αναλύονται στη συνέχεια [DRI08] Υλοποίηση με χρήση αρχείου διαμόρφωσης του SER Στη συγκεκριμένη περίπτωση το αρχείο διαμόρφωσης του λογισμικού SER διαμορφώνεται με τέτοιο τρόπο, ώστε να περιλαμβάνει τα προτεινόμενα κριτήρια. Εν γένει, το αρχείο διαμόρφωσης του SER περιλαμβάνει όλα εκείνα τα στοιχεία και παραμέτρους, οι οποίες ορίζονται με τέτοιο τρόπο ώστε να παρέχονται υπηρεσίες VoIP. Έτσι, λοιπόν, τα προτεινόμενα κριτήρια στη συγκεκριμένη περίπτωση υλοποιούνται με προσθήκη ειδικά διαμορφούμενου κώδικα εντός του αρχείου διαμόρφωσης SER, ο οποίος θα παρέχει τις λειτουργίες που ορίζονται από το κάθε κριτήριο. Για παράδειγμα, προκειμένου να εφαρμοσθεί ένα κριτήριο στο οποίο ελέγχεται αν η επικεφαλίδα των SIP μηνυμάτων ERROR-INFO, περιλαμβάνει ένα σύνδεσμο (hyperlink) τότε εισέρχεται στο αρχείο διαμόρφωσης του SER ο κώδικας που φαίνεται στην παρακάτω εικόνα [DRI08]. 3 SER server version 2.0, (visited: Jan. 10, 2008). 4 x-lite VoIP SoftPhone: Οικονομικό Πανεπιστήμιο Αθηνών 185

186 Εικόνα 6.4: Κώδικας εφαρμογής κριτηρίου ελέγχου επικεφαλίδας ERROR-INFO Σύμφωνα με τον κώδικα αυτό, η πρώτη γραμμή δηλώνει τον έλεγχο που ορίζεται από το κριτήριο ενώ στη δεύτερη γραμμή, ορίζεται το πώς θα γίνει καταγραφή και ενημέρωση ότι ο έλεγχος του κριτηρίου είναι θετικός. Από την άλλη, στην τρίτη γραμμή ορίζεται πώς θα ενημερωθεί ο αποστολέας του μηνύματος ότι το μήνυμα του αναγνωρίστηκε ως SPIT, ενώ στην πέμπτη γραμμή τερματίζεται η σύνοδος του SIP Υλοποίηση με χρήση βάσης δεδομένων Στη δεύτερη προσέγγιση, χρησιμοποιείται μια βάση δεδομένων (στην εν λόγω περίπτωση mysql) στην οποία αποθηκεύονται όλα εκείνα τα στοιχεία τα οποία θα χρησιμοποιηθούν για τη χρήση των ελέγχων που ορίζονται από κάθε κριτήριο. Για παράδειγμα, η βάση ενδέχεται να διατηρεί όλες τις δικτυακές διευθύνσεις των χρηστών ή/και των δικτυακών τομέων οι οποίοι θεωρούνται ύποπτοι για την αποστολή SPIT μηνυμάτων. Έτσι, λοιπόν, κάθε μήνυμα SIP μεταφέρεται σε ένα script, μέσω του οποίου γίνονται επερωτήσεις στη βάση δεδομένων, έτσι ώστε να διαπιστωθεί αν το μήνυμα μπορεί να χαρακτηριστεί ως SPIT ή όχι. Για παράδειγμα, ένα script μέσω του οποίου ελέγχεται αν η διεύθυνση του αποστολέα ενός μηνύματος είναι αποδεκτή ή όχι παρουσιάζεται στην εικόνα που ακολουθεί. Εικόνα 6.5: Χρήση script για την εφαρμογή κριτηρίου ελέγχου διευθύνσεων αποστολέα μηνύματος SIP Σύγκριση Υλοποιήσεων Κριτηρίων Στην ενότητα αυτή παρουσιάζουμε μια σύγκριση των προαναφερόμενων προσεγγίσεων υλοποίησης. Έτσι, σε ότι αφορά την πρώτη προσέγγιση, το βασικό πλεονέκτημα αυτής είναι Οικονομικό Πανεπιστήμιο Αθηνών 186

187 η ταχύτητα που αφορά τόσο την επεξεργασία των μηνυμάτων SIP όσο και του ελέγχου αν αυτό αποτελεί SPIT ή όχι. Από την άλλη, όμως, βασικό μειονέκτημα της προσέγγισης αυτής, αποτελεί το ότι η εισαγωγή ενός νέου κριτηρίου ή η ενημέρωση κάποιου υπάρχοντος, με επιπλέον στοιχεία και ιδιότητες, αποτελεί διαδικασία αρκετά σύνθετη που μεταξύ άλλων περιλαμβάνει και την επανεκκίνηση του λογισμικού ώστε να εμπεριέχει τις αλλαγές που προστέθηκαν. Σε ότι αφορά την δεύτερη προσέγγιση, το βασικό πλεονέκτημα αποτελεί η εισαγωγή ή/και ενημέρωση των κριτηρίων. Από την άλλη, όμως, η προσέγγιση υστερεί σε ότι αφορά την ταχύτητα επεξεργασίας και ελέγχου των μηνυμάτων SIP, αφού προϋποθέτει τις επερωτήσεις μέσω του script στη εκάστοτε υιοθετούμενη για αυτό το σκοπό βάση δεδομένων. Στην εικόνα που ακολουθεί, απεικονίζεται η διαφορά απόδοσης των δύο προσεγγίσεων σε ότι αφορά την επεξεργασία και τον έλεγχο ενός μηνύματος SIP σχετικά με τον έλεγχο των διευθύνσεων. Ο χρόνος που απαιτείται μέσω του οριζόμενου script είναι 0,21748 sec ενώ με χρήση του αρχείου διαμόρφωσης SIP ο αντίστοιχος χρόνος είναι sec καθιστώντας σαφές ότι ο τρόπος υλοποίησης των κριτηρίων με βάση το αρχείο διαμόρφωσης του SER είναι αποδοτικότερος. Εικόνα 6.6: Σύγκριση απόδοσης προσεγγίσεων υλοποίησης κριτηρίων 6.6 Θεωρητικό Πλαίσιο Μοντελοποίησης Επιθέσεων SPIT Μέχρι στιγμής, παρουσιάστηκε ένα σύνολο κριτηρίων ανίχνευσης ενδεχόμενων περιστατικών SPIT, των οποίων η εφαρμογή αποτελεί ένα ουσιαστικό πρώτο βήμα, για την ταυτοποίηση ύποπτων μηνυμάτων ή/και κλήσεων. Οικονομικό Πανεπιστήμιο Αθηνών 187

188 Ωστόσο, στοχεύοντας στην αποδοτικότερη και αποτελεσματικότερη ανίχνευση και ταυτοποίηση περιστατικών SPIT, προτείνεται και παρουσιάζεται ένα γενικό πλαίσιο μοντελοποίησης (modeling) του φαινομένου του SPIT, βασιζόμενο στις έννοιες των γράφων επιθέσεων (attack graphs) και των δέντρων επιθέσεων (attack trees). Πιο συγκεκριμένα, μοντελοποιώντας το σύνολο των αδυναμιών, με χρήση γράφων και δέντρων επίθεσης, μπορούν να εξαχθούν συγκεκριμένα σενάρια επιθέσεων SPIT. Τα συγκεκριμένα σενάρια, μπορούν να αποτελέσουν βασικές συνθήκες για την ανίχνευση και ταυτοποίηση επιθέσεων SPIT. Στην ουσία, ο στόχος είναι να μετατραπούν τα εν λόγω σενάρια σε μια συγκεκριμένη μορφή, τέτοια ώστε να μπορεί να υιοθετείται σε οποιαδήποτε VoIP υποδομή και η οποία θα διευκολύνει την αναγνώριση επιθέσεων SPIT. Η μορφή αυτή παρέχεται μέσω των προτύπων επιθέσεων (attack patterns), τα οποία δύνανται να χρησιμοποιηθούν για την ανίχνευση συγκεκριμένων τύπων επιθέσεων και κατά αναλογία των υπογραφών (definitions) που χρησιμοποιούνται για την ανίχνευση και αντιμετώπιση ιομορφικού λογισμικού. Άρα, όπως απεικονίζεται και στην παρακάτω εικόνα, το σύνολο των κριτηρίων μαζί με τα εξαγόμενα (από το γράφο επίθεσης και τα δέντρα επιθέσεων) σενάρια και πρότυπα επιθέσεων SPIT, αποτελούν βασικές συνιστώσες για την αποτελεσματικότερη ανίχνευση SPIT περιστατικών. Εικόνα 6.7: Βασικές συνιστώσες της ανίχνευσης SPIT επιθέσεων Εν γένει, οι περισσότερες επιθέσεις στο χώρο των πληροφοριακών και επικοινωνιακών συστημάτων, λαμβάνουν χώρα μέσω της εκμετάλλευσης των αδυναμιών ασφάλειας, που παρουσιάζουν τα εν λόγω συστήματα [DAN04]. Οι επίδοξοι επιτιθέμενοι, στην πλειονότητα των περιπτώσεων, ακολουθούν μια συγκεκριμένη στρατηγική και μεθοδολογία (attack strategy-methodology), εξαπολύοντας κατά κανόνα μια σειρά συνδυαζόμενων επιθέσεων προκειμένου να πετύχουν το σκοπό τους και να θέσουν σε κίνδυνο τα εκάστοτε πληροφοριακά και επικοινωνιακά συστήματα. Οι επιθέσεις αυτές, ουσιαστικά, συνθέτουν τα βήματα μιας γενικότερης ακολουθούμενης στρατηγικής επιθέσεων. Τα βήματα είναι συνδεδεμένα μεταξύ τους, σε μια λογική αλληλουχία και από τα αποτελέσματα ενός έκαστου, εξαρτώνται τα αμέσως επόμενα βήματα και κατ επέκταση η επίτευξη του τελικού στόχου του επίδοξου επιτιθέμενου. Προκειμένου να γίνει πιο σαφής η παραπάνω κατάσταση, παρουσιάζεται ένα παράδειγμα που αφορά την περίπτωση επιθέσεων SPAM στο ηλεκτρονικό ταχυδρομείο. Η ακολου- Οικονομικό Πανεπιστήμιο Αθηνών 188

189 θούμενη μεθοδολογία προσβλέπει, εν γένει, αρχικά στην εύρεση και συγκέντρωση αξιόλογου αριθμού ηλεκτρονικών διευθύνσεων ( addresses), με στόχο τη δημιουργία μιας λίστας ενδεχόμενων αποδεκτών του SPAM μηνύματος. Ακολουθεί, η προετοιμασία του SPAM μηνύματος και τελικά η προώθησή του στους τελικούς αποδέκτες. Είναι φανερό, ότι η συλλογή των διευθύνσεων αποτελεί μια επιμέρους επίθεση, η οποία ενδέχεται να αποτελείται από επιπλέον βήματα. Θεωρείται, δηλαδή, το πρώτο βήμα μιας σαφούς καθοριζόμενης μεθοδολογίας και στρατηγικής, από την έκβαση της οποίας εξαρτάται σε μεγάλο βαθμό το αποτέλεσμα της επίθεσης, δηλαδή η αποστολή SPAM μηνυμάτων σε πολλούς παραλήπτες. Επιπρόσθετα, τα επιμέρους βήματα που συνθέτουν μια συνολικότερη επίθεση έχουν μια χρονική αλληλουχία μεταξύ τους. Η συλλογή διευθύνσεων, για παράδειγμα, πρέπει χρονικά να προηγείται της κύριας επίθεσης που αφορά τη μαζική αποστολή SPAM μηνυμάτων. Εν γένει, επομένως, μια επίθεση η οποία εκμεταλλεύεται ένα σύνολο ευπαθειών ασφάλειας, ακολουθεί μια συγκεκριμένη στρατηγική και μεθοδολογία, η οποία ενδέχεται να περιλαμβάνει αρκετές και χρονικά αλληλοσχετιζόμενες μεταξύ τους επιθέσεις Μοντελοποίηση Επιθέσεων Ένα σημαντικό βήμα για την έγκαιρη αναγνώριση και ανίχνευση και κατ επέκταση αντιμετώπιση των επιθέσεων είναι η μοντελοποίησή τους [MEH06]. Για την αντιμετώπιση μιας επίθεσης, η οποία, στην πλειονότητα των περιπτώσεων, εμπεριέχει ένα σύνολο επιμέρους βημάτων (επιθέσεων), απαιτείται μια πιο ευρεία οπτική, η οποία δε θα εκλαμβάνει τα επιμέρους βήματα ως αυτόνομες και απομονωμένες επιθέσεις, αλλά σαν μέρος μιας ευρύτερης στρατηγικής. Αυτό διευκολύνει σε μεγάλο βαθμό την ενδεχόμενη πρόβλεψη και αποτροπή των επόμενων βημάτων ή/και των μελλοντικών επιθέσεων. Μια τέτοια ευρεία οπτική προσφέρεται μέσω της μοντελοποίησης των επιθέσεων, του ορισμού, δηλαδή, ενός μοντέλου στο οποίο αναπαρίστανται οι πιθανοί συνδυασμοί βημάτων που ενδέχεται να περιλαμβάνει μια στρατηγική επίθεσης και που ακολουθεί ο επίδοξος επιτιθέμενος ώστε να επιτύχει τον τελικό σκοπό του. Η γνώση των επιμέρους βημάτων και τεχνικών, που ενδέχεται να ακολουθήσει ο εκάστοτε κακόβουλος χρήστης, μπορεί να οδηγήσει σε πρώτο στάδιο στην άμεση και έγκαιρη αναγνώριση μιας επίθεσης και κατ επέκταση στην αποτελεσματική αντιμετώπισή της μέσω κατάλληλων υιοθετούμενων αντιμέτρων ασφάλειας. Οι γράφοι επιθέσεων και τα δέντρα επιθέσεων παρέχουν τα απαραίτητα εκείνα εφόδια που μπορούν να χρησιμοποιηθούν για τη μοντελοποίηση των επιθέσεων και γενικά της ασφάλειας ενός πληροφοριακού και επικοινωνιακού συστήματος, απέναντι σε συγκεκριμένου τύπου και κατηγορίες επιθέσεων [DAN04]. Για παράδειγμα, οι εκάστοτε στρατηγικές επιθέσεων μπορούν να μοντελοποιηθούν μέσω ενός κατευθυνόμενου μηκυκλικού γράφου (DAG: Directed Acyclic Graph) [NIN03]. Ο εν λόγω γράφος αποτελείται από κόμβους (nodes) οι οποίοι αντιπροσωπεύουν τις επιθέσεις, ενώ οι ακμές (edges) του Οικονομικό Πανεπιστήμιο Αθηνών 189

190 αναπαριστούν τη αλληλουχία αυτών. Επιπρόσθετα, μπορούν να χρησιμοποιηθούν για την αναπαράσταση των αδυναμιών ασφάλειας ενός συστήματος καθώς και για την καταγραφή όλων των πιθανών βημάτων και ενεργειών που ένας επίδοξος επιτιθέμενος μπορεί να ακολουθήσει έτσι ώστε να πετύχει το σκοπό του. Στις επόμενες παραγράφους παρουσιάζονται, εν συντομία, οι έννοιες του γράφου επιθέσεων και των δένδρων επιθέσεων, στα οποία θα βασιστούμε για τη μοντελοποίηση της στρατηγικής και μεθοδολογίας επιθέσεων τύπου SPIT Δένδρα Επιθέσεων Τα δένδρα επιθέσεων (attack trees), των οποίων η έννοια προτάθηκε από τον B. Schneier [SCH99], αποτελούν ένα εύκολο, εξυπηρετικό και συστηματικό τρόπο περιγραφής επιθέσεων, μέσω του οποίου μπορούν να ταξινομηθούν και κατηγοριοποιηθούν οι διαφορετικοί τρόποι εκδήλωσης επιθέσεων προς ένα πληροφοριακό και επικοινωνιακό σύστημα. Η γραφική αυτή αναπαράσταση θεωρείται ιδιαίτερα χρήσιμη διότι διευκολύνει και εν μέρει αυτοματοποιεί τη διαδικασία ανάλυσης απειλών και, προφανώς, την αναγνώριση των κρίσιμων εκείνων επιθέσεων που μπορούν να περιορίσουν το επίπεδο ασφάλειας ενός συστήματος. Ένα δένδρο επιθέσεων αποτελεί ένα δένδρο του οποίου οι κόμβοι αναπαριστούν επιθέσεις. Η ρίζα του εν λόγω δένδρου (root node) αντιπροσωπεύει τον κύριο στόχο της επίθεσης του ενδεχόμενου κακόβουλου χρήστη ενώ, τα φύλλα του δέντρου (leaves), αναπαριστούν συγκεκριμένες επιμέρους επιθέσεις, μέσω των οποίων μπορεί να επιτευχθεί ο γενικός στόχος και σκοπός της εκάστοτε αναλυόμενης επίθεσης. Έχοντας υπόψη μας τον ορισμό των δέντρων επιθέσεων, είναι χρήσιμο να αναφέρουμε κάποια επιμέρους χαρακτηριστικά αυτών που αναφέρονται, κυρίως, στον τρόπο που συνδέονται οι κόμβοι μεταξύ τους. Πιο συγκεκριμένα, οι ενδιάμεσοι κόμβοι μαζί με τα εκάστοτε υπο-δέντρα τους, μπορούν να αναπαριστούν μια σύζευξη (aggregation) ή διάζευξη (choice). Αυτό υποδηλώνει ότι για να πραγματοποιηθεί μια επίθεση που αναπαρίσταται από τον εκάστοτε κόμβο θα πρέπει να πραγματοποιηθούν όλες οι επιμέρους επιθέσεις (σύζευξη των επιθέσεων), στοιχείο που αντιπροσωπεύει μια λογική σχέση AND, είτε μία ή περισσότερες από τις επιθέσεις (διάζευξη των επιθέσεων), στοιχείο που αντιπροσωπεύει μια λογική σχέση OR. Προκειμένου να γίνει πιο σαφής η σχέση μεταξύ των κόμβων ενός δέντρου, παρουσιάζουμε στην εικόνα που ακολουθεί ένα παράδειγμα ενός δέντρου επιθέσεων. Οικονομικό Πανεπιστήμιο Αθηνών 190

191 Εικόνα 6.8: Δέντρο επιθέσεων και σχέσεις των κόμβων αυτού μεταξύ τους Στο συγκεκριμένο παράδειγμα, η ρίζα του δένδρου G αναπαριστά τον κύριο στόχο του επιτιθέμενου σε ότι αφορά την επίθεση του. Για να επιτευχθεί η επίθεση αυτή, πρέπει να πραγματοποιηθούν και οι δύο επιθέσεις που αναπαρίστανται από τους κόμβους K και L (σχέση AND). Κατόπιν, για να επιτευχθεί η επίθεση Κ πρέπει να πραγματοποιηθούν και οι δύο επιθέσεις A, Β (σχέση AND), ενώ για να εκδηλωθεί η επίθεση L, πρέπει να πραγματοποιηθεί τουλάχιστον μία από τις υπο-επιθέσεις C, D, E (σχέση OR) Γράφοι επιθέσεων Οι γράφοι επιθέσεων (attack graphs) αποτελούν ένα τυπικό τρόπο (formal means) μοντελοποίησης των αδυναμιών ασφάλειας ενός πληροφοριακού και επικοινωνιακού συστήματος. Επιπλέον, χρησιμοποιούνται για την αναπαράσταση όλων των ενδεχόμενων βημάτων και ενεργειών που μπορεί να ακολουθήσει ένας επιτιθέμενος προκειμένου να εκδηλώσει μια συγκεκριμένη επίθεση [MEH06]. Επί της ουσίας, οι γράφοι επιθέσεων, αφορούν γραφήματα με τους κόμβους και τους τις ακμές τους να αναπαριστούν κάθε πιθανή σειρά ενεργειών του επιτιθέμενου. Στο σημείο αυτό, πρέπει να αναφερθεί ότι στη βιβλιογραφία αναφέρονται πολλοί ορισμοί σε ότι αφορά τους γράφους επιθέσεων. Στο πλαίσιο της παρούσας διατριβής υιοθετείται ο ορισμός υψηλού επιπέδου που δίνεται για τους γράφους επιθέσεων (high level definition) σύμφωνα με τον οποίο [SCH99]: Οι γράφοι επιθέσεων αναπαριστούν την εκ των προτέρων γνώση σχετικά με τις αδυναμίες ασφάλειας ενός συστήματος καθώς και τις εξαρτήσεις και σχέσεις μεταξύ τους, τις οποίες εκμεταλλεύεται ένας επιτιθέμενος προκειμένου να εκδηλώσει μια επίθεση. Γενικά, οι γράφοι επιθέσεων μπορούν να αναπαρασταθούν με διττό τρόπο (dual way). Αρχικά, ο εκάστοτε αναπτυσσόμενος γράφος επίθεσης μπορεί, με σαφή και ευδιάκριτο τρόπο, να καταγράψει και να παρουσιάσει όλα τα ενδεχόμενα βήματα που μπορεί να ακολουθήσει ο επίδοξος επιτιθέμενος προκειμένου να εκδηλώσει μια επίθεση. Από την άλλη πλευρά, ενδέχεται να χρησιμοποιούνται γράφοι επίθεσης που βασίζονται στην παραδοχή ότι αν ένας κακόβουλος χρήστης εκμεταλλευτεί, με κάποιο τρόπο, μια αδυναμία ασφάλειας, τότε διατηρεί αυτή τη γνώση σε όλη τη διάρκεια της επίθεσής του. Με αυτόν Οικονομικό Πανεπιστήμιο Αθηνών 191

192 τον τρόπο, ο επιτιθέμενος, μετά από ένα επιμέρους βήμα-επίθεση, προκειμένου να εξαπολύσει μια νέα επίθεση, δε χρειάζεται να επιστρέψει πίσω και να εκδηλώσει ξανά την ήδη πετυχημένη επίθεσή του. Η εν λόγω παραδοχή, μας οδηγεί στη δημιουργία γράφων επιθέσεων, χωρίς την ύπαρξη επαναλαμβανόμενων κόμβων και ακμών (nodes και edges) και διασφαλίζοντας, ταυτόχρονα, τη μη απώλεια ενδεχόμενης χρήσιμης πληροφορίας σε ότι αφορά τη μοντελοποίηση. Εν γένει, οι γράφοι επιθέσεων αποτελούν ένα χρήσιμο εργαλείο σε ότι αφορά την ασφάλεια των πληροφοριακών και επικοινωνιακών συστημάτων. Τα βασικά πλεονεκτήματα της χρήσης τους συνίστανται κυρίως στους εξής λόγους: Συγκέντρωση πληροφοριών: Οι γράφοι επίθεσης μπορούν να χρησιμοποιηθούν για τη συγκέντρωση κρίσιμων για την ασφάλεια πληροφοριών (όπως π.χ. ποιες είναι οι εκάστοτε αδυναμίες ασφάλειας που αντιμετωπίζει ένα σύστημα, ποιοι είναι οι ενδεχόμενοι τρόποι μέσω των οποίων μπορεί ένας επιτιθέμενος να εκδηλώσει μια επίθεση, κλπ). Λήψη αποφάσεων: Η προαναφερθείσα συγκέντρωση πληροφοριών μπορεί να διευκολύνει στη λήψη αποφάσεων για τις απαραίτητες ενέργειες και μέτρα ασφάλειας τα οποία μπορούν να υιοθετηθούν με στόχο αφενός να περιορίσουν τις δυνατότητες του επίδοξου επιτιθέμενου προκειμένου να πετύχει το σκοπό του, και αφετέρου στον περιορισμό των επιπτώσεων που προκύπτουν μετά την επιτυχημένη εκδήλωση μιας επίθεσης. Στην επόμενη εικόνα παρουσιάζεται ένα παράδειγμα ενός γράφου επιθέσεων, στο οποίο απεικονίζονται τα βήματα που ενδέχεται να ακολουθήσει ο επιτιθέμενος. Εικόνα 6.9: Παράδειγμα γράφου επιθέσεων Σχέση Δέντρων και Γράφων Επιθέσεων Από τους ορισμούς και τις περιγραφές των δέντρων και γράφων επιθέσεων που παρουσιάστηκαν στις προηγούμενες ενότητες καθίσταται σαφές ότι οι δυο έννοιες έχουν αρκετά Οικονομικό Πανεπιστήμιο Αθηνών 192

193 κοινά σημεία μεταξύ τους ενώ, παράλληλα, στο σύνολο των περιπτώσεων, αλληλοσυσχετίζονται και αλληλοσυμπληρώνονται με στόχο να παράσχουν και να διευκολύνουν τη μοντελοποίηση της ασφάλειας των πληροφοριακών και επικοινωνιακών συστημάτων. Ωστόσο, από την άλλη πλευρά, οι δύο έννοιες έχουν αρκετές διαφορές. Πιο συγκεκριμένα, η βασική διαφορά των δύο εννοιών έγκειται στο γεγονός ότι τα δένδρα επιθέσεων αφορούν την αφαιρετική αναπαράσταση των επιθέσεων ενώ οι γράφοι επιθέσεων πραγματεύονται τη σειρά και αλληλουχία των επιθέσεων (sequence of attacks). Έτσι, ο σκοπός ενός δέντρου επιθέσεων είναι να προσδιορίσει με γραφικό, αφαιρετικό και δομημένο τρόπο το σκοπό μιας επίθεσης και κατ επέκταση να περιγράψει το πώς αυτός δύναται να αναλυθεί σε επιμέρους επιθέσεις. Αυτό επιτυγχάνεται μέσω αναπαράστασης της ιεραρχίας των κόμβων, επιτρέποντας στον εκάστοτε αναλυτή ασφάλειας να αποσυνθέσει μια γενική επίθεση και το στόχο αυτής σε ένα περιορισμένο αριθμό υπο-επιθέσεων (επιθέσεων χαμηλού επιπέδου (low level attacks)). Από την άλλη μεριά, οι γράφοι επιθέσεων αναπαριστούν τα μονοπάτια επιθέσεων (attack paths), που μπορεί να ακολουθήσει ο εκάστοτε επιτιθέμενος έτσι ώστε να εκδηλώσει μια επίθεση. Τα μονοπάτια αυτά εκφράζουν τους πιθανούς συνδυασμούς ενεργειών και τεχνικών που μπορεί να χρησιμοποιήσει ο επιτιθέμενος, εκμεταλλευόμενος συγκεκριμένες αδυναμίες ασφάλειας. 6.7 Μοντελοποίηση Επιθέσεων SPIT βασιζόμενων στο Πρωτόκολλο SIP Το μοντέλο επιθέσεων SPIT βασιζόμενων στις αδυναμίες του πρωτοκόλλου SIP, που προτείνεται στην παρούσα διατριβή, αποτελείται από τα εξής επίπεδα [MAL07]: Τη στρατηγική επιθέσεων SPIT (SPIT attack strategy), δηλαδή το σύνολο των βημάτων που μπορεί να ακολουθήσει ο επίδοξος επιτιθέμενος, έτσι ώστε να πετύχει μια παραβίαση SPIT. Το γράφο επιθέσεων (SPIT attack graph), μέσω του οποίου αναπαρίσταται η προαναφερθείσα στρατηγική επίθεσης και ο οποίος αποτελείται από ένα συγκεκριμένο αριθμό επιθέσεων (κόμβοι του γράφου) και το σύνολο των μεταξύ τους σχέσεων που αντιπροσωπεύουν τα δυνατά μονοπάτια επίθεσης (attack paths). Τα δέντρα επιθέσεων (SPIT attack trees), μέσω των οποίων αναλύεται κάθε επίθεση η οποία αναφέρεται στον προαναφερθέντα γράφο επιθέσεων. Το προτεινόμενο μοντέλο, αναπαριστά στιγμιότυπα (instances) συγκεκριμένων σεναρίων SPIT επιθέσεων. Αν για παράδειγμα θεωρηθούν δυο διαφορετικές επιθέσεις SPIT, τότε γίνεται αναφορά σε δύο διαφορετικά στιγμιότυπα του μοντέλου, το καθένα από τα οποία αναπαριστά την αλληλουχία των βημάτων που ακολουθήθηκαν προκειμένου να εκδηλωθούν οι αναφερόμενες επιθέσεις. Επιπρόσθετα, το προτεινόμενο μοντέλο στοχεύει στην παροχή ενός τρόπου απεικόνισης ενός συγκεκριμένου αριθμού επιθέσεων και όχι σε μια εξαντλητική λίστα των ενδεχόμενων σεναρίων επιθέσεων SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 193

194 Στην εικόνα που ακολουθεί, παρουσιάζεται μια αφαιρετική αναπαράσταση του προτεινόμενου μοντέλου. Εικόνα 6.10: Μοντελοποίηση επιθέσεων SPIT σε περιβάλλοντα VoIP Με βάση την εικόνα αυτή, το πρώτο επίπεδο αναπαριστά τη συνολική στρατηγική SPIT σε συνδυασμό με τις τρεις (3) γενικές κατηγορίες επιθέσεων SPIT. Στο αμέσως επόμενο επίπεδο (2 ο ) παρέχεται μια πιο λεπτομερής ανάλυση της προαναφερθείσας στρατηγικής, η οποία βασίζεται στο γράφο επιθέσεων SPIT και στα μονοπάτια επίθεσης που μπορεί να ακολουθήσει ο εκάστοτε κακόβουλος χρήστης έτσι ώστε να πετύχει μια παραβίαση SPIT. Τέλος, στα δύο χαμηλά επίπεδα του μοντέλου (3 ο και 4 ο επίπεδο) παρουσιάζονται τα δέντρα επιθέσεων και ο τρόπος με τον οποίο αυτά αναλύονται σε περαιτέρω και χαμηλότερου επιπέδου επιθέσεις SPIT. Στις επόμενες ενότητες, τα εν λόγω επίπεδα αναλύονται σε μεγαλύτερη λεπτομέρεια, ενώ παρουσιάζονται και τα επιμέρους δέντρα επιθέσεων SPIT και οι αναγνωριζόμενες σχέσεις μεταξύ των επιθέσεων μέσω των οποίων προκύπτει και ο προτεινόμενος γράφος επιθέσεων Στρατηγική Επιθέσεων SPIT Στο πλαίσιο της μελέτης και ανάλυσης του προτεινόμενου μοντέλου, πρέπει να γίνει σαφές ότι κάθε επίθεση δε λαμβάνεται ως μεμονωμένη και αυτόνομη ενέργεια [WAN06], αλλά ως ένα βήμα, που ανήκει σε μια σειρά βημάτων, που αποσκοπούν στην εκδήλωση μιας επίθεσης SPIT. Επιπρόσθετα, η αλληλουχία των βημάτων εξαρτάται άμεσα από το χρόνο Οικονομικό Πανεπιστήμιο Αθηνών 194

195 εκδήλωσης, δηλαδή, κάθε βήμα γίνεται σε μια συγκεκριμένη χρονική στιγμή ενώ το επόμενο βήμα λαμβάνει χώρα σε μεταγενέστερο χρόνο. Η προτεινόμενη στρατηγική επιθέσεων SPIT (SPIT attack strategy - methodology) χωρίζεται σε τρεις (3) φάσεις επιθέσεων, Η κάθε μία από τις οποίες περιγράφει την αλληλουχία των βημάτων των επιθέσεων. Οι τρεις φάσεις είναι οι εξής [MAL07]: Εγκατάσταση (Setting-Up): Η συγκεκριμένη φάση περιλαμβάνει όλες τις αρχικές ενέργειες του επιτιθέμενου πριν από την εκδήλωση της επίθεσης SPIT. Τέτοιες ενέργειες ενδέχεται να περιλαμβάνουν τη συγκέντρωση διευθύνσεων SIP (SIP-URIs), την επίθεση προς ένα πληρεξούσιο εξυπηρετητή (attacking a proxy server) κλπ. Προετοιμασία μηνύματος (Prepare the message): Η φάση αυτή περιλαμβάνει το σύνολο των ενεργειών του εκάστοτε κακόβουλου χρήστη για την προετοιμασία του μηνύματος SPIT και πριν την προώθηση αυτού στους εκάστοτε παραλήπτες του. Παράδειγμα μιας ενέργειας που ανήκει στη συγκεκριμένη κατηγορία είναι η ηχογράφηση ενός διαφημιστικού μηνύματος. Αποστολή Μηνύματος (Sending the message): Η τελευταία φάση αφορά τις ενέργειες που απαιτούνται προκειμένου να προωθηθεί το SPIT μήνυμα στους εκάστοτε παραλήπτες του. Παράδειγμα, αποτελεί η αποστολή ενός μηνύματος αίτησης INVITE, το οποίο ενσωματώνει το ηχογραφημένο μήνυμα του προηγούμενου βήματος. Οι λόγοι για τους οποίους γίνεται η προαναφερθείσα κατηγοριοποίηση είναι δύο. Ο πρώτος λόγος, αφορά το γεγονός ότι η σειρά εκδήλωσης των επιθέσεων, που αναφέρονται σε κάθε μία από τις αναγνωριζόμενες φάσεις, ακολουθεί μια χρονική αλληλουχία. Πιο συγκεκριμένα, αν η συλλογή των διευθύνσεων SIP των ενδεχόμενων παραληπτών ενός SPIT μηνύματος συμβεί τη χρονική στιγμή t, τότε είναι αναμενόμενο η αποστολή του μηνύματος SPIT να λάβει χώρα σε μετέπειτα χρονική στιγμή, λ.χ. τη χρονική στιγμή t+1. Με αυτό τον τρόπο, είναι εύκολο το να προληφθεί μια ενδεχόμενη επίθεση, η οποία χρονικά έπεται μιας ήδη αναγνωριζόμενης επίθεσης. Ο δεύτερος λόγος της κατηγοριοποίησης, στηρίζεται στο βασικό σκοπό που καλείται να προσφέρει το προτεινόμενο μοντέλο. Το μοντέλο στοχεύει στη λεπτομερή κατανόηση των ενδεχόμενων ενεργειών των κακόβουλων χρηστών (spitters) και κατ επέκταση, σε συνάρτηση με τις εκάστοτε ενέργειες, στην υιοθέτηση και εφαρμογή τόσο μεθόδων πρόληψης ενδεχόμενων επιθέσεων, όσο και ανίχνευσής τους. Εν κατακλείδι, ο τρόπος με τον οποίο οι εκάστοτε αναγνωριζόμενες επιθέσεις ταξινομούνται, έχει άμεση επίπτωση στον τρόπο με τον οποίο μπορούν να οριστούν συγκεκριμένα μέτρα και τεχνικές αντιμετώπισης του SPIT. Πιο συγκεκριμένα, οι επιθέσεις που αφορούν τη φάση επιθέσεων εγκατάστασης και προετοιμασίας του μηνύματος SPIT, μπορούν να αντιμετωπιστούν με χρήση προληπτικών μέτρων σε αντίθεση με την τελευταία κατηγορία (αποστολή μηνύματος SPIT) η οποία, προφανώς, δεν μπορεί να αντιμετωπιστεί προληπτικά. Στην παρακάτω εικόνα, αποτυπώνεται η προαναφερθείσα κατάσταση όσο και η χρονική αλληλουχία των αναγνωριζόμενων γενικών μονοπατιών επιθέσεων τύπου SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 195

196 Εικόνα 6.11: Χρονική αλληλουχία επιθέσεων SPIT Δέντρα Επιθέσεων SPIT Τα δέντρα επιθέσεων, όπως έχει ήδη αναφερθεί, αναπαριστούν τις επιθέσεις που μπορεί να εκτελέσει ένας κακόβουλος χρήστης σε μια δενδρική μορφή, στην οποία η ρίζα του δένδρου αντιπροσωπεύει μια γενική και αφαιρετική επίθεση και κατ επέκταση το σκοπό του επιτιθέμενου. Από την άλλη, τα φύλλα του δένδρου αναπαριστούν υπο-επιθέσεις οι οποίες εκμεταλλεύονται συγκεκριμένες αδυναμίες, έτσι ώστε να πετύχουν το σκοπό του επιτιθέμενου. Στην ενότητα αυτή, θα παρουσιαστούν λεπτομέρειες σχετικά με τα δένδρα επιθέσεων που ορίστηκαν και περιγράφουν τις επιθέσεις SPIT σε περιβάλλοντα VoIP τα οποία βασίζουν τη λειτουργία τους στο πρωτόκολλο SIP Μέθοδος εργασίας Στο πλαίσιο ανάπτυξης των SPIT δένδρων επιθέσεων, ακολουθήθηκε μια προσέγγιση μέσω της οποίας από το χαμηλό επίπεδο οδηγηθήκαμε στο υψηλό επίπεδο (bottom-up approach). Πιο αναλυτικά, αρχικά εντοπίστηκαν και οριοθετήθηκαν με χρήση της ανάλυσης απειλών και αδυναμιών του πρωτοκόλλου SIP (βλ. κεφάλαιο 5), τα δένδρα επιθέσεων και στη συνέχεια μεταφερθήκαμε σε πιο αφαιρετικό επίπεδο που αφορά το γράφο επίθεσης. Πιο συγκεκριμένα, τα βήματα που ακολουθήθηκαν είναι τα εξής [MAL07]: 1. Αναγνώριση και ταξινόμηση των επιθέσεων SPIT που προκύπτουν από την εκμετάλλευση των αναγνωριζόμενων αδυναμιών του πρωτοκόλλου SIP. 2. Μοντελοποίηση των επιθέσεων SPIT σε συγκεκριμένα δένδρα επιθέσεων. 3. Βασιζόμενοι στα δένδρα επιθέσεων γίνεται μοντελοποίηση των γενικών επιθέσεων (οι οποίες αφορούν τις ρίζες των δένδρων) σε ένα γράφο επίθεσης στον οποίο διαφαίνονται οι δυνατοί τρόποι εκδήλωσης αυτών των επιθέσεων SPIT (attack paths). Οικονομικό Πανεπιστήμιο Αθηνών 196

197 Δημιουργία Δένδρων Επιθέσεων SPIT Tα κλασσικά δένδρα επιθέσεων και πιο συγκεκριμένα οι σχέσεις AND και OR που χρησιμοποιούνται σε αυτά, θέτουν συγκεκριμένους περιορισμούς όσο αφορά την μοντελοποίηση και κατ επέκταση περιγραφή του πλήθους και της ποικιλίας (diversity) των SPIT επιθέσεων. Πιο συγκεκριμένα, λόγω του ορισμού και της φύσης των χαρακτηριζόμενων ως OR κόμβων δεν παρέχεται άμεσα- η δυνατότητα να μοντελοποιηθούν περισσότερες από μία ταυτόχρονες επιθέσεις και ταυτόχρονα να εκφραστεί η λογική σχέση σύμφωνα με την οποία ακριβώς μία από σύνολο Ν επιθέσεων είναι απαραίτητο να πραγματοποιηθεί, έτσι ώστε να θεωρείται η επίθεση επιτυχής. Επιπρόσθετα, πρέπει να ληφθεί υπόψη και το γεγονός ότι η περιγραφή μιας επίθεσης γίνεται ανά πακέτο SIP -και όχι συνολικά στη σύνοδο SIP. Επομένως, δεν μπορεί να μοντελοποιηθεί μια επίθεση που αναφέρεται σε ταυτόχρονα πακέτα-μηνύματα (τα μηνύματα αιτημάτων και αποκρίσεων αντιμετωπίζονται διαφορετικα, αφού το ένα έπεται χρονικά του άλλου). Με στόχο να ικανοποιηθούν οι προαναφερθείσες απαιτήσεις, γίνεται χρήση XOR κόμβων Έτσι, λοιπόν, στη μοντελοποίηση των SPIT επιθέσεων με χρήση δένδρων επιθέσεων χρησιμοποιήθηκαν οι εξής τύποι κόμβων [MAL07]: AND κόμβοι: Στην περίπτωση αυτή, όλοι οι κόμβοι πρέπει να πραγματοποιηθούν προκειμένου μια ευρύτερη επίθεση να εκδηλωθεί. OR κόμβοι: Στη συγκεκριμένη περίπτωση, ένας ή περισσότεροι κόμβοι πρέπει να πραγματοποιηθούν έτσι ώστε μια ευρύτερη επίθεση να εκδηλωθεί. XOR κόμβοι: Στην περίπτωση αυτή, ένας αποκλειστικά κόμβος πρέπει να πραγματοποιηθεί προκειμένου να θεωρηθεί ότι η ευρύτερη επίθεση εκδηλώθηκε 5. Προκειμένου να καταστεί σαφής η σημασιολογία (semantics) και η χρήση των τριών προαναφερόμενων τύπων κόμβων, παρουσιάζεται ένα παράδειγμα το οποίο απεικονίζεται στην παρακάτω εικόνα. Στην εικόνα αυτή παρουσιάζονται όλοι οι τύποι των κόμβων, ενώ παράλληλα αποτυπώνονται και οι συνδυασμοί επιθέσεων (πιθανά σενάρια), όπως ορίζονται από τους τύπους των κόμβων και με στόχο να πραγματοποιηθεί η επίθεση R1. 5 Ενδέχεται να υπάρξουν περιπτώσεις κατά τις οποίες ένας κόμβος XOR συμπίπτει με τη λογική λειτουργίας και απεικόνισης που διέπει ένα κόμβο OR. Οικονομικό Πανεπιστήμιο Αθηνών 197

198 Εικόνα 6.12: Σημασιολογία των τύπων των κόμβων που χρησιμοποιούνται στα δένδρα επιθέσεων SPIT Στο σημείο αυτό, πρέπει να αναφέρουμε ότι η έννοια των κόμβων XOR έχει χρησιμοποιηθεί ξανά, αλλά με διαφορετικό τρόπο συγκριτικά με τον τρόπο που προτείνεται στην προσέγγιση μας. Πιο συγκεκριμένα, μια παρόμοια προσέγγιση βασίζεται στη φόρμουλα AND/OR [OPE05], ωστόσο οι δύο προσεγγίσεις είναι διαφορετικές μεταξύ τους. Στο [OPE05], προτείνεται η χρήση των κόμβων XOR, όπως και άλλων τύπων κόμβων λ.χ. NOR, NAND κλπ., οι οποίοι, όμως, αναφέρονται στις τιμές (βάρη) που λαμβάνουν οι εκάστοτε κόμβοι και με στόχο στον υπολογισμό του κόστους που συνεπάγεται μια επίθεση. Από την άλλη πλευρά, στη προσέγγιση μας, οι κόμβοι XOR, δεν προσανατολίζονται για τον υπολογισμό του κόστους των κόμβων, αλλά αποσκοπούν στην ακριβή μοντελοποίηση της χρονικής συγκυρίας (concurrency) εκδήλωσης των επιθέσεων [MAL07]. Μια άλλη προσέγγιση, στην οποία υιοθετούνται οι κόμβοι XOR, είναι αυτή που παρουσιάζεται και χρησιμοποιείται στα δένδρα σφαλμάτων και αστοχίας (fault trees) [STE02]. Τα εν λόγω δένδρα, χρησιμοποιούνται για την ανάλυση συνθηκών αστοχίας στη λειτουργία σύνθετων τεχνικών συστημάτων. Ο συγκεκριμένος τύπος δένδρων, μπορεί να θεωρηθεί ότι δύναται να χρησιμοποιηθεί και για τους σκοπούς της προτεινόμενης σε αυτή τη διατριβή μοντελοποίησης. Ωστόσο, αυτό δεν ευσταθεί για τους εξής λόγους: αρχικά, τα δένδρα αυτού του τύπου χρησιμοποιούνται για την αναπαράσταση αστοχιών ασφάλειας (safety failures) και όχι για την αναπαράσταση άλλων τύπων επιθέσεων. Από την άλλη, η ενδεχόμενη χρήση αυτών των δένδρων, για την αναπαράσταση επιθέσεων, είναι όμοια με το κλασσικό τύπο δένδρων επιθέσεων, στον οποίο μόνο κόμβοι AND και OR χρησιμοποιούνται [HEL01]. Στον πίνακα που ακολουθεί, παρουσιάζεται μια πλήρης λίστα των δένδρων επιθέσεων SPIT ενώ, παράλληλα, απεικονίζονται οι τύποι των κόμβων, οι επιμέρους επιθέσεις όσο και η ευρύτερη φάση στην οποία κάθε επίθεση ανήκει [MAL07]. Ωστόσο πρέπει να σημειωθεί ότι στη λίστα των επιθέσεων που παρουσιάζεται δεν αποτυπώνεται το σύνολο των αδυναμιών που εντοπίστηκαν και παρουσιάστηκαν στο κεφάλαιο 5. Ο λόγος είναι ότι η προτεινόμενη μοντελοποίηση ενσωματώνει μόνο την εκμετάλλευση αδυναμιών που έχουν άμεση σχέση με το SIP και αγνοεί αδυναμίες που αναφέρονται σε άλλα πρωτόκολλα ή σε άλλες έμμεσες Οικονομικό Πανεπιστήμιο Αθηνών 198

199 με το SIP αδυναμίες (π.χ. εκμετάλλευση μηχανισμών αυθεντικοποίησης με χρήση του πρωτοκόλλου TLS). Πίνακας 6.8: Πλήρης λίστα δένδρων επιθέσεων SPIT Α/Α Όνομα Ρίζας (Στόχος Επιθεσης) Επίπεδο Υπο-δένδρα Επιθέσεις (Εκμετάλλευση Αδυναμιών SIP) Τύπος δένδρου Φάση Επίθεσης 1 Εύρεση και συλλογή διευθύνσεων χρηστών Φύλλα Listenig to a multicast address Αποκάλυψη ενεργών διευθύνσεων Αποστολή συγκεχυμένων αιτημάτων στους πληρεξούσιους εξυπηρετητές Παρακολούθηση κίνησης κοντά σε SIP εξυπηρετητές Ανίχνευση των γνωστών θυρών του SIP. OR Εγκατάσταση 2 3 Μαζική αποστολή μηνυμάτων Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Φύλλα Φύλλα Αποστολή μηνυμάτων σε multicast διευθύνσεις (φάσης αποστολής) Εκμετάλλευση forking πληρεξούσιων εξυπηρετητών (φάση προετοιμασίας/αποστολής) Εκμετάλλευση των αιτήσεων re- INVITE Εκμετάλλευση του πεδίου της επικεφαλίδας Record-Route OR OR Προετοιμασί α /Αποστολή μηνύματος Εγκατάσταση /Αποστολή μηνύματος 4 Μεγιστοποίηση κέρδους. Φύλλο Εκμετάλλευση της επικεφαλίδας προτεραιότητας (PRIORITY header) Αποστολή μηνύματος 5 Απόκρυψη ταυτότητας Φύλλο Δημιουργία πολλαπλών λογαριασμών SIP Εγκατάσταση 6 Απόκρυψη ταυτότητας Φύλλα Εκμετάλλευση stateless εξυπηρετητών Ανώνυμοι Εξυπηρετητές SIP και B2B-UAs OR Αποστολή μηνύματος 7 Ενσωμάτωση SPIT στα μηνύματα 2o Επίπεδο Εκμετάλλευση Μηνυμάτων Αιτήσεων Εκμετάλλευση Μηνυμάτων Αποκρίσεων XOR Προετοιμασί α /Αποστολή μηνύματος Οικονομικό Πανεπιστήμιο Αθηνών 199

200 Α/Α Όνομα Ρίζας (Στόχος Επιθεσης) Επίπεδο Υπο-δένδρα Επιθέσεις (Εκμετάλλευση Αδυναμιών SIP) Τύπος δένδρου Φάση Επίθεσης Πεδία επικεφαλίδας. Σώματα Μηνυμάτων OR Φύλλα Πεδία επικεφαλίδας. Σώματα Μηνυμάτων Reason Phrase OR Στη συνέχεια και προκειμένου να καταστούν πιο σαφή και αναγνώσιμα τα δένδρα επιθέσεων SPIT, παρουσιάζουμε λεπτομέρειες αυτών όσο και σχηματική αναπαράστασή τους Κόμβος 1: Εύρεση και συλλογή διευθύνσεων χρηστών Η συγκεκριμένη επίθεση υποδηλώνει όλες τις ενέργειες ενός κακόβουλου χρήστη, προκειμένου να βρει και να συλλέξει όσες περισσότερες SIP διευθύνσεις (SIP URIs), παραληπτών του SPIT μηνύματός του, μπορεί. Οι επιμέρους επιθέσεις μπορεί να λάβουν χώρα μεμονωμένα ή παράλληλα, ώστε να καταρτισθεί μια όσο το δυνατόν μεγαλύτερη λίστα ενεργών διευθύνσεων χρηστών Στην εικόνα που ακολουθεί, παρουσιάζεται τόσο η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου, όσο και οι επιμέρους επιθέσεις που μπορεί να εκτελέσει μέχρι να πετύχει το στόχο του. Ο τύπος του δένδρου είναι OR. Εικόνα 6.13: Δένδρο επίθεσης Εύρεση και συλλογή διευθύνσεων χρηστών Κόμβος 2: Μαζική αποστολή μηνυμάτων Η επίθεση αυτή υποδηλώνει όλες τις ενέργειες ενός επιτιθέμενου, για εκμετάλλευση ευπαθειών που θα επιτρέψουν την αυτοματοποιημένη μαζική αποστολή μηνυμάτων SPIT. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου και οι επιμέρους επιθέσεις που μπορεί να εκτελέσει μέχρι να πετύχει το στόχο του. Ο τύπος του δένδρου είναι OR. Οικονομικό Πανεπιστήμιο Αθηνών 200

201 . Εικόνα 6.14: Δένδρο επίθεσης "Μαζική Αποστολή Μηνυμάτων" Κόμβος 3: Επιθέσεις Eνδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Η επίθεση αυτή, υποδηλώνει όλες τις ενέργειες για αποστολή SPIT, οι οποίες μπορούν να εκδηλωθούν μόνο κατόπιν της εκμετάλλευσης ενδιάμεσων εξυπηρετητών SIP (Proxy in the middle attacks). Μετά την εκμετάλλευση ενός πληρεξούσιου εξυπηρετητή, αυτές οι επιθέσεις μπορούν να εκδηλωθούν παράλληλα. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου καθώς και οι επιμέρους επιθέσεις, που μπορεί να εκτελέσει μέχρι να πετύχει το στόχο του. Ο τύπος του δένδρου είναι OR. Εικόνα 6.15: Δένδρο Επιθέσεων Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών Κόμβος 4: Μεγιστοποίηση Κέρδους Η επίθεση αυτή υποδηλώνει όλες τις ενέργειες ενός επιτιθέμενου οι οποίοι στοχεύουν στη μεγιστοποίηση του κέρδους του ιδίου, δηλαδή στις ενέργειες εκείνες που θα οδηγήσουν στη λήψη μηνυμάτων SPIT από όσο το δυνατόν περισσότερους παραλήπτες. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου καθώς και η μία επιμέρους επίθεση που μπορεί να χρησιμοποιηθεί για αυτό το σκοπό. Οικονομικό Πανεπιστήμιο Αθηνών 201

202 Εικόνα 6.16: Δένδρο επίθεσης "Μεγιστοποίηση Κέρδους" Κόμβος 5: Απόκρυψη Ταυτότητας κατά τη Φάση Εγκατάστασης Η συγκεκριμένη επίθεση υποδηλώνει όλες τις ενέργειες ενός κακόβουλου χρήστη που στοχεύει στην απόκρυψη της ταυτότητάς του πριν εκείνος αποστείλει το μήνυμα SPIT και λαμβάνει χώρα κατά τη φάση της εγκατάστασης. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου καθώς και η μία επιμέρους επίθεση που μπορεί να χρησιμοποιηθεί για αυτό το σκοπό. Εικόνα 6.17: Δένδρο επίθεσης "Απόκρυψη ταυτότητας κατά τη φάση εγκατάστασης" Κόμβος 6: Απόκρυψη Ταυτότητας κατά τη Φάση Αποστολής των Μηνυμάτων SPIT Η επίθεση αυτή υποδηλώνει όλες τις ενέργειες του επίδοξου επιτιθέμενου, που αφορούν την απόκρυψη της ταυτότητάς του κατά τη φάση αποστολής των SPIT μηνυμάτων του. Ο επιτιθέμενος μπορεί να εκδηλώσει πολλές διαφορετικές επιθέσεις παράλληλα. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου όσο και τις επιμέρους επιθέσεις που μπορεί να εκτελέσει μέχρι να πετύχει το στόχο του. Ο τύπος του δένδρου είναι OR. Οικονομικό Πανεπιστήμιο Αθηνών 202

203 Εικόνα 6.18: Δένδρο επίθεσης "Απόκρυψη ταυτότητας κατά τη φάση αποστολής των μηνυμάτων SPIT" Κόμβος 7: Ενσωμάτωση SPIT σε Μηνύματα SIP Η επίθεση αυτή υποδηλώνει όλες τις ενέργειες ενός επιτιθέμενου που αποσκοπούν στην ενσωμάτωση του μηνύματος SPIT στο σώμα του μηνύματος ή σε κάποια επικεφαλίδα των μηνυμάτων SIP. Η εν λόγω επίθεση, διασπάται σε δύο επιμέρους επιθέσεις η μία εκ των οποίων αναφέρεται στην εκμετάλλευση των μηνυμάτων αιτήσεων του SIP και η άλλη στην εκμετάλλευση των μηνυμάτων αποκρίσεων του πρωτοκόλλου. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχική αφαιρετική επίθεση που υποδηλώνει το στόχο του επιτιθέμενου. Επιπλέον, απεικονίζεται το δεύτερο επίπεδο επιθέσεων που μπορούν να χρησιμοποιηθούν για αυτό το σκοπό και οι οποίες αναπαριστώνται με χρήση κόμβων τύπου XOR, μιας και η εκδήλωση της μίας αναιρεί υποχρεωτικά την ταυτόχρονη εκδήλωση της άλλης (βλ. ενότητα ). Τέλος, παρουσιάζονται πώς οι επιθέσεις του δεύτερου επιπέδου αναλύονται σε ακόμα χαμηλότερου επιπέδου επιθέσεις. Οι κόμβοι των συγκεκριμένων δένδρων είναι τύπου OR. Εικόνα 6.19: Δένδρο επίθεσης "Ενσωμάτωση SPIT σε μηνύματα SIP" Δημιουργία Γράφου Επιθέσεων SPIT Πριν παρουσιάσουμε λεπτομέρειες σχετικά με το γράφο επιθέσεων SPIT, είναι χρήσιμο να αναφέρουμε ότι υπάρχουν δύο γενικές μέθοδοι για τη δημιουργία γράφων επιθέσεων: είτε χειροκίνητα (manually), είτε μέσω της χρήσης ενός αυτοματοποιημένου εργαλείου (attack Οικονομικό Πανεπιστήμιο Αθηνών 203

204 graph tool) [SHE04], [KOT06]. Η χειροκίνητη δημιουργία μεγάλων γράφων επιθέσεων, αποτελεί μια σύνθετη διαδικασία, η οποία ενδέχεται αρκετές φορές να οδηγήσει σε λάθη [NIN03]. Από την άλλη, τα μέχρι στιγμής προτεινόμενα αυτοματοποιημένα εργαλεία είναι προσανατολισμένα για χρήση στο περιβάλλον ή/και στο σύστημα για το οποίο θα χρησιμοποιηθούν (context specific), χάνοντας τη γενικότητα που πολλές φορές απαιτείται. Στο πλαίσιο ορισμού του γράφου που αναφέρεται στο προτεινόμενο μοντέλο, χρησιμοποιήθηκε η χειροκίνητη προσέγγιση για τους εξής, κυρίως λόγους [MAL07]: Η χρήση αφαιρετικών επιθέσεων, όπως αυτές ορίστηκαν μέσω των δένδρων επιθέσεων, βοηθά στη διατήρηση μικρού, ελεγχόμενου και εύκολα διαχειρίσιμου μεγέθους του γράφου επιθέσεων. Η παραδοχή ότι ο ενδεχόμενος κακόβουλος χρήστης διατηρεί τη γνώση που αποκόμισε από την επίτευξη μιας επίθεσης, περιορίζει σε σημαντικό βαθμό τον αριθμό των βημάτων και των σχέσεων μεταξύ των κόμβων (επιθέσεων) του γράφου. Επιπρόσθετα, για τη δημιουργία του γράφου επιθέσεων SPIT με χρήση των αφαιρετικών επιθέσεων που αναφέρθηκαν στα δένδρα επιθέσεων και οι οποίες αποτελούν τους κόμβους του γράφου θεωρούμε τους εξής τρεις τρόπους διασύνδεσης: 1. Καμία συσχέτιση (not related): Δυο επιθέσεις δεν σχετίζονται μεταξύ τους προκειμένου να επιτευχθεί μια συγκεκριμένη επίθεση SPIT. 2. Αμφίδρομη σχέση (bilateral way): Οποιαδήποτε από τις δύο επιθέσεις μπορεί να έχει την άλλη σαν επόμενο βήμα στο πλαίσιο της εκδήλωσης μιας συγκεκριμένης επίθεσης SPIT. 3. Μονόδρομη σχέση (one-sided way): H πραγματοποίηση μιας επίθεσης μπορεί να οδηγήσει στην άλλη, στο πλαίσιο εκδήλωσης μιας γενικότερης επίθεσης SPIT. Βασιζόμενοι στους προαναφερθέντες τρόπους διασύνδεσης, στη συνέχεια παρουσιάζονται οι σχέσεις μεταξύ των επτά (7) επιθέσεων ταξινομημένες ανάλογα με την κατηγορία στην οποία ανήκουν Μη συσχετιζόμενες επιθέσεις Οι επιθέσεις που παρουσιάζονται στη συνέχεια δε συσχετίζονται με κανέναν τρόπο: Εύρεση και συλλογή διευθύνσεων χρηστών Μαζική αποστολή μηνυμάτων. Εύρεση και συλλογή διευθύνσεων χρηστών Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Απόκρυψη ταυτότητας (εγκατάσταση). Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Απόκρυψη ταυτότητας (αποστολή μηνύματος). Σε ότι αφορά την πρώτη σχέση, η επίθεση εύρεσης και συλλογής των διευθύνσεων των χρηστών, αναφέρεται στη συλλογή και συγκέντρωση διευθύνσεων SIP (SIP URIs) πολλών Οικονομικό Πανεπιστήμιο Αθηνών 204

205 μεμονωμένων χρηστών. Από την άλλη, η επίθεση μαζική αποστολή μηνυμάτων δεν αναφέρεται σε διευθύνσεις που ανήκουν στους χρήστες, αλλά σε διευθύνσεις πληρεξούσιων εξυπηρετητών (proxy servers) ή σε διευθύνσεις multicast (multicast addresses). Προφανώς, το γεγονός αυτό καθιστά φανερό ότι οι εν λόγω επιθέσεις δεν μπορούν με κανέναν τρόπο να συσχετίζονται. Σε ότι αφορά τις υπόλοιπες σχέσεις η μη συσχέτισή τους οφείλεται εμμέσως στη μη συσχέτιση των αδυναμιών, τις οποίες εκμεταλλεύονται προκειμένου να πραγματοποιηθούν. Για παράδειγμα, δεν απαιτείται για κάποιο κακόβουλο χρήστη, προκειμένου να εξαπολύσει επιθέσεις προς έναν πληρεξούσιο εξυπηρετητή, να αποκρύψει την ταυτότητά του με εκμετάλλευση των αδυναμιών του πρωτοκόλλου SIP. Το ίδιο αποτέλεσμα επιτυγχάνεται με εκμετάλλευση αδυναμιών που αναφέρονται, μεταξύ άλλων και σε άλλα πρωτόκολλα Αμφίδρομες σχέσεις Στην πλειονότητα των περιπτώσεων ο ενδεχόμενος κακόβουλος χρήστης προσπαθεί να αποκρύψει την ταυτότητά του πριν αποστείλει το εκάστοτε SPIT μήνυμά του (κατά την προετοιμασία του μηνύματος) καθιστώντας με αυτό τον τρόπο δύσκολη έως αδύνατη την εύρεση και ταυτοποίησή του. Ωστόσο, ένας έμπειρος επιτιθέμενος θα μπορούσε να καλύψει εντελώς τα ίχνη που θα οδηγούσαν σε πιθανή ανεύρεση του, αν μπορούσε να αποκρύψει την ταυτότητά του κατά το στάδιο συλλογής των διευθύνσεων. Έτσι, ορίζεται μια αμφίδρομη συσχέτιση μεταξύ των εξής επιθέσεων: Εύρεση και συλλογή διευθύνσεων χρηστών Απόκρυψη ταυτότητας (εγκατάσταση). Εύρεση και συλλογή διευθύνσεων χρηστών Απόκρυψη ταυτότητας (αποστολή μηνύματος). Μαζική αποστολή μηνυμάτων Μεγιστοποίηση κέρδους. Μαζική αποστολή μηνυμάτων Απόκρυψη ταυτότητας (αποστολή μηνύματος). Μαζική αποστολή μηνυμάτων Ενσωμάτωση SPIT στα μηνύματα SIP. Μεγιστοποίηση κέρδους Απόκρυψη ταυτότητας (αποστολή μηνύματος). Μεγιστοποίηση κέρδους Ενσωμάτωση SPIT στα μηνύματα SIP. Απόκρυψη ταυτότητας (αποστολή μηνύματος) Ενσωμάτωση SPIT σε μηνύματα SIP. Αυτή η αμφίδρομη συσχέτιση των επιθέσεων θεωρείται ιδιαίτερα χρήσιμη για τους σκοπούς που άπτονται της ανίχνευσης των επιθέσεων. Πιο συγκεκριμένα, ας υποτεθεί ότι δυο επιθέσεις A1 και Α2 λαμβάνουν χώρα στους χρόνους t1 και t2 αντιστοίχως και η ανίχνευση τους γίνεται στους χρόνους t3 και t4. Η χρονική αυτή αλληλουχία, υποδηλώνει ότι η επίθεση Α1 πραγματοποιήθηκε πριν από την επίθεση Α2. Ωστόσο, αν ανιχνευθεί πρώτα η επίθεση Α2, τότε ενδέχεται με ασφαλή τρόπο να υποθέσει κανείς ότι αυτή πραγματοποιήθηκε αρχικά και ότι η αμέσως επόμενη επίθεση θα πρέπει να είναι η Α1. Οικονομικό Πανεπιστήμιο Αθηνών 205

206 Μονόδρομες σχέσεις Στο πλαίσιο λειτουργίας μιας υποδομής VoIP, ο ενδεχόμενος επίδοξος επιτιθέμενος πρέπει πριν στείλει το SPIT μήνυμα στους ενδεχόμενους παραλήπτες του, να μπορέσει να συγκεντρώσει τις διευθύνσεις των εν λόγω χρηστών. Με βάση τη διαπίστωση αυτή οι παρακάτω μονόδρομες σχέσεις ορίζονται: Εύρεση και συλλογή διευθύνσεων χρηστών Μεγιστοποίηση κέρδους Εύρεση και συλλογή διευθύνσεων χρηστών Ενσωμάτωση SPIT στα μηνύματα SIP Ένα επιπλέον σύνολο σχέσεων το οποίο ανήκει στη συγκεκριμένη κατηγορία αναφέρεται στις επιθέσεις που αφορούν την εκμετάλλευση ενδιάμεσων εξυπηρετητών (Proxies in the Middle attacks). Πιο συγκεκριμένα, οι παρακάτω επιθέσεις μπορούν να πραγματοποιηθούν μόνο εφόσον κάποιος επιτιθέμενος έχει μπορέσει να θέσει υπό των έλεγχο του έναν ενδιάμεσο εξυπηρετητή. Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Μαζική αποστολή μηνυμάτων Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Μεγιστοποίηση κέρδους Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Ενσωμάτωση SPIT σε μηνύματα SIP Τέλος, οι επόμενες επιθέσεις συσχετίζονται εξαιτίας του γεγονότος ότι η δημιουργία ψευδών λογαριασμών χρηστών (fake SIP accounts), σε κάποιο VoIP δικτυακό τομέα, προηγούνται χρονικά των επιθέσεων που αφορούν την αποστολή SPIT μηνυμάτων. Απόκρυψη ταυτότητας (εγκατάσταση) Μαζική αποστολή μηνυμάτων Απόκρυψη ταυτότητας (εγκατάσταση) Μεγιστοποίηση κέρδους Απόκρυψη ταυτότητας (εγκατάσταση) Απόκρυψη ταυτότητας (αποστολή μηνύματος) Απόκρυψη ταυτότητας (εγκατάσταση) Ενσωμάτωση SPIT στα μηνύματα SIP. Στον πίνακα που ακολουθεί παρουσιάζονται συνοπτικά οι οριζόμενες σχέσεις μεταξύ των επιθέσεων που έχουν αναγνωριστεί [MAL07]. Πίνακας 6.9: Σχέσεις μεταξύ των επιθέσεων SPIT Σχέση Επιθέσεις R1 Εύρεση και συλλογή διευθύνσεων χρηστών Μαζική αποστολή μηνυμάτων R2 R3 R4 Εύρεση και συλλογή διευθύνσεων χρηστών Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Απόκρυψη ταυτότητας (εγκατάσταση) Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Απόκρυψη ταυτότητας (αποστολή μηνύματος) Οικονομικό Πανεπιστήμιο Αθηνών 206

207 Σχέση R5 R6 R7 R8 R9 R10 R11 R12 R13 R14 R15 R16 R17 R18 R19 R20 R21 Επιθέσεις Εύρεση και συλλογή διευθύνσεων χρηστών (εγκατάσταση) Εύρεση και συλλογή διευθύνσεων χρηστών (αποστολή μηνύματος) Μαζική αποστολή μηνυμάτων Μεγιστοποίηση κέρδους Απόκρυψη ταυτότητας Απόκρυψη ταυτότητας Μαζική αποστολή μηνυμάτων Απόκρυψη ταυτότητας (αποστολή μηνύματος) Μαζική αποστολή μηνυμάτων Ενσωμάτωση SPIT στα μηνύματα SIP Μεγιστοποίηση κέρδους Απόκρυψη ταυτότητας (αποστολή μηνύματος) Μεγιστοποίηση κέρδους Ενσωμάτωση SPIT στα μηνύματα SIP Απόκρυψη ταυτότητας (αποστολή μηνύματος) Ενσωμάτωση SPIT στα μηνύματα SIP Εύρεση και συλλογή διευθύνσεων χρηστών Μεγιστοποίηση κέρδους Εύρεση και συλλογή διευθύνσεων χρηστών Ενσωμάτωση SPIT στα μηνύματα SIP Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Μαζική αποστολή μηνυμάτων Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Μεγιστοποίηση κέρδους Επιθέσεις Ενδιάμεσων Πληρεξούσιων Εξυπηρετητών (PITM) Ενσωμάτωση SPIT σε μηνύματα SIP Απόκρυψη ταυτότητας (εγκατάσταση) Μαζική αποστολή μηνυμάτων Απόκρυψη ταυτότητας (εγκατάσταση) Μεγιστοποίηση κέρδους Απόκρυψη ταυτότητας (εγκατάσταση) Απόκρυψη ταυτότητας (αποστολή μηνύματος) Απόκρυψη ταυτότητας (εγκατάσταση) Ενσωμάτωση SPIT στα μηνύματα SIP Με βάση τις σχέσεις που αναφέρθηκαν προηγουμένως ορίζεται ο γράφος επιθέσεων SPIT που απεικονίζεται στην παρακάτω εικόνα [MAL07]. Οικονομικό Πανεπιστήμιο Αθηνών 207

208 Εικόνα 6.20: Γράφος επιθέσεων SPIT βασιζόμενος στο πρωτόκολλο SIP Ο παραπάνω γράφος επιθέσεων SPIT ορίζει τον τρόπο με τον οποίο συνδέονται οι αφαιρετικές επιθέσεις που αναφέρθηκαν στο δένδρο επιθέσεων, ενώ οι ακμές αυτού υποδηλώνουν τον τρόπο που μπορεί ένας επιτιθέμενος να χρησιμοποιήσει τις εν λόγω επιθέσεις, με στόχο να πετύχει μια πιο σύνθετη επίθεση τύπου SPIT. Επιπρόσθετα, θα πρέπει στο σημείο αυτό να σημειωθεί ότι ο γράφος αυτός δεν έχει αρχικό ή τελικό κόμβο, διότι περιγράφει μόνο την εκμετάλλευση αδυναμιών του πρωτοκόλλου SIP, αγνοώντας την εκμετάλλευση αδυναμιών άλλων πρωτοκόλλων. Για παράδειγμα, η επίθεση συλλογής διευθύνσεων που γίνεται με εκμετάλλευση αδυναμιών του DNS και θα μπορούσε να θεωρηθεί ως το πρώτο βήμα του σεναρίου επίθεσης, δεν αναπαρίσταται στον συγκεκριμένο γράφο. 6.8 Πρότυπα και Σενάρια Επιθέσεων SPIT Τα δένδρα επιθέσεων και ο εξαγόμενος γράφος επίθεσης που παρουσιάστηκε στην ενότητα 6.7, μαζί με τα κριτήρια ανίχνευσης επιθέσεων SPIT, μπορούν να αποτελέσουν τη βάση με στόχο τον ορισμό και τη δημιουργία σεναρίων επιθέσεων SPIT. Τα σενάρια αυτά, λόγω του ότι ακόμα δεν υπάρχει σημαντική πληροφορία σε ότι αφορά την πραγματική εκδήλωση επιθέσεων SPIT, διευκολύνουν τον ορισμό συνθηκών κάτω από τις οποίες συγκεκριμένου τύπου επιθέσεις SPIT ενδέχεται να λάβουν χώρα [MAL07]. Επομένως, κρίνεται αναγκαία η μετατροπή των σεναρίων αυτών σε μια συγκεκριμένη μορφή τέτοια ώστε να μπορεί να υιοθετείται σε οποιαδήποτε VoIP υποδομή και η οποία Οικονομικό Πανεπιστήμιο Αθηνών 208

209 θα διευκολύνει την αναγνώριση επιθέσεων SPIT. Η μορφή αυτή παρέχεται μέσω των προτύπων επιθέσεων (attack patterns), οι οποίες δύναται να χρησιμοποιηθούν για την ανίχνευση συγκεκριμένων τύπων επιθέσεων 6 [SCH03], [VIG00]. Ένα πρότυπο επίθεσης (attack pattern) ορίζεται ως ο γενικός τρόπος αναπαράστασης μιας συγκεκριμένης επίθεσης, η οποία λαμβάνει χώρα κάτω από συγκεκριμένες συνθήκες. Εν γένει, τα πρότυπα επιθέσεων, διαθέτουν συγκεκριμένα χαρακτηριστικά και ιδιότητες, τα βασικότερα εκ των οποίων είναι [MOO01]: Σκοπός (Goal): Αναφέρεται στο σκοπό της εκάστοτε περιγραφόμενης επίθεσης, όπως αυτή αναφέρεται στο συγκεκριμένο πρότυπο. Προ-απαιτούμενες συνθήκες (Pre-conditions): Η συγκεκριμένη ιδιότητα αναφέρεται στις συνθήκες οι οποίες πρέπει να ικανοποιούνται προκειμένου να διευκολύνουν την εκδήλωσης της περιγραφόμενης επίθεσης. Ενέργειες (Actions): Περιγράφονται το σύνολο των ενεργειών που απαιτούνται να πραγματοποιηθούν έτσι ώστε να γίνει η εκδήλωση της επίθεσης. Αποτελέσματα (Post-conditions): Αναφορά στα αποτελέσματα που επιτεύχθηκαν ύστερα από την πετυχημένη εκδήλωση μιας επίθεσης. Προφανώς, τα εν λόγω αποτελέσματα ενδέχεται να αποτελέσουν προ-απαιτούμενες συνθήκες που αναφέρονται σε μια άλλη επίθεση και η οποία περιγράφεται από ένα άλλο πρότυπο. Προκειμένου να καταστεί πιο σαφής η αποτύπωση των επιθέσεων στα σχετικά πρότυπα παρουσιάζεται ένα παράδειγμα το οποίο αποτυπώνει την επίθεση Find Users Addresses. Το οριζόμενο πρότυπο παρουσιάζεται στην παρακάτω εικόνα [MAL07]. Find Users Addresses Attack Pattern: Goal: Exploit SIP protocols and messages vulnerabilities to collect SIP addresses (URI, etc.) of potential SPIT recipients. Pre-condition (assumptions): Spitter is capable of: (a) sending arbitrarily SIP messages on the network, (b) monitoring the network, and (c) launching port scanning attacks. Actions: 1. Listen to a multicast address OR 2. Populate active addresses OR 3. Send ambiguous requests to proxies OR 4. Monitoring traffic near SIP servers OR 5. Port scan on known SIP ports OR Post-condition: The attacker holds a list of potential SPIT recipients 6 Κατά αναλογία των υπογραφών (definitions) που χρησιμοποιούνται για την ανίχνευση και αντιμετώπιση ιομορφικού λογισμικού. Οικονομικό Πανεπιστήμιο Αθηνών 209

210 Εικόνα 6.21: Παράδειγμα αποτύπωσης επίθεσης με χρήση προτύπου επιθέσεων Η χρήση των προτύπων επιθέσεων παρέχει τη δυνατότητα να επικεντρώσουμε το ενδιαφέρον μας σε υψηλού επιπέδου σενάρια επίθεσης [RAN97], [MIC01], [ECK00], τα οποία μπορούν να αποτελέσουν τις συνθήκες εκείνες που αναφέρονται και αποτυπώνουν μια επίθεση SPIT. Θα πρέπει, επομένως, τα εκάστοτε οριζόμενα πρότυπα επίθεσης να εμπλουτιστούν με στόχο να ανταποκρίνονται αποδοτικότερα στις τεχνολογικές απαιτήσεις και λεπτομέρειες που αφορούν το εκάστοτε VoIP σύστημα. Για παράδειγμα, στο πρότυπο επίθεσης που παρουσιάστηκε προηγουμένως, μπορεί να προστεθεί μια συγκεκριμένη διεύθυνση multicast (multicast address), η οποία αναφέρεται στον εκάστοτε υπό μελέτη VoIP δικτυακό τομέα, επιτυγχάνοντας η ανίχνευση της περιγραφόμενης επίθεσης SPIT να γίνει με πιο αποτελεσματικό τρόπο [MAL07]. Επιπρόσθετα, τα εκάστοτε οριζόμενα πρότυπα επίθεσης μπορούν να χρησιμοποιηθούν για τον ορισμό και την ανάπτυξη συγκεκριμένων σεναρίων επιθέσεων. Προκειμένου να γίνει πιο σαφές στον αναγνώστη η δημιουργία των σεναρίων SPIT επιθέσεων από το γράφο επιθέσεων, στην επόμενη εικόνα, αποτυπώνεται ένα παράδειγμα σεναρίου επίθεσης. Στο εν λόγω παράδειγμα, ο επιτιθέμενος (spitter) εκμεταλλεύεται συγκεκριμένους κόμβους του γράφου (1,6,7) με στόχο να προωθήσει ένα μήνυμα SPIT. Επιπρόσθετα, απεικονίζεται, ο τρόπος με τον οποίο στο πλαίσιο ενός κόμβου του γράφου (κόμβος 7) χρησιμοποιούνται οι κατώτερου επιπέδου τρόποι εκδήλωσης της επίθεσης, δηλαδή το μονοπάτι που ακολουθεί ο επιτιθέμενος στο πλαίσιο χρήσης-ενεργοποίησης ενός κόμβου και εκδήλωσης μιας επίθεσης. Εικόνα 6.22: Παράδειγμα σεναρίου επίθεσης SPIT με χρήση του γράφου επιθέσεων Η λεπτομερής περιγραφή του σεναρίου παρατίθεται στη συνέχεια: Kόμβος 1: Στόχος του spitter η συλλογή διευθύνσεων υποψήφιων παραληπτών SPIT: Ο spitter εκμεταλλεύεται μια συγκεκριμένη τρωτότητα του SIP με στόχο να συλλέξει όσες Οικονομικό Πανεπιστήμιο Αθηνών 210

211 περισσότερες διευθύνσεις υποψηφίων παραληπτών του SPIT μηνύματός του μπορεί. Ειδικότερα, όταν η διεύθυνση του παραλήπτη δεν υπάρχει (είτε γιατί γράφτηκε λάθος, είτε γιατί γράφτηκε στην τύχη), τότε ο πληρεξούσιος εξυπηρετητής επιστρέφει ένα σύνολο διευθύνσεων που μοιάζουν με τη δοθείσα. Για παράδειγμα (worst case), αν του δοθεί η διεύθυνση μπορεί να επιστρέψει όλες τις διευθύνσεις που περιλαμβάνουν τη συμβολοσειρά dgr. Κόμβος 6. Στόχος του spitter είναι να αποκρύψει την ταυτότητά του: Αυτό το επιτυγχάνει αξιοποιώντας μια συγκεκριμένη υπηρεσία, που αποτελεί τρωτότητα του SIP δηλαδή τους B2BUAs (βλ. Ενότητα ). Η συγκεκριμένη λογική οντότητα χρησιμοποιείται κυρίως για την παροχή υπηρεσιών διατήρησης της ανωνυμίας στο πλαίσιο μιας συνόδου SIP. Πιο συγκεκριμένα, με χρήση των οντοτήτων B2BUA κατά την αποστολή ή/και λήψη ενός αιτήματος SIP συγκεκριμένα πεδία των επικεφαλίδων των SIP πακέτων (κυρίως τα πεδία From, Via, Contact, Call-ID) τροποποιούνται και αποστέλλονται με νέα στοιχεία με στόχο να διατηρηθεί η ανωνυμία των συμμετεχουσών οντοτήτων. Κόμβος 7. Στόχος του spitter είναι να προωθήσει το SPIT μήνυμά του: Αυτό το επιτυγχάνει μέσω της εκμετάλλευσης ενός μηνύματος αίτησης, στο οποίο έχει αξιοποιήσει μια συγκεκριμένη επικεφαλίδα του SIP (πχ. CALL-INFO), ενσωματώνοντας σε αυτή για παράδειγμα μια ιστοσελίδα που οδηγεί σε διαφήμιση ενός προϊόντος. Στον παρακάτω πίνακα παρουσιάζονται κάποια ενδεικτικά σενάρια επιθέσεων, καθώς και οι κόμβοι του γράφου επίθεσης που χρησιμοποιούνται για την εκδήλωση της συγκεκριμένης επίθεσης (μιας και ο γράφος επιθέσεων που παρουσιάστηκε αποτελεί στην ουσία τη βασική συνιστώσα στην οποία βασίζεται η καταγραφή των επιθέσεων). Πίνακας 6.10: Παραδείγματα σεναρίων επιθέσεων Σενάριο επίθεσης The spitter listens to the multicast for collecting users SIP URI addresses. Then, by using the contact header and the Alert-Info field of the INVITE message, forwards the SPIT message to the list of victims. Series of nodes: Node 1 to Node 7 The spitter exploits hijacked SIP proxies and sends bulk SPIT messages to an application that is using a multicast channel. Series of nodes: Node 3 to Node 2 The attacker sends ambiguous requests to proxies so as to collect SIP URIs addresses of her potential SPIT Ανάλυση Κόμβων Γράφου που ενεργοποιούνται The spitter starts the attack from node 1, namely Find and Collect Users Addresses. This is accomplished by exploiting the vulnerability listening to a multicast address. Then, the attacker goes to node 7, where the goal is to encapsulate SPIT in SIP messages. This is accomplished by the exploitation of the SIP request messages and especially the SIP headers fields INVITE and ALERT-INFO respectively. The spitter starts from node 3 (Proxies-In-The-Middle Attack) and exploits Re-INVITES message header field vulnerability. Then, spitter transits to node 3 (Sending Bulk Messages), where she exploits the vulnerability of sending messages to the multicast address, that the application is using to provide content to multiple users (e.g. video conference). The spitter starts the attack from node 1, namely Find and Collect Users Addresses. This is done by exploiting the vulnerability of sending ambiguous requests to Οικονομικό Πανεπιστήμιο Αθηνών 211

212 Σενάριο επίθεσης victims. Then by exploiting the Response message and especially the From and Contact header fields forwards her SPIT message. Series of nodes: Node 1 to Node 7 The attacker scan well-know SIP ports of her potential SPIT victims. Then by exploit the Response message and especially the From and Contact header fields forwards her SPIT message. Series of nodes: Node 1 to Node 7 The attacker sends her message by hiding her identity. Series of nodes: Node 4 The spitter tries to hide her identity by misusing stateless SIP servers and sends her SPIT message by using the header MESSAGE. Series of nodes: Node 6 to Node 7 The attacker sends ambiguous requests to proxies, then she uses anonymous SIP servers and B2BUAs and finally uses the Call-Info header so as to send her message. Series of nodes: Node 1 to Node 6 to Node 7 The spitter exploits the Record- Route header and then uses the header Message so as to send her SPIT. Series of Nodes: Node 3 to Node 7 The spitter exploits registrar servers, and then uses priority header field and finally sending the message to multicast addresses. Series of nodes: Node 5 to Node 4 to Node 2 Ανάλυση Κόμβων Γράφου που ενεργοποιούνται proxies. Then, the attacker goes to node 7, where she uses a response message (exploitation of response messages) with a 200 message/code by exploiting the Contact and From header fields (i.e., includes multiple addresses in Contact field and the value of the From field is equal to one of the values of the Contact). The spitter starts the attack from node 1, namely Find and Collect Users Addresses. This is done by exploiting the vulnerability of Port scanning of well-known SIP ports. Then, the attacker goes to node 7, where she uses a response message (exploitation of response messages) with a 200 message/code by exploiting the Contact and From header fields (i.e., includes multiple addresses in Contact field and the value of the From field is equal to one of the values of the Contact). The attacker uses only the node 5, namely Hide Identity- Track. She exploits the headers Route so as to hide her identity during the sending SPIT message phase. The spitter start her SPIT attack from the node 6, namely Hide Identity-Track, by exploiting stateless SIP servers. Then, the spitter goes to node 7, namely, Encapsulate SPIT SIP messages and she uses the header field MESSAGE so as to encapsulate to it her real SPIT content. The attacker starts from node 1, namely Find and Collect Users Addresses, so as collects users addresses. This is accomplished by exploiting the vulnerability Sending ambiguous requests to proxies. Then she transits to node 6, namely Hide Identity-Track. Her goal during this phase is to hide her identity by exploiting the vulnerability anonymous SIP servers and Back-to-Back User Agents (B2BUAs). Finally, the spitter transits to node 7, namely Encapsulate SPIT in SIP messages, and exploits the header Error-Info so as to put her real SPIT content to her message. In this case the attack starts from node 3, namely Proxies- In-the middle Attack. Hence, the attacker after the exploitation of hijacked SIP proxies she exploits the Record- Route header. Then she transit to node 7, where the goal is to encapsulate SPIT in SIP messages, by exploiting the Message header. The attacker starts her attack from node 5, namely Hide- Identity track, by exploiting Registrar servers. The she transits to node 4, Maximize profit, so as by exploiting the priority header field to make her message attractive and possible to be received. Finally, she transits to node 2, Sending Bulk Messages, by sending the SPIT message to Οικονομικό Πανεπιστήμιο Αθηνών 212

213 Σενάριο επίθεσης The spitter uses her multiple SIP accounts, she exploits forking proxies, then she uses the Priority header field and the Call-Info header field so as to conduct her attack. Series of nodes: Node 5 to Node 2 to Node 4 to Node 7. Ανάλυση Κόμβων Γράφου που ενεργοποιούνται multicast addresses and therefore her message to have as many as possible receivers. The attacker starts her attack from node 5, namely Hide- Identity track, by using her multiple SIP accounts. The she transits to node 2, Sending Bulk Messages, by exploiting forking proxies. Then she transits to node 4, Maximize profit, so as by exploiting the priority header field to make her message attractive and possible to be received. Finally, she transits to node 7, Encapsulate SPIT in SIP messages. This is accomplished by the exploitation of the SIP request messages and especially the SIP headers fields CALL-INFO respectively. 6.9 Σύνοψη Στο κεφάλαιο αυτό, τέθηκαν οι βάσεις σε ότι αφορά την αποτελεσματική και ουσιαστική αναγνώριση ενδεχόμενων επιθέσεων SPIT. Ξεκινώντας από μια περιγραφή βασικών κριτηρίων ανίχνευσης και ταυτοποίησης περιστατικών SPIT, προτάθηκε ένα πλαίσιο μοντελοποίησης των αδυναμιών του πρωτοκόλλου SIP και οι οποίες μπορούν να χρησιμοποιηθούν με στόχο την εκδήλωση επιθέσεων SPIT. Η μοντελοποίηση αυτή, με χρήση των γράφων και δένδρων επιθέσεων, μαζί με τα κριτήρια αναγνώρισης, παρέχει τη δυνατότητα ορισμού ενός σαφούς και καλώς ορισμένου συνόλου σεναρίων επιθέσεων τα οποία, όπως θα παρουσιαστεί στη συνέχεια, μπορούν να αποτελέσουν τις ικανές εκείνες συνθήκες για την αποτελεσματική - σε πρώτο επίπεδο- αναγνώριση επιθέσεων SPIT, και κατ επέκταση την τελική αντιμετώπισή τους. Οικονομικό Πανεπιστήμιο Αθηνών 213

214 7 ontospit: Οντολογία Διαχείρισης SPIT The real voyage of discovery consists not in seeking new landscapes but in having new eyes. Marcel Proust 7 ontospit: Οντολογία Διαχείρισης SPIT 7.1 Εισαγωγή Από τη μέχρι στιγμής ανάλυση, καθίσταται σαφές ότι η πολυπλοκότητα των ζητημάτων και θεμάτων που αφορούν το φαινόμενο SPIT, κρίνεται ιδιαίτερα σημαντική, ενώ είναι έκδηλη η ανάγκη για αποτελεσματική και αποδοτική διαχείρισή του. Η διαχείριση ενός φαινομένου σαν το SPIT, εμπεριέχει αρκετές συνιστώσες, οι οποίες πρέπει να λαμβάνονται υπόψη και αφορούν τόσο τα ιδιαίτερα χαρακτηριστικά, που διέπουν τις τεχνολογίες VoIP, όσο και τις προτιμήσεις και απαιτήσεις που θέτουν οι βασικοί χρήστες και εμπλεκόμενοι (stakeholders) με αυτή. Οι οντολογίες αποτελούν μια πολλά υποσχόμενη προσέγγιση στο θέμα της διαχείρισης γνώσης (γενικά) και της διαχείρισης του φαινομένου SPIT (ειδικότερα). Οι δυνατότητες που παρέχουν οι οντολογίες εκτιμώνται σαν ιδιαίτερα αποδοτικές και χρήσιμες διότι οι γλώσσες που τις υποστηρίζουν ενσωματώνουν συγκεκριμένες υπολογιστικές ικανότητες, οι οποίες παρέχουν συμπερασματικούς μηχανισμούς. Αυτό διευκολύνει πολύ τη διαχείριση ενός δυναμικού και συνεχώς εξελισσόμενου και ευμετάβλητου φαινομένου σαν το SPIT. Στο κεφάλαιο αυτό, λοιπόν, παρουσιάζεται μια οντολογία η οποία μοντελοποιεί και περιγράφει το SPIT σε περιβάλλοντα VoIP, που βασίζονται και χρησιμοποιούν το πρωτόκολλο SIP. Επιπρόσθετα, η οντολογία παρέχει ένα κοινό σημείο κατανόησης και αντίληψης (common understanding) του SPIT, μέσω του οποίου διευκολύνεται η επαναχρησιμοποίηση της Οικονομικό Πανεπιστήμιο Αθηνών 214

215 (αποκτηθείσας) γνώσης και, τέλος, παρέχει ένα σημαντικό εργαλείο για την επίλυση ζητημάτων διαλειτουργικότητας μεταξύ των VoIP δικτυακών τομέων κυρίως μέσω της σαφούς, κατανοητής και ρητής αναπαράστασης των εννοιών (concepts) και των μεταξύ τους σχέσεων. Το παρόν κεφάλαιο είναι οργανωμένο ως εξής: αρχικά αναφέρεται το βασικό θεωρητικό υπόβαθρο σχετικά με τις οντολογίες και πώς αυτές χρησιμοποιούνται για την αναπαράστασης της γνώσης. Στη συνέχεια, παρουσιάζεται το βασικό εννοιολογικό πλαίσιο που διέπει το φαινόμενο SPIT, ενώ κατόπιν ορίζεται το αναλυτικό μοντέλο αποτύπωσης της διαχείρισης του φαινομένου SPIT (ontospit), μέσω της προτεινόμενης οντολογίας. Τέλος, αναλύεται το πώς υλοποιήθηκε το μοντέλο με χρήση του λογισμικού Protégé. 7.2 Θεωρητικό Yπόβαθρο Στην παρούσα ενότητα, παρουσιάζονται, εν συντομία, θέματα που αφορούν την αναπαράσταση γνώσης, το σημασιολογικό ιστό και τις οντολογίες. Η ανάγκη για μια κοινά αποδεκτή μοντελοποίηση και αναπαράστασης της πληροφορίας και κατ επέκταση της γνώσης, με απώτερο σκοπό την επίτευξη ευφυούς συμπεριφοράς, μέσω της αυτοματοποιημένης εξαγωγής συμπερασμάτων, οδήγησε στη συνεργασία των τριών παραπάνω γνωστικών περιοχών Αναπαράσταση Γνώσης Η αναπαράσταση της γνώσης (knowledge representation) αποτελεί ένα συνεχώς εξελισσόμενο ερευνητικό χώρο, η οποία κατά κύριο λόγο χρησιμοποιείται στο πλαίσιο της τεχνητής νοημοσύνης (artificial intelligence), με κύριο στόχο τη μελέτη και ανάπτυξη συστημάτων που επιδεικνύουν ευφυή συμπεριφορά [DEC99]. Υπάρχουν αρκετοί ορισμοί σε ότι αφορά την έννοια της αναπαράστασης της γνώσης. Ένας από τους πιο διαδεδομένους ορισμούς είναι ο εξής [DAV93], [GRU93]: Η αναπαράσταση γνώσης αφορά τη μελέτη τρόπων αναπαράστασης της πληροφορίας με στόχο την επίτευξη ευφυούς συμπεριφοράς. Από την άλλη, ένας πιο επίσημος και τυπικός ορισμός (formal definition) για την αναπαράσταση της γνώσης είναι [GRU93]: Η αναπαράσταση γνώσης είναι ο τομέας της επιστήμης που ασχολείται με τη χρήση επίσημων συμβόλων για την αναπαράσταση συνόλων από κατηγορήματα. Από τους παραπάνω ορισμούς, γίνεται φανερό ότι η αναπαράσταση της γνώσης κρίνεται ιδιαίτερα σημαντική διότι βοηθά τα εκάστοτε υπολογιστικά συστήματα να εμπλουτίσουν και να διαμορφώσουν την αποθηκευμένη τους γνώση και να μπορούν, κατ επέκταση, να αναπτύξουν ευφυή συμπεριφορά. Πιο συγκεκριμένα, τα έξυπνα συστήματα θα μπορούν να κατέχουν μια σαφή συμβολική βάση γνώσης, αναπαριστώντας τη γνώση για τον κόσμο. Στον Οικονομικό Πανεπιστήμιο Αθηνών 215

216 παρακάτω πίνακα παρουσιάζονται οι πέντε (5) διακριτοί ρόλοι που αφορούν την αναπαράσταση γνώσης, με στόχο η έννοια της να γίνει πιο σαφής και κατανοητή για τον αναγνώστη [DAV93], [ΔΗΜ08]. Πίνακας 7.1: Ρόλοι αναπαράστασης της γνώσης Ρόλος Η αναπαράσταση γνώσης είναι μία αναπλήρωση Η αναπαράσταση γνώσης είναι ένα σύνολο οντολογικών δεσμεύσεων Η αναπαράσταση γνώσης είναι μία αποσπασματική θεωρία ευφυούς συλλογισμού Η αναπαράσταση γνώσης είναι ένα μέσο για αποδοτικό υπολογισμό Η αναπαράσταση γνώσης είναι ένα μέσο για την ανθρώπινη έκφραση Σημασιολογικός Ιστός Περιγραφή Η αναπαράσταση λειτουργεί σαν αναπλήρωση για τον συλλογιζόμενο, μία υποκατάσταση των αντικειμένων/ εννοιών που υπάρχουν στον κόσμο. Έτσι, αντικαθιστά τις διαδικασίες του πραγματικού κόσμου, αποτελεί δηλαδή το υποκατάστατο της άμεσης αλληλεπίδρασης με τον κόσμο. Όλες οι αναπαραστάσεις αποτελούν ατελείς προσεγγίσεις της πραγματικότητας, όπου κάθε προσέγγιση ανταποκρίνεται σε κάποια δεδομένα και αγνοεί κάποια άλλα. Η επιλογή μιας αναπαράστασης αφορά το πώς και το τί να δούμε στον κόσμο, δηλαδή την επιλογή κάποιων οντολογικών δεσμεύσεων. Η αναπαράσταση γνώσης είναι σαν μία αποσπασματική θεωρία ευφυούς συλλογισμού. Αυτός ο ρόλος έχει αναπτυχθεί επειδή η αρχική σύλληψη μιας αναπαράστασης παρακινείται από κάποιο γεγονός, που στην ουσία δείχνει τον τρόπο με τον οποίο συλλογίζεται κάποιο άτομο. Από μια καθαρώς μηχανιστική άποψη, η διαδικασία του συλλογισμού στις μηχανές, είναι μια υπολογιστική διαδικασία. Για να χρησιμοποιηθεί μια αναπαράσταση πρέπει αρχικά να υπολογιστεί. Συνεπώς, οι ερωτήσεις σχετικές με την υπολογιστική αποδοτικότητα είναι αναπόφευκτα σημαντικές στην έννοια της αναπαράστασης. Η αναπαράσταση γνώσης είναι το μέσο με το οποίο εκφράζουμε τις έννοιες για τον κόσμο, όπως και το μέσο επικοινωνίας με τη μηχανή. Αυτός ο ρόλος είναι αναπόφευκτος, εφ' όσον πρέπει να επικοινωνήσουμε με τη μηχανή (ή άλλους ανθρώπους) για τον κόσμο και εφ' όσον γίνεται αυτό για τη δημιουργία και την επικοινωνία των αναπαραστάσεων. Ο Σημασιολογικός Ιστός (semantic web) [BER01] παρέχει ένα κοινό πλαίσιο, το οποίο επιτρέπει στα δεδομένα να διαμοιράζονται και να επαναχρησιμοποιούνται ανάμεσα σε υπολογιστικά συστήματα. Αποτελεί μια προσπάθεια που υποστηρίζεται από τον οργανισμό Οικονομικό Πανεπιστήμιο Αθηνών 216

217 W3C (World Wide Web Consortium) με την ταυτόχρονη συμμετοχή ενός μεγάλου αριθμού ερευνητών και εταιρειών. Ο σημασιολογικός ιστός κάνει χρήση του πλαισίου RDF (Resource Description Framework) [BRI04], το οποίο χρησιμοποιείται, κυρίως, για τον τυπικό ορισμό των διαφόρων εννοιών, ενοποιώντας ένα πλήθος εφαρμογών και υιοθετώντας το συντακτικό της XML 1 και τα URIs 2 για την ονοματοδοσία (χρήση τριάδων από URIs για τον ορισμό κάθε δήλωσης (subject, predicate, object). Εν γένει, ο σημασιολογικός ιστός αποτελεί μια προέκταση και εξέλιξη του κλασσικού παγκόσμιου ιστού (WWW), στον οποίο η πληροφορία έχει ένα σαφώς ορισμένο νόημα, γεγονός το οποίο επιτρέπει στους ανθρώπους και στους υπολογιστές να επικοινωνούν με ευκολότερο και αποδοτικότερο τρόπο. Πιο συγκεκριμένα, με χρήση του σημασιολογικού ιστού οι διάφορες ιστοσελίδες δε χρησιμοποιούνται μόνο για την δημοσίευση και παρουσίαση των πληροφοριών, αλλά παρέχουν έναν τρόπο επισήμανσης του περιεχομένου και των υπηρεσιών που ενσωματώνονται σε αυτές. Συγκεκριμένες γλώσσες που χρησιμοποιούνται για αυτό το σκοπό (markup languages, όπως λ.χ. XML, RDF, RDFS, DAML), παρέχουν τα μέσα με τα οποία οι εκάστοτε πληροφορίες των ιστοσελίδων αποκτούν μια σημασιολογική υπόσταση, που διευκολύνει τη διαδραστικότητα του παγκόσμιου ιστού. Στην εικόνα που ακολουθεί, παρουσιάζεται η αρχιτεκτονική του σημασιολογικού ιστού, η οποία διευκολύνει την κατανόηση από τις εκάστοτε υπολογιστικές μηχανές των πληροφοριών που ενσωματώνονται σε μια ιστοσελίδα, δηλαδή το τί μπορεί να αποκομιστεί από αυτές όσο και τη σημασία τους. 1 Διαθέσιμο στη διεύθυνση 2 Uniform Resource Identifier (URI): Aποτελεί ένα αναγνωριστικό για την περιγραφή ή/και την ονοματοδοσία πόρων (resources) στο Διαδίκτυο. Οικονομικό Πανεπιστήμιο Αθηνών 217

218 Εικόνα 7.1: Αρχιτεκτονική Σημασιολογικού Ιστού Σημασιολογικός Ιστός και Οντολογίες Σε αντίθεση με την τωρινή μορφή του παγκόσμιου ιστού (WWW), όπου τα δεδομένα απλά χρησιμοποιούνται για την ανάγνωσή τους, ο σημασιολογικός ιστός παρέχει τον τρόπο μέσω του οποίου τα δεδομένα είναι επεξεργάσιμα από τις διάφορες υπολογιστικές μηχανές. Το γεγονός αυτό ενισχύει την προώθηση νέων και πιο εξελιγμένων υπηρεσιών όπως η ταξινόμηση των πληροφοριών, οι πιο εξελιγμένες μηχανές αναζήτησης (sophisticated search engines), κλπ. [BER01], με στόχο ο παγκόσμιος ιστός να παρέχει το πλήρες σύνολο των δυνατοτήτων του, παρέχοντας σημαντικά και εμφανή οφέλη προς τους χρήστες του 3. Οι οντολογίες αποτελούν κομβικό σημείο στην παραπάνω προσπάθεια [DIN05]. Εν γένει, μια οντολογία αποτελεί ένα μοντέλο το οποίο περιέχει ένα σύνολο από έννοιες και τις μεταξύ τους σχέσεις, παρέχοντας την ουσιαστική σημασιολογία των δεδομένων, με ένα ενιαίο και κοινά αντιληπτό τρόπο [DEC99], [GRU93]. Επιπρόσθετα, οι οντολογίες παρέχουν ένα μηχανισμό για την εξαγωγή συμπερασμάτων από τα δεδομένα, όπου με χρήση κατάλληλων μηχανών εξαγωγής συμπερασμάτων, μπορούν να εξαχθούν νέα αποτελέσματα και προτάσεις. Τα παραπάνω, καθιστούν σαφές ότι οι οντολογίες διευκολύνουν την αποδοτικότερη και αποτελεσματικότερη επικοινωνία μεταξύ ανθρώπων και μηχανών παρέχοντας πρόσβαση στις πληροφορίες, βάσει του πραγματικού περιεχόμενού τους, ενισχύοντας τη διαλειτουργικότητα και την επικοινωνία στο διαδίκτυο και προσφέροντας ένα νέο και ποιοτικότερο επίπεδο των παρεχόμενων στο τελικό χρήστη υπηρεσιών. 3 Κατά τα λεγόμενα του Tim Berners-Lee: Bringing the web to its full potential [BER01]. Οικονομικό Πανεπιστήμιο Αθηνών 218

219 7.2.3 Οντολογίες Ο όρος οντολογία, προέρχεται από τη φιλοσοφία, και χρησιμοποιείται, κυρίως, για την περιγραφή της δομής και της διαδοχής της πραγματικότητας [SMI03]. Με την πάροδο του χρόνου, οι οντολογίες υιοθετήθηκαν και χρησιμοποιήθηκαν ευρύτατα από διάφορους επιστημονικούς τομείς. Στο πλαίσιο αυτό, οι οντολογίες υιοθετήθηκαν και στο χώρο της πληροφορικής με κύριο σκοπό να παράσχουν μια εννοιολογική τυποποίηση διαφόρων περιοχών ενδιαφέροντος και να ενισχύσουν την επικοινωνία ανθρώπου και μηχανών καθώς και μηχανών μεταξύ τους. Γενικά, υπάρχουν αρκετοί ορισμοί για την έννοια της οντολογίας. Ο πιο διαδεδομένος ορισμός σε ότι αφορά τις οντολογίες είναι αυτός που προτάθηκε από τον Gruber, σύμφωνα με τον οποίο [GRU93]: Η οντολογία αποτελεί έναν τυπικό και ρητό προσδιορισμό της αντίληψης που μοιράζονται τα άτομα 4. Γενικά, μπορεί να ειπωθεί ότι μια οντολογία παρέχει το μέσο εκείνο που διευκολύνει τη μοντελοποίηση ενός μέρους του κόσμου. Ένα τέτοιο μοντέλο, μπορεί να χρησιμοποιηθεί από τους ανθρώπους και τις υπολογιστικές μηχανές για την εδραίωση μιας κοινής αντίληψης σε ότι αφορά ένα σύνολο εννοιών και των μεταξύ τους σχέσεων [DRI05], [TSO05]. Με στόχο η έννοια των οντολογιών να γίνει πιο κατανοητή και σαφής, στον πίνακα που ακολουθεί, αναφέρονται οι βασικές όψεις που διέπουν τις οντολογίες καθώς και μια σύντομη περιγραφή αυτών [GUA95], [GUA97]. Πίνακας 7.2: Τρεις βασικές όψεις των οντολογιών Όψεις Περιγραφή οντολογίας Μία οντολογία «συλλαμβάνει» τη σημασιολογία. Έτσι, όταν οι έννοιες μίας οντολογίας συνδέονται με πληροφοριακές πηγές, τότε οι οντολογίες λειτουργούν σαν το μέσο για τη δόμηση της πληροφορίας. Το Περιεχόμενο μεγαλύτερο πλεονέκτημα των οντολογιών, είναι ότι καθώς αποτυπώνουν τη σημασιολογία ενός κειμένου, βοηθούν τους υπολογιστές να το επεξεργαστούν με τέτοιο τρόπο, έτσι ώστε να εξαχθούν συμπεράσματα. Μία οντολογία είναι ένα σύνολο από ρητά καθορισμένες ορολογίες και Μορφή σχέσεις, μίας περιοχής ενδιαφέροντος, που περιλαμβάνει το λεξικό της περιοχής. Ο ορισμός αυτός περιγράφει τη μορφή μίας οντολογίας. 4 An ontology is a formal, explicit specification of a shared conceptualization. Οικονομικό Πανεπιστήμιο Αθηνών 219

220 Σκοπός Μία οντολογία δημιουργείται για το διαμοιρασμό και την επαναχρησιμοποίηση της γνώσης. Μία συμφωνία της χρήσης ενός λεξικού, που θα είναι συνεπές με τις έννοιες που ορίζονται στην οντολογία, ονομάζεται οντολογική δέσμευση. Όμως, η απόλυτη οντολογική δέσμευση δημιουργείται μεταξύ των ανθρώπων. Έτσι, δύο agents, ή ένας agent και ένας άνθρωπος που έχουν δεσμευτεί στην ίδια οντολογία μπορούν να ανταλλάσσουν τη γνώση τους με έναν τρόπο, ο οποίος έχει νόημα Μεθοδολογίες και εργαλεία ανάπτυξης οντολογιών Μέχρι στιγμής, δεν έχει επικρατήσει κάποια συγκεκριμένη και κοινά αποδεκτή μεθοδολογία για την ανάπτυξη οντολογία. Το βασικό ερώτημα κατά την ανάπτυξη μιας οντολογίας δε σχετίζεται με το πώς αυτή θα αναπτυχθεί ή σε ποια επιμέρους γλώσσα ή/και εργαλείο αναπαράστασης της γνώσης θα στηρίζεται. Σχετίζεται, κυρίως, με ποιο σκοπό καλείται να επιλύσει η εκάστοτε προτεινόμενη οντολογία και ποια τα ουσιαστικά πλεονεκτήματα χρήσης της [GUA97]. Ωστόσο, διάφορες μεθοδολογίες υπάρχουν οι βασικότερες εκ των οποίων είναι: Cyc, Προσέγγιση Επιχειρησιακού Μοντέλου (Enterprise Model Approach), Tove, KAC- TUS και CommonKADS, Methondology, On-To-Knowledge και η IDEF5 [ΜΙΧ04], [ΤΣΟΥ07]. Από την άλλη, υπάρχει ένα πλήθος τεχνολογιών για την αναπαράσταση των οντολογιών συμπεριλαμβανομένων της φυσικής γλώσσας, της γραφικής αναπαράστασης, των λογικών προσεγγίσεων, κ.λ.π.. Στον παρακάτω πίνακα, γίνεται μία αναφορά σε κάποιες από τις προσεγγίσεις οι οποίες έχουν γίνει αποδεκτές για την αναπαράσταση των οντολογιών [ΜΙΧ04]. Οι προσεγγίσεις αυτές διαφέρουν τόσο στον ουσιαστικό τρόπο αναπαράστασης της γνώσης, όσο και στις επιμέρους υιοθετούμενες μηχανές εξαγωγής συμπερασμάτων. Πίνακας 7.3: Τεχνολογίες ανάπτυξης οντολογιών Προσέγγιση Ανάπτυξης Οντολογιών Ontolingua 5 Περιγραφή - Σχόλια Βασίζεται στο Knowledge Interchange Format (KIF) 6 και συνδυάζει την αναπαράσταση γνώσης, την κατηγορηματική λογική και τη frame-based λογική. Κάνει δυνατή την αναπαράσταση των εννοιών, των ταξινομιών των εννοιών, των λειτουργιών, των αξιωμάτων και των διαδικασιών. Παρέχει υψηλό βαθμό εκφραστικότητας. 5 Διαθέσιμο στη διεύθυνση 6 Διαθέσιμο στη διεύθυνση Οικονομικό Πανεπιστήμιο Αθηνών 220

221 Προσέγγιση Ανάπτυξης Οντολογιών F-Logic RDF και RDF Schema OIL DAML και OIL OWL Περιγραφή - Σχόλια Βασίζεται στην πρώτης-τάξης υπολογιστική ανάλυση (first-order predicate calculus) καθώς και στη frame-based λογική. Εφαρμογή του αντικειμενοστραφούς παραδείγματος στον προγραμματισμό βάσεων δεδομένων. Έννοιες, όπως είναι τα αντικείμενα, η κληρονομικότητα, οι πολυμορφικοί τύποι, οι μέθοδοι ερωτήσεων, είναι διαθέσιμες. Παρέχει ένα μέσο για την περιγραφή και την ανταλλαγή μεταπληροφορίας για τους δικτυακούς πόρους 7. Το πλαίσιο αυτό έχει γραφτεί με ένα καθορισμένο XML συντακτικό. Ουσιαστικά, οτιδήποτε δύναται να αντιστοιχηθεί με ένα URI αποτελεί πόρο. Εκτός από τις πληροφορίες ενός τυπικού δικτυακού πόρου (π.χ. συγγραφέας, τίτλος, copyright, κ.λπ.) όλα τα αντικείμενα τα οποία αναγνωρίζονται στο δίκτυο μπορούν να μοντελοποιηθούν με το RDF. Το Οντολογικό Επίπεδο για την Εξαγωγή Συμπερασμάτων (Ontology Inference Layer OIL) 8 έχει σχεδιαστεί για την ανταλλαγή οντολογιών. Το OIL έχει δημιουργηθεί πάνω από το επίπεδο του RDF, ενώ όταν είναι δυνατό χρησιμοποιούνται δομές RDF ούτως ώστε να υπάρξει ένα υψηλό επίπεδο συμβατότητας. Το OIL συνδυάζει τα βασικά στοιχεία της μοντελοποίησης βάσει frame-based γλωσσών με την τυπική σημασιολογία και εξαγωγή συμπερασμάτων βάσει περιγραφικής λογικής. Το DAML+OIL [DAML04] αποτελεί τον διάδοχο του OIL. Βασίζεται σε προηγούμενα πρότυπα του W3C, όπως είναι το RDF και το RDF Schema και προεκτείνει αυτές τις γλώσσες εμπλουτίζοντάς τες με πρωτοβουλίες μοντελοποίησης. Το DAML+OIL συνδυάζει τα βασικά στοιχεία της μοντελοποίησης βάσει frame-based γλωσσών με την τυπική σημασιολογία και εξαγωγή συμπερασμάτων βάσει περιγραφικής λογικής. Η OWL Web Ontology Language [OWL04] είναι μία γλώσσα (και αυτή πρότυπο του W3C) που μπορεί να χρησιμοποιηθεί για την περιγραφή των κλάσεων και των μεταξύ τους σχέσεων που ενυπάρχουν σε κείμενα και εφαρμογές του Web. Η OWL τυποποιεί μία περιοχή καθορίζοντας τις κλάσεις και τις ιδιότητες των κλάσεων, καθορίζει τις οντότητες και τις ιδιότητες των οντοτήτων και «αιτιολογεί» αυτές τις κλάσεις και τις οντότητες στο βαθμό που επιτρέπει η σημασιολογία της OWL. 7 Διαθέσιμο στη διεύθυνση 8 Διαθέσιμο στη διεύθυνση Οικονομικό Πανεπιστήμιο Αθηνών 221

222 7.3 Χρήση Οντολογιών στο χώρο του SPIT Η οντολογία, όπως είδαμε, αποτελεί ένα χρήσιμο εργαλείο, το οποίο αποτυπώνει με σαφή τρόπο τη γνώση για ένα συγκεκριμένο πεδίο ενδιαφέροντος, έτσι ώστε να μπορεί να χρησιμοποιηθεί εύκολα για την επικοινωνία μεταξύ ανθρώπου και υπολογιστικών μηχανών. Γίνεται φανερό, επομένως, ότι οι οντολογίες εκφράζουν με ικανοποιητικό τρόπο τη γνώση των έμπειρων μελετητών (experts) σχετικά με ένα συγκεκριμένο πεδίο ενδιαφέροντος, παρέχοντας και αναλύοντας όλες τις αναγκαίες πληροφορίες που διέπουν τον εκάστοτε υπό μελέτη τομέα (domain) [WAN02], [SUR04]. Από τη στιγμή, που οι εν λόγω πληροφορίες, εκφράζονται με ένα σαφή και ρητό τρόπο, είναι άμεσα αντιληπτές και επεξεργάσιμες από ανθρώπους και υπολογιστικές μηχανές, καθιστώντας, επομένως, τη γνώση γύρω από ένα αντικείμενο ενδιαφέροντος αμοιβαία κατανοητή. Αυτή η αμοιβαία κατανόηση, επιπρόσθετα, παρέχει την επαναχρησιμοποίηση της γνώσης από κάθε ενδιαφερόμενο, αποτρέποντας με αυτό τον τρόπο το ενδεχόμενο δημιουργίας μιας νέας οντολογίας από την αρχή. Επιπλέον, οι εκάστοτε αναπτυσσόμενες οντολογίες, μπορούν να χρησιμοποιηθούν από οποιοδήποτε υπολογιστικό σύστημα ανεξάρτητα της επιμέρους αρχιτεκτονικής και τεχνοδιαμόρφωσης που αυτό υιοθετεί. Βασική προϋπόθεση, ωστόσο, για να επιτευχθεί αυτό είναι η σημασιολογία της οντολογίας να έχει οριστεί με σαφήνεια. Επιπλέον, οι διαδικασίες λήψης αποφάσεων (decision making logic), διευκολύνονται με τη χρήση των οντολογιών μέσω της χρήσης συγκεκριμένων κανόνων ECA (Event Condition Actions rules) [BEM04]. Με αυτόν τον τρόπο, η αποδοτικότητα και χρησιμότητα της οντολογίας ενισχύεται λόγω του ότι ενσωματώνονται κανόνες και συνθήκες οι οποίες διευκολύνουν την εξαγωγή συμπερασμάτων. Τέλος, ένα σημαντικό χαρακτηριστικό, το οποίο υποστηρίζεται από τις οντολογίες και το οποίο ενισχύει τη συμπερασματική ικανότητα αυτών, είναι η Υπόθεση του Ανοιχτού Κόσμου (Open World Assumption - OWA). Σύμφωνα με την υπόθεση αυτή, θεωρείται δεδομένο ότι η αδυναμία απόδειξης μιας πρότασης (statement), δε συνεπάγεται αυτόματα και την ορθότητα της αντίστροφης πρότασης. Η αντίστροφη προσέγγιση, η Υπόθεση του Κλειστού Κόσμου (Closed World Assumption), υποθέτει ότι μια πρόταση είναι αληθής όταν η άρνησή της δε μπορεί να αποδειχθεί. Το αποτέλεσμα της υπόθεσης OWA είναι, επομένως, ότι προκειμένου μια πρόταση να ισχύει, αυτή θα πρέπει να έχει δηλωθεί ή αποδειχθεί ρητά - σε αντίθετη περίπτωση, δηλαδή, όταν δεν υπάρχει αρκετή πληροφορία για μια πρόταση, η αποτίμηση της εγκυρότητάς της παραμένει ασαφής. Η προαναφερθείσα ανάλυση, καθιστά σαφές ότι η υιοθέτηση των οντολογιών στο πλαίσιο της πρότασης μας για την αποτελεσματική διαχείριση του SPIT άπτεται κυρίως των βασικών Οικονομικό Πανεπιστήμιο Αθηνών 222

223 πλεονεκτημάτων που αυτές παρέχουν. Άρα, συνοψίζοντας, οι βασικότεροι λόγοι υιοθέτησης των οντολογιών για την προτεινόμενη αρχιτεκτονική διαχείρισης του SPIT είναι [DRI08a]: Οι οντολογίες είναι ιδιαίτερα περιγραφικές, οπότε μπορούν, με σαφήνεια και πληρότητα, να αποτυπώσουν το εννοιολογικό πλαίσιο που διέπει το φαινόμενο SPIT. Οι οντολογίες από τη φύση τους είναι διαμοιραζόμενες, οπότε μπορούν να εφαρμοσθούν σε οποιαδήποτε VoIP δικτυακό τομέα, ανεξάρτητα της επιμέρους αρχιτεκτονικής και τεχνοδιαμόρφωσής του, καλύπτοντας απαιτήσεις διαλειτουργικότητας. Οι οντολογίες είναι επεκτάσιμες και επαναχρησιμοποιούμενες. Η εκάστοτε προτεινόμενη οντολογία μπορεί με εύκολο τρόπο τόσο να χρησιμοποιηθεί ή/και ενσωματωθεί από άλλες οντολογίες, όπως για παράδειγμα σε ήδη υπάρχουσες και οριζόμενες οντολογίες διαχείρισης ασφάλειας. Η οντολογία παρέχει ένα κοινό λεξικό βασικών όρων του πεδίου που αφορά το SPIT φαινόμενο, γεγονός που διευκολύνει την ενιαία προσέγγιση και μελέτη αντιμετώπισης και διαχείρισης του φαινομένου. Η υπόθεση του OWA ενισχύει τη δυνατότητα εξαγωγής συμπερασμάτων και τη διαδικασία λήψης αποφάσεων και κατ επέκταση τη υιοθέτηση συγκεκριμένων ενεργειών που αποσκοπούν στην αντιμετώπιση περιστατικών SPIT Υπάρχουσες Προσεγγίσεις Πριν παρουσιαστούν λεπτομέρειες σχετικά με την προτεινόμενη οντολογία για τη διαχείριση του φαινομένου SPIT, κρίνεται σκόπιμο να παρουσιαστούν κάποιες ήδη οριζόμενες προσεγγίσεις χρήσης οντολογιών στο χώρο αυτό. Ωστόσο, οι περισσότερες προσεγγίσεις χρησιμοποιούνται για την αντιμετώπιση του SPAM, μιας και σε ότι αφορά το SPIT οι προτάσεις είναι ελάχιστες. Έτσι, λοιπόν, ένα σύστημα το οποίο χρησιμοποιεί μια οντολογία προκειμένου να αποφανθεί αν ένα μήνυμα ηλεκτρονικού ταχυδρομείου πρέπει να διαγραφεί ή όχι, παρουσιάζεται στο [TAG03]. Στη συγκεκριμένη προσέγγιση, λαμβάνεται υπόψη ένα σύνολο μηνυμάτων και με βάση κάποιες εκ των προτέρων οριζόμενες συνθήκες και κανόνες, αποφασίζονται οι εκάστοτε ενέργειες σε ότι αφορά τα εισερχόμενα μηνύματα. Πιο συγκεκριμένα, εξετάζονται τα ιδιαίτερα χαρακτηριστικά που αφορούν κάθε μήνυμα και στη συνέχεια αυτά ταξινομούνται με φάση ένα φίλτρο Bayes. Η κατηγοριοποίηση γίνεται με βάση τη πιθανότητα ένα μήνυμα να είναι SPAM ή όχι. Παρόμοια προσέγγιση, ακολουθείται στο [COH04], κατά την οποία κάθε μήνυμα ελέγχεται ως προς το σκοπό που αυτό έχει. Αυτό επιτυγχάνεται μέσω μιας οντολογίας, η οποία κατηγοριοποιεί κάθε μήνυμα ανάλογα το σκοπό που έχει ο αποστολέας του (π.χ. να εκφράσει ένα αίτημα, να προτείνει μια συνάντηση κλπ.). Τα λαμβανόμενα μηνύματα, κατόπιν, συγκρίνονται με συγκεκριμένες εκ των προτέρων οριζόμενες Οικονομικό Πανεπιστήμιο Αθηνών 223

224 κλάσεις της οντολογίας, με στόχο να εξαχθεί συμπέρασμα σε ότι αφορά τη φύση του μηνύματος. Στο [BRE06], οι συγγραφείς προτείνουν μια επέκταση των ήδη υπαρχόντων φίλτρων SPAM, όπου η σημασιολογία των μηνυμάτων χρησιμοποιείται ως μια επιπλέον παράμετρος για την κατηγοριοποίηση των μηνυμάτων (SPAM ή όχι). Το προτεινόμενο σύστημα, λαμβάνει υπόψη τα ενδιαφέροντα του χρήστη και ορίζει ένα σχήμα χρήστη (user schema), στο οποίο ορίζονται οι σχέσεις μεταξύ των εννοιών. Κάθε εισερχόμενο μήνυμα, ελέγχεται ως προς τα χαρακτηριστικά (έννοιες) και τις σχέσεις που έχουν οριστεί στην οντολογία και με βάση μια εκ των προτέρων οριζόμενη τιμή, τα λαμβανόμενα μηνύματα κατηγοριοποιούνται ανάλογα τα ενδιαφέροντα του χρήστη. Παρόμοια προσέγγιση, παρουσιάζεται στο [KIM07]. Στην περίπτωση αυτή, τα ενδιαφέροντα των χρηστών, ορίζονται με βάση ιδιαίτερα χαρακτηριστικά αυτών (π.χ. φύλο, ηλικία, εργασία κλπ.), καθώς και με βάση ενέργειες που οι χρήστες έχουν εκτελέσει σε ότι αφορά παλαιότερα μηνύματα. Με βάση τις προτιμήσεις και τις ενέργειες των χρηστών, το σύστημα εκπαιδεύεται και ορίζονται κανόνες εξαγωγής συμπερασμάτων που υιοθετούνται από την οντολογία για την αποτελεσματική ταξινόμηση των μηνυμάτων. Στο [YOU07] προτείνεται ένα πλαίσιο αντιμετώπισης του SPAM βασιζόμενο σε ένα δένδρο αποφάσεων (decision tree), το οποίο θα μπορούσε να θεωρηθεί ως οντολογία. Όλοι οι οριζόμενοι κανόνες ανίχνευσης SPAM μηνυμάτων, ορίζουν ένα δένδρο αποφάσεων, το οποίο στη συνέχεια μετατρέπεται σε ένα αρχείο κειμένου το οποίο περιγράφει μια λίστα στιγμιότυπων τα οποία έχουν συγκεκριμένα και κοινά χαρακτηριστικά (Attribute-Relation File Format - ARFF 9 ). Με αυτόν τον τρόπο, το εν λόγω δένδρο αποφάσεων αποτυπώνεται σε μια οντολογία, η οποία εξετάζει αν ένα εισερχόμενο μήνυμα είναι SPAM ή όχι. Τέλος, στο [GAN07], προτείνεται μια οντολογία με σκοπό να αποτυπωθούν οι αδυναμίες ασφάλειας του πρωτοκόλλου SIP. Έτσι, κάθε μήνυμα SIP αποτελεί τη βασική έννοια της οντολογίας, συμπεριλαμβανομένων των χαρακτηριστικών της πρώτης γραμμής του μηνύματος και των επικεφαλίδων του μηνύματος. Με χρήση των πληροφοριών που υπάρχουν στην πρώτη γραμμή του μηνύματος, διαφορετικοί τύποι μηνυμάτων αιτήσεων (request messages) αναγνωρίζονται. Στη συνέχεια, οι επικεφαλίδες των μηνυμάτων ελέγχονται προκειμένου να διαπιστωθεί η εγκυρότητα της δομής του μηνύματος. Σε περίπτωση που διαπιστωθεί ένα τροποποιημένο μήνυμα, ο στόχος της εκάστοτε απειλής δηλώνεται καθώς και οι ενδεχόμενες συνέπειες μιας επίθεσης. Με αυτό τον τρόπο, παρέχονται όλες οι απαραίτητες πληροφορίες στις συμμετέχουσες οντότητες, ώστε να αποφανθούν σχετικά με το χειρισμό των μηνυμάτων. 9 Διαθέσιμο στη διεύθυνση Οικονομικό Πανεπιστήμιο Αθηνών 224

225 7.4 Εννοιολογικό Μοντέλο Φαινομένου SPIT Με στόχο να αναπτυχθεί μια βάση γνώσης (knowledge base) που αφορά το φαινόμενο SPIT, ενισχύοντας με αυτό τον τρόπο την ανταλλαγή πληροφοριών (και γνώσης) σχετικά με αυτό, υιοθετείται η τεχνολογία των οντολογιών. Μέσω των οντολογιών γίνεται χρήση των πλεονεκτημάτων που αυτές προσφέρουν, με στόχο να λαμβάνονται κάθε φορά οι κατάλληλες αποφάσεις και ενέργειες, οι σχετικές με την αντιμετώπιση και τη διαχείριση του SPIT. Οι εν λόγω ενέργειες [TSC07a], [TSC07b], θα βασίζονται σε γνώση που προκύπτει από τη συγκέντρωση των σχετικών με το SPIT πληροφοριών και οι οποίες προκύπτουν από τη μελέτη διαφόρων συστημάτων anti-spit, στις εκάστοτε αρχιτεκτονικές των VoIP συστημάτων, στα διάφορα αναγνωριζόμενα σενάρια επιθέσεων SPIT κλπ. Έτσι, ορίζουμε μια οντολογία SPIT, ως μια οντολογία η οποία ενσωματώνει όλες τις σχετικές με το SPIT πληροφορίες και με στόχο την αναγνώριση ενδεχόμενων επιθέσεων SPIT και κατ επέκταση την αποτελεσματική αντιμετώπισή τους [DRI08a]. Προκειμένου να οριστεί και δημιουργηθεί η οντολογία, είναι απαραίτητο να αναγνωρισθούν οι βασικές έννοιες που αφορούν το πεδίο ενδιαφέροντος του SPIT (SPIT domain) και στη συνέχεια να παρουσιάσουμε ένα εννοιολογικό μοντέλο (conceptual model), μέσω του οποίου αποτυπώνονται οι βασικές έννοιες και οι μεταξύ τους σχέσεις. Κατά τη διάρκεια ορισμού του εννοιολογικού μοντέλου και στη συνέχεια την κατασκευή της οντολογίας, λήφθηκαν υπόψη όσο το δυνατόν περισσότερες πηγές πληροφόρησης σχετικά με το SPIT φαινόμενο, στοιχεία που αφορούν το φαινόμενο SPAM (λόγω της ομοιότητας του με το SPIT) καθώς και τα βασικά κριτήρια σχεδιασμού οντολογιών που ορίζονται στο [GRU93]. Στην εικόνα που ακολουθεί, αποτυπώνεται το εννοιολογικό μοντέλο που αφορά το φαινόμενο SPIT ενώ, στη συνέχεια, αναλύονται οι βασικές έννοιες που το απαρτίζουν καθώς και οι σχέσεις αυτών. Οικονομικό Πανεπιστήμιο Αθηνών 225

226 Εικόνα 7.2: Εννοιολογικό μοντέλο φαινομένου SPIT Οι βασικές έννοιες που συνθέτουν το μοντέλο είναι οι εξής [DRI08a]: Χρήστης (User): Η συγκεκριμένη έννοια αναφέρεται σε ένα νόμιμο χρήστη (legitimate actor), που ανήκει σε ένα VoIP δικτυακό τομέα, διαθέτει μια συγκεκριμένη συσκευή VoIP και ο οποίος, στην ουσία, αποτελεί το θύμα μιας ενδεχόμενης παραβίασης SPIT. Αγαθό (Asset): Αναφέρεται και περιγράφει τα αγαθά που συμμετέχουν σε μια υποδομή VoIP, τα οποία παρέχουν και διευκολύνουν την παροχή και χρήση υπηρεσιών VoIP. Επιπρόσθετα, τα εν λόγω αγαθά έχουν μια συγκεκριμένη αξία για τους εμπλεκόμενους χρήστες. Παραδείγματα αγαθών αποτελούν μια τηλεφωνική συσκευή, οι διάφοροι δικτυακοί πόροι, οι εξυπηρετητές κλπ. Τομέας (Domain): Η συγκεκριμένη έννοια αναφέρεται στο VoIP δικτυακό τομέα στον οποίο ο χρήστης έχει εγγραφεί και αποτελεί μέλος του. Ο διαχειριστής του τομέα, είναι υπεύθυνος για τους χρήστες που ανήκουν σε αυτόν και κατ επέκταση είναι υπεύθυνος για όλες τις ενέργειες που αφορούν την ανίχνευση και αντιμετώπιση του SPIT. Spitter: Περιγράφει τον εκάστοτε κακόβουλο χρήστη (ενδεχόμενο επιτιθέμενο), ο οποίος είναι υπεύθυνος για τις ενέργειες εκείνες που αποσκοπούν στην εκδήλωση μιας παραβίασης SPIT. Απειλή (Threat): H συγκεκριμένη έννοια περιγράφει και αναφέρεται στις συνθήκες και τα γεγονότα εκείνα τα οποία διευκολύνουν την πιθανή εκδήλωση μιας παραβίασης SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 226

227 Αδυναμία (Vulnerability): Η έννοια αυτή ορίζει τις συνθήκες εκείνες τις οποίες μπορεί να εκμεταλλευτεί ένας κακόβουλος χρήστης (spitter), προκειμένου να εκδηλώσει μια επίθεση SPIT. Για παράδειγμα η χρήση κακόβουλων πληρεξούσιων εξυπηρετητών (malicious SIP Proxy servers), αποτελεί μια αδυναμία του πρωτοκόλλου SIP, η εκμετάλλευση της οποίας μπορεί να οδηγήσει σε παραβίαση SPIT. SPIT: Αναφέρεται σε οποιαδήποτε απόπειρα από κάποιον κακόβουλο χρήστη να προβεί σε μια επίθεση τύπου SPIT, δηλαδή στην μαζική (bulk) και αυτόκλητη (unsolicited) προσπάθεια εκδήλωσης τηλεφωνικών κλήσεων ή/και αποστολής στιγμιαίων μηνυμάτων. Επίπτωση (Impact): Περιγράφει τις ενδεχόμενες επιπτώσεις τις οποίες προκαλεί η ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. Πολιτική anti-spit (anti-spit policy): Αναφέρεται στις γενικές ενέργειες τις οποίες υιοθετεί ένας VoIP δικτυακός τομέας με στόχο να αποτρέψει ή/και να αντιμετωπίσει μια επίθεση SPIT. Για παράδειγμα η δήλωση: αν ο αποστολέας ενός μηνύματος SIP ανήκει στο δικτυακό τομέα με διεύθυνση example.org, τότε το μήνυμα πρέπει να απορριφθεί. Μέτρα anti-spit (anti-spit countermeasures): Αναπαριστά τους μηχανισμούς, ελέγχους και τεχνικές που χρησιμοποιούνται, είτε μεμονωμένα από ένα χρήστη ή/και από ένα δικτυακό τομέα συνολικά, οι οποίοι αποσκοπούν στην αντιμετώπιση επιθέσεων SPIT. Τα μέτρα ενεργοποιούνται κάτω από συγκεκριμένες περιστάσεις και με βάση τα όσα ορίζει η εκάστοτε υιοθετούμενη πολιτική anti-spit. Για παράδειγμα, αν στο πλαίσιο λειτουργίας ενός VoIP δικτυακού τομέα, ορίζεται από την πολιτική ότι όποιος χρήστης αποστέλλει μήνυμα το οποίο προέρχεται από το δικτυακό τομέα example.org, τότε θα πρέπει να ελεγχθεί περαιτέρω. Αυτό ενδέχεται να ορίζει την ενεργοποίηση ενός μηχανισμού περαιτέρω ελέγχου του αποστολέα του μηνύματος, όπως λ.χ. μηχανισμός CAPTCHA ή με έμμεσο τρόπο ζητώντας τη συναίνεση του τελικού χρήστη ώστε η επικοινωνία να λάβει χώρα. Κριτήρια (criteria): Περιγράφει τις συνθήκες εκείνες οι οποίες όταν επαληθεύονται μπορεί το εκάστοτε μήνυμα να χαρακτηριστεί ως SPIT. Τα κριτήρια επιλέγονται κάθε φορά ανάλογα τις προτιμήσεις που ορίζονται από τους διαχειριστές του VoIP δικτυακού τομέα. Επιπρόσθετα, η ισχύς και αποτελεσματικότητά τους, ενισχύεται σε μεγάλο βαθμό όταν αυτά λειτουργούν και αλληλοσυμπληρώνονται από τις εκάστοτε οριζόμενες προτιμήσεις του χρήστη. Προτιμήσεις (preferences): Η συγκεκριμένη έννοια αναπαριστά τα ενδιαφέροντα που ορίζονται από τον εκάστοτε χρήστη. Για παράδειγμα, η λήψη ενός μηνύματος SIP, του οποίου το θέμα περιέχει τη λέξη crime, εξαρτάται από τις επιμέρους προτιμήσεις καθενός από τους χρήστες που θα το λάβουν. Οικονομικό Πανεπιστήμιο Αθηνών 227

228 Ανιχνευτής (Detector): Η συγκεκριμένη οντότητα είναι υπεύθυνη για την ανίχνευση μιας ενδεχόμενης επίθεσης SPIT. Προφανώς, η εν λόγω οντότητα παρέχει τις απαραίτητες εκείνες πληροφορίες στις οποίες θα βασισθεί πέρα από την ενεργοποίηση συγκεκριμένων κριτηρίων και ελέγχων και ένα σύνολο μέτρων anti-spit και με βάση τα όσα ορίζει η εκάστοτε υιοθετούμενη πολιτική. Ο πίνακας που ακολουθεί συνοψίζει τις συσχετίσεις και τις σχέσεις των βασικών όρων που προαναφέρθηκαν και που απαρτίζουν το εννοιολογικό μοντέλο του φαινομένου SPIT. Πίνακας 7.4: Συσχετίσεις και σχέσεις εννοιών του εννοιολογικού μοντέλου SPIT Έννοια Spitter Threat SPIT Vulnerability anti-spit Measure Impact User anti-spit policy/action Detector Preferences Domain 7.5 Ανάπτυξη Οντολογίας SPIT Συσχετίσεις με άλλες έννοιες Initiates Threat Conducts SPIT Belongs to Domain (έμμεση σχέση, υπονοείται στο μοντέλο) Exploits Vulnerability Results Impact Enables SPIT Exposes Asset Protects Asset Reduces Impact Affects Asset Has Asset Customizes anti-spit policy Belongs to domain Defines/has preferences Defines anti-spit measures Uses criteria Detects SPIT Triggers anti-spit policies Influences criteria has (defines) anti-spit policies/actions Has Asset (έμμεση σχέση, υπονοείται στο μοντέλο) Στην ενότητα αυτή θα παρουσιαστεί, με λεπτομέρεια, η προτεινόμενη οντολογία που περιγράφει και αναφέρεται στο φαινόμενο SPIT (ontospit). Η εν λόγω οντολογία πέρα από την παροχή ενός κοινού λεξιλογίου, που περιγράφει το SPIT ενσωματώνει σημαντικές δυνατότητες σε ότι αφορά την έκφραση σύνθετων σημειολογικών προτάσεων παρέχοντας αναλυτικό τρόπο περιγραφής και αναπαράστασης των εννοιών, που περιγράφουν τον τομέα μελέτης (domain of interest) καθώς και των μεταξύ τους σχέσεων μέσω συγκεκριμένων ιδιοτήτων και περιορισμών που τίθενται σε αυτές. Επιπρόσθετα, η οντολογία καθιστά την προσέγγιση μας αρκετά επεκτάσιμη παρέχοντας την ενσωμάτωση περαιτέρω εννοιών και σχέσεων. Οικονομικό Πανεπιστήμιο Αθηνών 228

229 7.5.1 Μεθοδολογία ανάπτυξης Όπως έχει ήδη αναφερθεί, μέχρι στιγμής δεν έχει οριστεί και δεν υπάρχει μια ευρέως και κοινά αποδεκτή μεθοδολογία ανάπτυξης οντολογιών. Στο πλαίσιο αυτό, λοιπόν, για την ανάπτυξη του προτεινόμενου οντολογικού μοντέλου, ακολουθήθηκε η συνεργατική προσέγγιση ενώ, παράλληλα, λήφθηκαν υπόψη οι σχεδιαστικές απαιτήσεις και κριτήρια που ορίζονται στο [HOL02]. Τα βήματα, επομένως, που ακολουθήσαμε για την ανάπτυξη του ontospit είναι τα εξής [DRI08a] : Βήμα 1: Μελέτη του φαινομένου SPIT και με χρήση του εννοιολογικού μοντέλου, που παρουσιάστηκε στην προηγούμενη ενότητα, ορισμός ενός μοντέλου ECA (Event Condition- Action modeling) [BEM04]. Βήμα 2: Χρήση του μοντέλου ECA για τη δημιουργία ενός Διαγράμματος Ροής Δεδομένων (Data Flow Diagram - DFD), το οποίο αποτυπώνει με λεπτομέρεια τις διαδικασίες ελέγχου μηνυμάτων και εγκαθίδρυσης μιας τηλεφωνικής κλήσης VoIP με χρήση του πρωτοκόλλου SIP. Βήμα 3: Με βάση το Διάγραμμα Ροής Δεδομένων γίνεται αναγνώριση των βασικών εκείνων εννοιών και των επιμέρους σχέσεων τους, οι οποίος θεωρούνται σημαντικές για την ανίχνευση και χειρισμό ενδεχόμενων SPIT επιθέσεων. Βήμα 4: Ανάπτυξη των διαφόρων μερών της οντολογίας που αναφέρονται στα γεγονότα (event centric parts development), τα οποία λαμβάνονται ως individuals. Για κάθε ένα από αυτά, μια επιμέρους οντολογία αναπτύσσεται λαμβάνοντας υπόψη τα αποτελέσματα του προηγούμενου βήματος. Επιπρόσθετα, οι σημασιολογικές σχέσεις (semantic relationships) μεταξύ των εννοιών λαμβάνονται υπόψη. Βήμα 5: Ενσωμάτωση των επιμέρους μοντέλων στη συνολική οντολογία και επέκταση του μοντέλου με επιπλέον χαρακτηριστικά ή/και κανόνες (εφόσον αυτοί ορίζονται). Βήμα 6: Εξειδίκευση του λεξιλογίου της οντολογίας και κανονικοποίηση του προτύπου. Επανεξέταση του λεξιλογίου και κατάλληλη μορφοποίηση των ιδιοτήτων και σχέσεων των εννοιών προκειμένου να αποφευχθούν ενδεχόμενες επαναλήψεις. Βήμα 7: Αξιολόγηση και αλληλεπίδραση με την ομάδα σχεδίασης προκειμένου να ληφθούν ή/και διορθωθούν τυχόν λάθη στη σχεδίαση. Βήμα 8: Επανάληψη της διαδικασίας από το βήμα 2, εάν η οντολογία θεωρείται ότι δεν περιγράφει ικανοποιητικά το χώρο του SPIT. Προκειμένου να καταστεί πιο σαφής η όλη διαδικασία, θεωρούμε χρήσιμο να παρουσιάσουμε τα οριζόμενα διαγράμματα ροής δεδομένων μέσω των οποίων αποτυπώνεται η όλη διαδικασία εγκαθίδρυσης μιας κλήσης συμπεριλαμβανομένων τόσο της ανίχνευσης ενδεχόμενων επιθέσεων SPIT όσο και τις διάφορες επιμέρους ενέργειες σε περίπτωση θετικής αναγνώρισης. Τα διαγράμματα, απεικονίζονται στις παρακάτω εικόνες και περιγράφουν πλήρως τη διαδικασία εγκαθίδρυσης κλήσης, από το αρχικό στάδιο αποστολής του εκάστοτε Οικονομικό Πανεπιστήμιο Αθηνών 229

230 μηνύματος αίτησης (INVITE request message) μέχρι και το σημείο που ο τελικός χρήστης αποδέχεται ή όχι την κλήση. Επιπρόσθετα, στα επιμέρους βήματα έχει ενσωματωθεί και ο έλεγχος της φύσης του εκάστοτε μηνύματος SIP έτσι ώστε να ελεγχθεί αν αυτό αποτελεί SPIT ή όχι. Εικόνα 7.3: Διάγραμμα ροής διαδικασίας εγκαθίδρυσης κλήσης Εικόνα 7.4: Αποτύπωση διαδικασιών περαιτέρω ελέγχου σε περίπτωση θετικής αναγνώρισης SPIT Οικονομικό Πανεπιστήμιο Αθηνών 230

231 Εικόνα 7.5: Αποτύπωση ενεργειών του παραλήπτη μιας τηλεφωνικής κλήσης SPIT Κανόνες ECA Τα κριτήρια ανίχνευσης ενδεχόμενων επιθέσεων SPIT (συμπεριλαμβανομένων και των σεναρίων επιθέσεων εκφρασμένων ως κανόνες αναγνώρισης), αποτελούν τον πυρήνα της προσέγγισής μας. Τα κριτήρια θα χρησιμοποιούνται με τέτοιο τρόπο έτσι ώστε να οδηγούν το σύστημα σε συγκεκριμένες ενέργειες (ή σύνολο ενεργειών) αντιμετώπισης μιας επίθεσης SPIT. Πιο συγκεκριμένα, τα εν λόγω κριτήρια με χρήση μοντελοποίησης ECA (Event Condition Action modeling approach) [BEM04], μεταφράζονται σε συγκεκριμένες συνθήκες (conditions), οι οποίες όταν ενεργοποιούνται οδηγούν το μοντέλο να αντιδρά με βάση τις εκ των προτέρων οριζόμενες ενέργειες (actions). Εν γένει, η ECA μοντελοποίηση βασίζεται σε ένα σύνολο κανόνων ECA (ECA rules), όπου μέσω αυτών όταν ένα γεγονός (event) λαμβάνει χώρα και ταυτόχρονα συγκεκριμένες συνθήκες ικανοποιούνται, τότε οι εκάστοτε δηλωθείσες ενέργειες (actions) ενεργοποιούνται. Με βάση αυτό, η δομή ενός κανόνα ECA είναι η εξής [BEM04]: Γεγονός (Event): Αναφέρεται σε συγκεκριμένες καταστάσεις, οι οποίες λαμβάνουν χώρα και ενεργοποιούν (trigger) την εκτέλεση του κανόνα. Συνθήκη (Condition): Περιγράφει τις καταστάσεις κάτω από τις οποίες οι ενέργειες του κανόνα ενεργοποιούνται όταν ένα γεγονός λαμβάνει χώρα. Ενέργεια (Action): Χαρακτηρίζει το αποτέλεσμα εφαρμογής ενός κανόνα όταν αυτός ενεργοποιηθεί με την εμφάνιση ενός συμβάντος. Οικονομικό Πανεπιστήμιο Αθηνών 231

232 Προφανώς, στο πλαίσιο της προτεινόμενης οντολογίας SPIT ακολουθώντας τις βασικές αρχές της μοντελοποίησης ECA θεωρείται το σύνολο των κριτηρίων (βλ. Ενότητα 6.3) ως συνθήκες ελέγχου (conditions) και ορίζοντας κανόνες που θα μπορούν να εφαρμοσθούν με στόχο την ανίχνευση και αντιμετώπιση SPIT επιθέσεων. Πιο συγκεκριμένα, θεωρούμε κάθε κριτήριο σαν μια συνθήκη με βάση την οποία η εκάστοτε οντότητα (agent), π.χ. ο πληρεξούσιος εξυπηρετητής ενός δικτυακού τομέα, ελέγχει αν ένα μήνυμα SIP είναι SPIT ή όχι. Στη συνέχεια, με βάση κάθε συνθήκη ορίζουμε τα γεγονότα εκείνα τα οποία θα ενεργοποιήσουν τον εκάστοτε κανόνα. Τέλος, ορίζεται ένα σύνολο ενεργειών, οι οποίες θα εκτελεστούν όταν το συγκεκριμένο γεγονός λαμβάνει χώρα και οι εκάστοτε οριζόμενες συνθήκες επαληθεύονται [DAW07]. Οι ενέργειες που ορίζονται και αφορούν την αντιμετώπιση πιθανών επιθέσεων SPIT είναι οι εξής [DRI08a], [SOU08]: Allow: Στη συγκεκριμένη περίπτωση η κλήση ή το στιγμιαίο μήνυμα προωθείται στον παραλήπτη του. Προφανώς, η συγκεκριμένη ενέργεια ενδέχεται να συνοδεύεται από εισαγωγή του αποστολέα του αρχικού μηνύματος στη λευκή λίστα (white list). Block: Η εν λόγω ενέργεια αφορά την αποτροπή συνέχισης της διαδικασίας εγκαθίδρυσης μιας κλήση ή την λήψη κάποιου στιγμιαίου μηνύματος. Παρόμοια, με προηγουμένως, η συγκεκριμένη ενέργεια ενδέχεται να συνοδεύεται από την εισαγωγή του αποστολέα του μηνύματος SIP σε μια μαύρη λίστα (black list). Check Further: Στην περίπτωση αυτή, όταν το αποτέλεσμα του ελέγχου ενός μηνύματος είναι τέτοιο ώστε να μη μπορεί να εξαχθεί ασφαλές συμπέρασμα ως προς τη φύση του μηνύματος, τότε ενεργοποιείται η συγκεκριμένη ενέργεια που αφορά τον περαιτέρω έλεγχο του αποστολέα του μηνύματος. Οι τρόποι που θα εκτελεστεί ο περαιτέρω έλεγχος ποικίλλουν. Ένα χαρακτηριστικό παράδειγμα αποτελεί η αποστολή στον αρχικό αποστολέα του μηνύματος SIP ενός προβλήματος CAPTCHA, το οποίο θα πρέπει να επιλύσει, ώστε να μπορέσει να ολοκληρώσει την κλήση του. Προκειμένου να γίνει πιο σαφής και κατανοητή η προσέγγισή μας, είναι χρήσιμο να παρουσιαστεί ένα παράδειγμα ενός κανόνα ECA. Σύμφωνα με το σενάριο, ένας χρήστης στέλνει από το δικτυακό τομέα που ανήκει και μέσω του πληρεξούσιου εξυπηρετητή ένα μήνυμα αίτησης INVITE στον αποστολέα ο οποίος ανήκει σε έναν άλλο δικτυακό τομέα. Στο πλαίσιo αυτό, υποθέτουμε ότι η οντότητα Detector η οποία υλοποιείται στον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα του αποστολέα (domain-1.org), ενεργοποιείται και ελέγχει το μήνυμα. Αν ο έλεγχος είναι αρνητικός, τότε το μήνυμα προωθείται στο δικτυακό τομέα του παραλήπτη (domain-2.org). Στο στάδιο αυτό, ενεργοποιείται ένας νέος έλεγχος του μηνύματος, ο οποίος πραγματοποιείται από ένα άλλο στιγμιότυπο της οντότητας Detector, που εκτελείται στον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα του παραλήπτη. Στον πίνακα, που ακολουθεί παρουσιάζεται ο κανόνας που προαναφέρθηκε. Οικονομικό Πανεπιστήμιο Αθηνών 232

233 Πίνακας 7.5: Παράδειγμα κανόνα ECA Source Domain ECA Rule Target Domain ECA Rule EVENT sending INVITE message receiving INVITE message user is authenticated and domain is OK and CONDITION Path-traversal is OK and user is OK and headers are OK ACTION forward the INVITE establish the call ontospit: Το πλήρες μοντέλο Με βάση τη λειτουργία του πρωτοκόλλου SIP (βασικό τραπεζοειδές σχήμα, βλ. Εικόνα 2.14) και σε συνδυασμό με τους κανόνες ECA που συγκεντρώθηκαν, προτείνεται μια λεπτομερής οντολογία για τη διαχείριση του SPIT. Η προτεινόμενη οντολογία, επικεντρώνεται, κυρίως, στο κομμάτι εκείνο που αφορά στην ανίχνευση των ενδεχόμενων επιθέσεων SPIT και, κατά δεύτερο λόγο, στις ενέργειες που προτείνονται για την αντιμετώπισή τους [DRI08a]. Προφανώς, το σύνολο των συνθηκών (conditions), κάτω από τις οποίες ελέγχεται η φύση του εκάστοτε ανταλλασσόμενου μηνύματος SIP, μπορεί να επεκταθεί ώστε να περιλαμβάνει νέα κριτήρια ανίχνευσης ή ακόμα και νέα σενάρια πιθανών επιθέσεων SPIT. Στην εικόνα που ακολουθεί, παρουσιάζεται το πλήρες μοντέλο ontospit, ενώ στη συνέχεια παρατίθενται οι βασικές έννοιες που το απαρτίζουν. Οικονομικό Πανεπιστήμιο Αθηνών 233

234 Εικόνα 7.6: Μοντέλο ontospit Οικονομικό Πανεπιστήμιο Αθηνών 234

235 Οι βασικές έννοιες (κλάσεις) του μοντέλου ontospit είναι οι εξής [DRI08a]: Agent-User-Proxy: Μια οντότητα User ή Proxy μπορεί να θεωρηθεί ως Agent και υποκλάσεις αυτής, αφού διαθέτουν τις ίδιες ιδιότητες. Στο πλαίσιο αυτό, όλες οι οντότητες Agents, ανήκουν σε ένα VoIP δικτυακό τομέα (Domain) ενώ διαθέτουν μια συγκεκριμένη ταυτότητα (ID), έτσι ώστε να μπορούν να αναγνωρισθούν τόσο από τους χρήστες όσο και από τις υπολογιστικές μηχανές. Προφανώς, το σύνολο των οντοτήτων Agents, μπορούν να προβούν στην εκτέλεση ενός συνόλου ενεργειών (Actions). Listing: Η συγκεκριμένη κλάση (class) αντιπροσωπεύει τις έννοιες των λευκών (WhiteListing) και μαύρων λιστών (BlackListing). Από τη στιγμή που τις λίστες αυτές τις διαχειρίζεται μια οντότητα τύπου Agent και η οποία περιέχει διευθύνσεις και ταυτότητες τόσο μεμονωμένων χρηστών όσο και δικτυακών τομέων, θεωρούμε ότι αποτελούν και μπορούν να θεωρηθούν ως υπο-κλάσεις της κλάσης Listing. Action: Από τη στιγμή που κάθε γεγονός (event) απαιτεί κατ ελάχιστον τη συμμετοχή ενός Agent, αυτά αντιπροσωπεύονται στο μοντέλο μας, ως ενέργειες (Actions). Η συγκεκριμένη έννοια αποτελεί μια υπερ-κλάση (superclass) των ενεργειών που ορίζονται στην οντολογία 1 και οι οποίες είναι: Request, Response, Messaging και Processing. Προκειμένου, να ορίζεται με σαφήνεια και χωρίς τη δημιουργία προβλημάτων η αλληλουχία ενεργοποίησης των ενεργειών, ορίζεται το χαρακτηριστικό (attribute) previous. Messaging: Η εν λόγω έννοια αναφέρεται στην ενέργεια που αφορά τόσο την προσπάθεια πραγματοποίησης μιας τηλεφωνικής κλήσης όσο και στην αποστολή ενός στιγμιαίου μηνύματος. Και στις δύο περιπτώσεις η έννοια του SIP Message περιγράφει το περιεχόμενο των ενεργειών τύπου Messaging. Ανεξάρτητα, βέβαια, του τύπου της συγκεκριμένης ενέργειας το κάθε μήνυμα SIP πρέπει να έχει έναν αποστολέα (sender) και ένα παραλήπτη (receiver), όπου και οι δύο έννοιες είναι τύπου Agent. Επιπρόσθετα, η κλάση Messaging, όπως θα δούμε παρακάτω, αναφέρεται και στα μηνύματα που αποστέλλονται όταν ορίζεται ότι πρέπει να γίνουν περαιτέρω έλεγχοι για να αποφασιστεί η φύση του μηνύματος. Request Response: Οι συγκεκριμένες έννοιες αναφέρονται στις ενέργειες αποστολής και λήψης ενός μηνύματος, οι οποίες εκτελούνται από οντότητες τύπου Agents. Ωστόσο, πρέπει να σημειωθεί, ότι οι έννοιες αυτές δεν αναφέρονται αποκλειστικά στα μηνύματα SIP, αλλά σε γενικά μηνύματα, όπως, για παράδειγμα η αποστολή ενός μηνύματος που ενημερώνει και περιέχει το πρόβλημα (test) που θα πρέπει να λυθεί από τον χρήστη, ώστε να αποφασισθεί αν επιτρέπεται να λάβει χώρα η επικοινωνία. Οι ενέργειες Request και Response, οι οποίες, όπως προαναφέρθηκε αναφέρονται στην αποστολή 1 Δεν αναφέρεται η συγκεκριμένη κλάση μόνο στις ενέργειες που αφορούν την αντιμετώπιση μιας παραβίασης SPIT, αν και τις εμπεριέχει. Οικονομικό Πανεπιστήμιο Αθηνών 235

236 και λήψη μηνυμάτων, προέρχονται και λαμβάνονται από οντότητες τύπου User και στην πλειονότητα των περιπτώσεων διέρχονται μέσω πληρεξούσιων εξυπηρετητών (έννοια Proxy). SIP Message: Αντιπροσωπεύει πακέτα τα οποία αναφέρονται και κάνουν χρήση, αποκλειστικά, του πρωτοκόλλου SIP. Βασικά στοιχεία της συγκεκριμένης έννοιας αποτελούν οι επικεφαλίδες (SIP Header) και το σώμα των μηνυμάτων (Body). Processing: Η συγκεκριμένη έννοια αναφέρεται σε ενέργειες που αφορούν την επεξεργασία των εκάστοτε μηνυμάτων προκειμένου να ελεγχθούν αν είναι SPIT ή όχι. Αποτελεί μια υπερ-έννοια (superclass), των ενεργειών που αφορούν τόσο τον έλεγχο (Checking) των μηνυμάτων SIP, όσο και της απόφασης (Decision) σχετικά με τη φύση των μηνυμάτων και το πώς, τελικά, αυτά θα τα χειριστεί το σύστημα. Προκειμένου να οριοθετηθεί σαφώς η ενεργοποίηση της συγκεκριμένης ενέργειας, είναι απαραίτητο να διατηρούνται στοιχεία σχετικά με την οντότητα Agent που κάνει κλήση της, ώστε να φανεί ποια οντότητα κάνει τον έλεγχο καθώς, ποια οντότητα λαμβάνει την απόφαση σχετικά με τη φύση του μηνύματος και κατ επέκταση το ποια οντότητα ορίζει τον τρόπο χειρισμού του μηνύματος. Η εν λόγω πληροφορία αποτυπώνεται μέσω της οντότητας stage. Stage: Η εν λόγω έννοια παρέχει ένα μετρητή (counter) μέσω του οποίου δηλώνεται η οντότητα τύπου Agent, η οποία είναι υπεύθυνη για την ενεργοποίηση μιας ενέργειας τύπου Processing. Ο συγκεκριμένος μετρητής μπορεί να πάρει τρεις διαφορετικές τιμές, η κάθε μια εκ των οποίων υποδηλώνει την εκάστοτε οντότητα που επεξεργάστηκε ένα μήνυμα αίτησης (Request) (βλ. ενότητα για λεπτομέρειες). Checking: Η έννοια αυτή αναφέρεται στον έλεγχο ενός μηνύματος SIP (SIP Message) ο οποίος γίνεται από κάποιον Agent (User ή Proxy), με στόχο να ανιχνευθεί ένα ενδεχόμενο μήνυμα SPIT και κατ επέκταση να ενεργοποιηθούν περαιτέρω ενέργειες για την αντιμετώπισή του. Προφανώς, στην παρούσα φάση, η έννοια του stage παίζει σημαντικό ρόλο, αφού μέσω αυτής προσδιορίζεται ο Agent που είναι υπεύθυνος για τη συγκεκριμένη ενέργεια. Conditions: Η συγκεκριμένη έννοια της οντολογίας προσδιορίζει όλες τις ύποπτες καταστάσεις και συνθήκες, σύμφωνα με τις οποίες ένα μήνυμα SIP μπορεί να θεωρηθεί ως SPIT. Οι ύποπτες αυτές καταστάσεις ελέγχονται από μια οντότητα τύπου Proxy και η έγκαιρη ενεργοποίησή της, εξαρτάται από τη τιμή του stage (αναφορά στην ενέργεια Processing όταν αυτή γίνεται από μια οντότητα τύπου Proxy). Preferences: Παρομοίως, με την προηγούμενη έννοια, στη συγκεκριμένη περίπτωση γίνεται έλεγχος των μηνυμάτων SIP, σε σχέση με τις προτιμήσεις και τα ενδιαφέροντα του χρήστη. Προφανώς, η χρήση της συγκεκριμένης κλάσης γίνεται από μια οντότητα Οικονομικό Πανεπιστήμιο Αθηνών 236

237 User, και πρέπει πάντα να λαμβάνει χώρα, αφού η εκάστοτε οντότητα Proxy, έλεγξε το μήνυμα SIP και επέτρεψε την προώθησή του στο χρήστη. Decision: H συγκεκριμένη κλάση, αποτελούν μια υπερ-κλάση των ενεργειών που αφορούν το χειρισμό ενός μηνύματος SIP, αφού αυτό έχει ελεγχθεί. Άρα, η εν λόγω ενέργεια, πρέπει πάντα να προηγείται των ενεργειών Checking ή Testing. Οι επιμέρους κλάσεις που αναφέρονται στην κλάση Decision είναι: Allow, Block, Add to Whitelist, Add to BlackList και Check Further και αναλύονται στη συνέχεια. Allow: Στην περίπτωση αυτή το εκάστοτε μήνυμα δεν αναγνωρίσθηκε ως SPIT, οπότε ο Agent που έκανε τον έλεγχο (performed the Checking) και ο οποίος υποδηλώνεται από το μετρητή Stage, επιτρέπει την προώθηση του μηνύματος με στόχο αυτό να φτάσει στον τελικό παραλήπτη του. Η συγκεκριμένη ενέργεια, ενδέχεται να προκαλέσει την ενεργοποίηση της ενέργειας Response, μέσω της οποίας θα αναφερόμαστε σε ένα SIP μήνυμα απόκρισης. Block: Στην περίπτωση αυτή, και σε αντίθεση με την προαναφερθείσα ενέργεια, η συγκεκριμένη έννοια αναφέρεται σε ενέργειες που αφορούν τη θετική αναγνώριση ενός SPIT μηνύματος, οπότε την απόρριψη του μηνύματος αίτησης. Στην εν λόγω περίπτωση, έχουμε ενεργοποίηση της ενέργειας Response, αφού η εκάστοτε οντότητα αποστέλλει ένα μήνυμα απόκρισης στον αρχικό αποστολέα (SIP Response Message). Add to WhiteList: Η εν λόγω έννοια αναφέρεται στην ενέργεια που αφορά την εισαγωγή της ταυτότητας ενός χρήστη ή/και ενός δικτυακού τομέα στη λευκή λίστα. Προφανώς, η ενέργεια αυτή έπεται χρονικά της ενέργειας Allow, οπότε το χαρακτηριστικό previous στη περίπτωση αυτή είναι υποχρεωτικό. Επιπρόσθετα, η οντότητα μέσω της οποίας δηλώνεται ποιος είναι υπεύθυνος για την εκτέλεση της συγκεκριμένης ενέργειας δηλώνεται από το μετρητή stage. Add to BlackList: Σε αντίθεση με την προαναφερθείσα περίπτωση, εδώ αναφερόμαστε στην ενέργεια που σχετίζεται με την εισαγωγή της ταυτότητας ενός Agent στη μαύρη λίστα. Προφανώς, η ενέργεια αυτή έπεται χρονικά της ενέργειας Block, γεγονός που καλύπτεται μέσω του χαρακτηριστικού previous. Check Further Testing: Υπάρχουν περιπτώσεις όπου η εκάστοτε οντότητα Agent δεν είναι σε θέση να βγάλει με βεβαιότητα συμπέρασμα σε ότι αφορά τη φύση του εκάστοτε μηνύματος. Στην περίπτωση αυτή, ενδέχεται ο Agent να ενεργοποιήσει την ενέργεια Check Further μέσω της οποίας υποδηλώνονται περαιτέρω έλεγχοι που πρέπει να γίνουν με στόχο να αποφασισθεί η ενέργεια χειρισμού του μηνύματος, όπως για παράδειγμα η ενεργοποίηση ενός ελέγχου CAPTCHA. Οι περαιτέρω έλεγχοι ενεργοποιούνται μέσω της ενέργειας Testing, η οποία αποτελεί μια υπο- έννοια της κλάσης Messaging, αφού αποστέλλεται ένα μήνυμα που αφορά και ενσωματώνει τον έλεγχο που θα πρέπει να γίνει. Στην περίπτωση αυτή, ο αποστολέας του μηνύματος ελέγχου Οικονομικό Πανεπιστήμιο Αθηνών 237

238 δηλώνεται μέσω του μετρητή counter (κλάση stage). Ο αποστολέας θα είναι ο εκάστοτε πληρεξούσιος εξυπηρετητής ή ο χρήστης που είναι παραλήπτης του SIP μηνύματος αίτησης, ενώ ο παραλήπτης του μηνύματος ελέγχου θα είναι ο αρχικός αποστολέας του μηνύματος SIP (μήνυμα Request), του οποίου η ταυτότητα ID περιέχεται στην επικεφαλίδα του πακέτου SIP (SIP Header). Τέλος, το στοιχείο previous κρίνεται υποχρεωτικό, μιας και η ενέργεια Testing δε μπορεί να ενεργοποιηθεί αν η εκάστοτε οντότητα Agent δεν έχει αποφασίσει (Decision) να κάνει περαιτέρω έλεγχο (Check Further) Περιορισμοί Ακεραιότητας της Οντολογίας Με στόχο η προτεινόμενη οντολογία να είναι συνεπής (consistent) και έγκυρη (valid) και να μη δημιουργούνται προβλήματα κατά τη χρήσης της, είναι απαραίτητο να οριστούν κάποιοι περιορισμοί ακεραιότητας (integrity constraints). Στη συνέχεια, παρουσιάζονται οι εν λόγω περιορισμοί που έχουν οριστεί για το μοντέλο ontospit [DRI08a]: Stage: Η οντότητα αυτή, αναφέρεται σε ένα μετρητή μέσω του οποίου δηλώνεται ποια οντότητα Agent είναι αυτή που εκτελεί την ενέργεια Request. Τη στιγμή εκείνη, κατά την οποία η ενέργεια Allow λαμβάνει χώρα, τότε η τιμή του μετρητή αυξάνεται κατά 1. Άρα, λοιπόν, με γνώμονα το βασικό τραπεζοειδές σχήμα του πρωτοκόλλου SIP, στο οποίο αποτυπώνεται η απλούστερη μορφή επικοινωνίας μεταξύ δύο χρηστών, οι δυνατές τιμές του μετρητή είναι οι εξής: Stage=1: Στην περίπτωση αυτή, αναφερόμαστε στο τμήμα της επικοινωνίας που λαμβάνει χώρα μεταξύ του αρχικού αποστολέα και του πληρεξούσιου εξυπηρετητή του δικτυακού τομέα που αυτός ανήκει. Οι έλεγχοι των μηνυμάτων καθώς και οι αποφάσεις που αφορούν το χειρισμό τους, πραγματοποιούνται από τον εν λόγω εξυπηρετητή. Stage=2: Αναφερόμαστε στο τμήμα της επικοινωνίας μεταξύ των πληρεξούσιων εξυπηρετητών των επικοινωνούντων δικτυακών τομέων (VoIP domains). Στην περίπτωση αυτή, το σύνολο των ελέγχων και των αποφάσεων και ενεργειών που προκύπτουν από αυτούς, εκτελούνται από τον πληρεξούσιο εξυπηρετητή του δικτυακού τομέα του παραλήπτη. Stage=3: Στο σημείο αυτό αναφερόμαστε στο τμήμα της επικοινωνίας που λαμβάνει χώρα μεταξύ του παραλήπτη και του πληρεξούσιου εξυπηρετητή του δικτυακού τομέα που αυτός ανήκει. Προφανώς, όλοι οι σχετικοί έλεγχοι και οι αντίστοιχες αποφάσεις και ενέργειες εκτελούνται από τον τελικό χρήστη (παραλήπτη). Σχέσεις previous και has previous: Οι συγκεκριμένες σχέσεις προέρχονται από τις οντότητες που αναφέρονται στις ενέργειες Checking, Decision, Allow, Check Further, Add to WhiteList, Add to BlackList και Testing. Οι εν λόγω σχέσεις, θεωρούνται υποσχέσεις (sub-relationships) της σχέσης previous, η οποία αναφέρεται στην ενέργεια που Οικονομικό Πανεπιστήμιο Αθηνών 238

239 αντιπροσωπεύεται από την οντότητα Action. Η ύπαρξη των σχέσεων είναι υποχρεωτική, εκτός από την περίπτωση που αναφερόμαστε στις οντότητες Decision και Testing. Σχέση performed by: Η οντότητα Agent, η οποία εκτελεί κάθε φορά την ενέργεια Processing, όπως έχει ήδη αναφερθεί, καθορίζεται από τη τιμή του μετρητή stage. Κάθε τιμή του μετρητή αναφέρεται σε συγκεκριμένου τύπου οντότητα Agent (User ή Proxy) και η οποία εκτελεί ένα σύνολο ενεργειών (Actions). Επιπρόσθετα, η οντότητα Agent είναι μοναδική κάθε φορά, δηλώνοντας, για παράδειγμα, ότι η ενέργεια Processing δεν μπορεί να εκτελεστεί ταυτόχρονα από δύο στιγμιότυπα της οντότητας Agent. Σχέσεις from και to της οντότητας Response: Η σχέση from αναφέρεται στην οντότητα Agent η οποία λαμβάνει την εκάστοτε απόφαση (Decision) και καθορίζεται από την τιμή του μετρητή stage. Αντίστοιχα, η σχέση to αναφέρεται, πάντα, στην οντότητα Agent, η οποία έστειλε το αρχικό μήνυμα Request (π.χ. η οντότητα User, η οποία καθορίζεται από τη σχέση from της ενέργειας Request). Σχέση gives: Η συγκεκριμένη σχέση προέρχεται από την οντότητα Block και είναι υποχρεωτική, μιας και η ενέργεια Block, πάντα ορίζει την ύπαρξη ενός μηνύματος Response προς τον αρχικό αποστολέα. Η αντίστοιχη σχέση, η οποία προέρχεται από την ενέργεια Allow, υπάρχει μόνο όταν η ενέργεια εκτελείται από τον τελικό παραλήπτη του μηνύματος, μιας και αυτός είναι ο υπεύθυνος να αποστείλει του μήνυμα Response στον αρχικό αποστολέα. 7.6 Ανάπτυξη και Υλοποίηση Μοντέλου ontospit Στην ενότητα αυτή, παρουσιάζεται, εν συντομία, η υλοποίηση της οντολογίας που ορίστηκε για την περιγραφή του πεδίου γνώσης και ενδιαφέροντος (domain of knowledge), που αφορά το φαινόμενο SPIT. Πιο συγκεκριμένα, μετά τον ορισμό του αναλυτικού μοντέλου του ontospit, ακολουθεί η υλοποίησή του στη γλώσσα OWL του Σημασιολογικού Ιστού [NOY01] (βλ. ΠΑΡΑΡΤΗΜΑ Δ: Κώδικας Οντολογικού Μοντέλου ontospit). Βασικός στόχος, αποτέλεσε η διαχείριση του φαινομένου SPIT, επικεντρώνοντας, κατά κύριο λόγο, στον έλεγχο της φύσης των SIP μηνυμάτων (απόφαση αν το μήνυμα είναι SPIT ή όχι) και κατά δεύτερο λόγο σε ενέργειες που ορίζονται και θα πρέπει να εφαρμοσθούν ανάλογα με το τι προέκυψε από τον προαναφερθέντα έλεγχο. Ο βασικός σκοπός της υλοποίησης του μοντέλου ontospit είναι, μεταξύ άλλων, όπως θα παρουσιασθεί στο επόμενο κεφάλαιο, να πραγματοποιηθεί η δημιουργία στιγμιοτύπων των εννοιών του ontospit (instantiate ontospit), το οποίo είναι αποθηκευμένo σαν αρχείο OWL (αρχείο κειμένου με κατάληξη.owl). Με χρήση των API 2 βιβλιοθηκών που παρέχει η OWL 2 Application Program Interface. Οικονομικό Πανεπιστήμιο Αθηνών 239

240 επέκταση του Protégé 3, δημιουργούνται τα κατάλληλα στιγμιότυπα στην ιεραρχία της οντολογίας, δηλαδή η συμπλήρωση της οντολογίας με πραγματικές πληροφορίες. Το αποτέλεσμα αυτού του βήματος είναι λειτουργικά στιγμιότυπα των κλάσεων της οντολογίας και εν συνεχεία η διαδικασία ελέγχου της φύσης ενός μηνύματος SPIT και τελικά η εφαρμογή της ενέργειας που έχει οριστεί και ανάλογα με το αποτέλεσμα του προαναφερθέντα ελέγχου Χρήση γλώσσας Σημασιολογικού Ιστού Η γλώσσα του Σημασιολογικού Ιστού (OWL) [OWL04], [OWL04a], επιλέχθηκε για την ανάπτυξη του μοντέλου ontospit. Η συγκεκριμένη γλώσσα υπαγορεύει μια σειρά από συμβάσεις και κατάλληλες κωδικοποιήσεις των απαιτούμενων ιδιοτήτων και σχέσεων. Η γλώσσα OWL είναι μια γλώσσα αναπαράστασης της γνώσης προσφέροντας αρκετές δυνατότητες σε σχέση με άλλες, όπως για παράδειγμα, μπορεί να αποτυπώσει την έννοια της ένωσης (union), της τομής (intersection), καθώς και της άρνησης (negation). Εφοδιασμένη με αυτές τις δυνατότητες, επιτρέπει τη χρήση ενός εργαλείου ελέγχου συνέπειας της οντολογίας, το οποίο μπορεί να ελέγξει την ιεραρχία των όρων και των μεταξύ τους σχέσεων, καθώς και να αναγνωρίσει με αυτόματο τρόπο ποιες έννοιες αποτελούν υποκλάσεις άλλων εννοιών. Εν γένει, υπάρχουν τρεις κατηγορίες της OWL, ξεκινώντας από την πιο απλή και, επομένως, από αυτή με τις λιγότερες δυνατότητες εκφραστικότητας και αποτύπωσης των εννοιών: (α) OWL-Lite, που χρησιμοποιείται σε περιπτώσεις απλής κατηγοριοποίησης των όρων, όπου σύνθετοι περιορισμοί δεν απαιτούνται, (β) OWL-DL, η οποία ούσα πιο εκφραστική από την προηγούμενη, βασίζεται σε λογική πρώτης τάξης και υποστηρίζει αυτόματο υπολογισμό και κατηγοριοποίηση των κλάσεων, και (γ) OWL-Full, όπου είναι η πιο εκφραστική γλώσσα από τις υπόλοιπες και χρησιμοποιείται σε περιπτώσεις όπου η αποτύπωση των εννοιών υπερισχύει έναντι των αυτόματων υπολογισμών ή αποφάσεων πάνω στους όρους της οντολογίας. Μια οντολογία σε γλώσσα OWL ακολουθεί την παρακάτω δομή [OWL04], [ΜΙΧ04]: Έννοιες (Concepts): πρόκειται για γεννήτριες (templates) στιγμιότυπων, που συγκεντρώνουν τα γνωρίσματα της έννοιες. Οι έννοιες οργανώνονται σε ιεραρχίες. Δηλαδή ταξινομούνται, χωρίζοντας το σύνολο των στιγμιότυπων που αντιπροσωπεύουν σε τάξεις, υπερτάξεις και υποτάξεις. Στιγμιότυπα (Individuals): αναπαριστούν τα αντικείμενα του πεδίου ενδιαφέροντος. Πρόκειται στην ουσία για τις υλοποιήσεις των στιγμιοτύπων των εννοιών που θα αναφερθούν παρακάτω. Οι οντολογίες συνίσταται να μην έχουν πολλά στιγμιότυπα γιατί ο 3 Διαθέσιμο στη διεύθυνση Οικονομικό Πανεπιστήμιο Αθηνών 240

241 σκοπός τους δεν είναι να λειτουργήσουν ως μια βάση δεδομένων, αλλά να αποτυπώσουν τη γνώση για ένα συγκεκριμένο τομέα. Ιδιότητες (Properties): πρόκειται για τις σχέσεις μεταξύ των στιγμιότυπων των εννοιών. Οι ιδιότητες έχουν κάποιο πεδίο ορισμού (domain) και ένα σύνολο τιμών (range). Ένα στιγμιότυπο ή ένωση στιγμιότυπων μιας κλάσης συνιστούν το πεδίο ορισμού και το σύνολο τιμών. Οι ιδιότητες μπορεί να εμπίπτουν στις παρακάτω κατηγορίες: Λειτουργικές (Functional): Να έχουν μια τιμή για ένα στιγμιότυπο. Δηλαδή να υπάρχει το πολύ ένα στιγμιότυπο το οποίο να σχετίζεται μέσω της συγκεκριμένης ιδιότητας με ένα άλλο στιγμιότυπο. Αντίστροφα λειτουργικές (Inverse Functional): Η αντίστροφη ιδιότητα να είναι λειτουργική, δηλαδή να υπάρχει το πολύ ένα στιγμιότυπο που να συνδέεται με το συγκεκριμένο στιγμιότυπο που φέρει αυτή την ιδιότητα. Μεταβατικές (Transitive): Δηλώνονται οι ιδιότητες οι οποίες όταν συνδέουν ένα στιγμιότυπο Χ με ένα στιγμιότυπο Υ και το στιγμιότυπο Υ με ένα άλλο Ζ, τότε συνδέουν το Χ με το Ζ. Αν μια ιδιότητα είναι μεταβατική τότε εξ ορισμού δεν είναι λειτουργική. Συμμετρικές (Symmetric): Ως συμμετρική δηλώνεται η ιδιότητα κατά την οποία όταν ένα στιγμιότυπο Χ συνδέεται με ένα άλλο Υ, τότε και το Υ συνδέεται με το Χ μέσω αυτής της ιδιότητας. Αντισυμμετρικές (Anti-symmetric): Είναι η ακριβώς αντίθετη περίπτωση των συμμετρικών ιδιοτήτων. Ανακλαστικές (Reflexive): Μια ιδιότητα είναι ανακλαστική όταν συνδέει ένα στιγμιότυπο με τον εαυτό του. Μη ανακλαστικές (Irreflexive): Μια ιδιότητα δεν είναι ανακλαστική όταν συνδέει ένα στιγμιότυπο Χ με ένα άλλο Υ, όπου το Χ και το Υ δεν συμπίπτουν. Περιορισμοί (Restrictions): Αναφέρονται στους περιορισμούς που τίθενται στις τιμές που λαμβάνουν τα στιγμιότυπα μιας κλάσης. Αυτοί διακρίνονται σε: Ποσοτικούς περιορισμούς (Quantifier Restrictions), όπου διακρίνονται σε (α) Υπαρξιακούς Περιορισμούς (Existential restrictions), και (β) Καθολικοί Περιορισμοί (Universal restrictions), Περιορισμούς που αφορούν το πλήθος των σχέσεων (Cardinality Restrictions), οι οποίοι δηλώνουν το σύνολο των στιγμιότυπων που συμμετέχουν σε τουλάχιστον, το πολύ ή ακριβώς ένα αριθμό σχέσεων με άλλα στιγμιότυπα. Περιορισμούς τιμών (has Value Restrictions): οι οποίοι δηλώνουν το σύνολο των στιγμιότυπων που έχουν τουλάχιστον μια σχέση μέσω μιας συγκεκριμένης ιδιότητας με ένα καθορισμένο στιγμιότυπο. Οι περιορισμοί αυτοί δηλώνονται με τον τελεστή value ( ). Οικονομικό Πανεπιστήμιο Αθηνών 241

242 7.6.2 Εργαλείο Ανάπτυξης Οντολογίας Στην παρούσα διατριβή, για το σχεδιασμό και την ανάπτυξη της οντολογίας, χρησιμοποιήθηκε το εργαλείο Protégé [PRO08]. Το Protégé είναι καρπός ενός επιστημονικού προγράμματος του Stanford για τη δημιουργία ενός λογισμικού που θα μπορεί να διαχειρίζεται ιατρικά δεδομένα και να μπορεί να παρέχει απαντήσεις σε σχετικά ερωτήματα, όπως για παράδειγμα σύνδεση συγκεκριμένων συμπτωμάτων με μια ασθένεια. Ταυτόχρονα, όμως, η αποτύπωση της τυπικής γνώσης έπρεπε να γίνει κατά τέτοιο τρόπο ώστε να μπορεί να υπάρξει ένα κοινό πλαίσιο ορισμών μέσω του οποίου θα είναι δυνατή η επέκταση του μοντέλου από οποιονδήποτε ενδιαφερόμενο, κάτι το οποίο παρέχεται από τις οντολογίες. Το Protégé, διαθέτει μια γραφική διεπαφή και ένα ολοκληρωμένο περιβάλλον ανάπτυξης (Integrated Development Environment, IDE) το οποίο καθιστά τη χρήση του σχετικά εύκολη. Η γραφική διεπαφή είναι βασισμένη στις καρτέλες (tabs) η οποία επιτρέπει στον χρήστη: Να δημιουργήσει και να διαχειριστεί ένα μοντέλο οντολογίας, το οποίο αποτελείται από έννοιες (τάξεις) που περιγράφουν ένα ορισμένο πεδίο γνώσης. Το μοντέλο ontospit, όπως ήδη έχει αναφερθεί, ορίζει ένα σύνολο από έννοιες καθώς και τις μεταξύ τους σχέσεις, Να δημιουργήσει ένα εργαλείο για την διαχείριση της γνώσης που αφορά στο συγκεκριμένο πεδίο εφαρμογής (στην εν λόγω περίπτωσή το SPIT domain). Το εργαλείο αυτό βοηθά τους ειδικούς μίας περιοχής γνώσης, να εισάγουν και να διαμοιράζουν την γνώση τους με εύκολο τρόπο. Οι ειδικοί εισάγουν στιγμιότυπα των τάξεων / εννοιών στην οντολογία (μαζί με ιδιότητες και σχέσεις μεταξύ των τελευταίων), τα οποία στην συνέχεια μπορούν να χρησιμοποιηθούν για την επίλυση προβλημάτων. Να δημιουργήσει και να εκτελέσει εφαρμογές, οι οποίες αποτελούν και το τελικό προϊόν που δημιουργείται όταν η οντολογία χρησιμοποιείται για την επίλυση προβλημάτων, για την δημιουργία έμπειρων συστημάτων κ.α. Ένα ακόμη μεγάλο πλεονέκτημα του Protégé είναι το γεγονός ότι είναι ανεξάρτητο από συγκεκριμένες πλατφόρμες, καθότι έχει υλοποιηθεί σε Java και είναι ανοιχτού κώδικα. Το τελευταίο χαρακτηριστικό προσδίδει στο Protégé ένα ακόμη πλεονέκτημα (πιθανά το πιο σημαντικό) που είναι η επεκτασιμότητα από τον εκάστοτε χρήστη: ο τελευταίος έχει τη δυνατότητα να προσθέσει λειτουργικότητα με την συγγραφή κώδικα και την ενσωμάτωσή του στο Protégé (plugins). Ταυτόχρονα το Protégé, παρέχει προγραμματιστική διεπαφή (API Application Programming Interface), γεγονός που το καθιστά εύκολο και στην ενσωμάτωσή του από άλλες εφαρμογές. Έτσι, ενώ αρχικά η αποτύπωση των οντολογιών γινόταν μόνο σε μία μορφή (συγκεκριμένη μορφή του πυρήνα του Protégé), τώρα είναι δυνατή η αποτύπωση Οικονομικό Πανεπιστήμιο Αθηνών 242

243 οντολογιών σε RDF, XML, αλλά και OWL. Για την υλοποίηση του μοντέλου ontospit χρησιμοποιήθηκε η έκδοση 4 alpha του Protégé 4. Στην εικόνα που ακολουθεί απεικονίζεται το πλήρες μοντέλο ontospit με τις κλάσεις και τις υποκλάσεις του, όπως αυτό αναπτύχθηκε από το εργαλείο Protégé 5, χωρίς να αποτυπώνονται οι έμμεσες σχέσεις μεταξύ των κλάσεων. Η μόνη αποτύπωση που παρέχεται στην εν λόγω εικόνα, αφορά τις κλάσεις και τις υποκλάσεις του ontospit μοντέλου. Εικόνα 7.7: Σχηματική αναπαράσταση μοντέλου OntoSPIT Προκειμένου να γίνει πιο σαφής και κατανοητή η απεικόνιση και η λεπτομέρεια του συνολικού μοντέλου, στην παρακάτω εικόνα αποτυπώνεται ένα μήνυμα SIP και τα συστατικά αυτού (headers και message body), όπως περιγράφηκε με χρήση του εργαλείου Protégé. Επίσης, αποτυπώνονται οι σχέσεις μέσω των οποίων δηλώνεται αν το μήνυμα αποτελεί ένα μήνυμα αίτησης (request message) ή ένα μήνυμα απόκρισης (response message). Αξιοσημείωτο είναι το πώς αποτυπώνεται η σχέση μέσω της οποίας υποδηλώνεται ότι η ύπαρξη σώματος μηνύματος (message body) εξαρτάται από την τιμή που θα έχει η επικεφαλίδα (header) Content-Length. 4 Available at 5 Η σχηματική αυτή απεικόνιση βασίστηκε στο plug-in του Protégé Jambalaya. Διαθέσιμο στη διεύθυνση: Οικονομικό Πανεπιστήμιο Αθηνών 243

244 Εικόνα 7.8: Αποτύπωση μηνύματος SIP και σχέσεις των σχετικών κλάσεων της οντολογίας Τέλος, στην παρακάτω εικόνα απεικονίζεται το σύνολο των ενεργειών (Actions) που αφορούν την αποστολή και λήψη των μηνυμάτων (messagging), την επεξεργασία (processing) και τον έλεγχο (checking) των μηνυμάτων, καθώς και τις αποφάσεις (decision) που αφορούν τις δράσεις για το χειρισμό των μηνυμάτων (allow, block, check further). Επιπρόσθετα, απεικονίζονται και οι μεταξύ των κλάσεων αυτών σχέσεις με βάση, βέβαια, τους περιορισμούς ακεραιότητας (integrity constraints), που ορίστηκαν στην ενότητα Εικόνα 7.9: Σύνολο ενεργειών οριζόμενων στο μοντέλο ontospit και μεταξύ τους σχέσεις Οικονομικό Πανεπιστήμιο Αθηνών 244

245 7.7 Σύνοψη Σε αυτό το κεφάλαιο θεμελιώθηκε το μοντέλο ontospit μέσω του οποίου θα διευκολυνθεί, με τη χρήση οντολογιών, η αποτελεσματική ανίχνευση και αντιμετώπιση SPIT κλήσεων ή/και μηνυμάτων. Με αφετηρία το εννοιολογικό πλαίσιο που αφορά το φαινόμενο SPIT, ορίστηκε ένα λεπτομερές και αναλυτικό μοντέλο αναπαράστασης του SPIT φαινομένου με κύριο στόχο να ανιχνευθούν ενδεχόμενες επιθέσεις SPIT και πώς αυτές μπορούν να αντιμετωπιστούν. Στο επόμενο κεφάλαιο, θα παρουσιασθεί πώς το μοντέλο ontospit ενσωματώνεται στην προτεινόμενη, στην παρούσα διατριβή αρχιτεκτονική, παρέχοντας ένα ολιστικό τρόπο διαχείρισης του SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 245

246 8 Πολιτικές Διαχείρισης SPIT Strong reasons make strong actions. William Shakespeare 8 Πολιτικές Διαχείρισης SPIT 8.1 Εισαγωγή Η αντιμετώπιση ενός εν δυνάμει σοβαρού και συνεχώς εξελισσόμενου φαινομένου σαν το SPIT, δεν άπτεται μόνο των επιμέρους υιοθετούμενων τεχνικών αντιμέτρων και μηχανισμών αντιμετώπισής του. Απαιτούνται ενέργειες και πρακτικές που αφορούν την πλήρη και ολιστική διαχείρισή του και η οποία θα λαμβάνει υπόψη αρκετές επιμέρους παραμέτρους και συνιστώσες, όχι κατ ανάγκη μόνο τεχνολογικής φύσεως. Κρίνεται, επομένως, αναγκαίος ο ορισμός μιας πολιτικής διαχείρισης του SPIT (anti-spit policy), μέσω της οποίας θα καθορίζονται οι πρακτικές, ενέργειες, έλεγχοι και κατ επέκταση οι χρησιμοποιούμενοι μηχανισμοί anti-spit σε συνάρτηση των ιδιαίτερων απαιτήσεων του εκάστοτε VoIP δικτυακού τομέα, διευκολύνοντας, με αυτό τον τρόπο, την αποτελεσματικότερη διαχείριση του SPIT. Έτσι, λοιπόν, στο κεφάλαιο αυτό, παρουσιάζεται αρχικά το έρεισμα για το οποίο κρίνεται απαραίτητο ο ορισμός μιας πολιτικής διαχείρισης του φαινομένου SPIT, ενώ στη συνέχεια παρουσιάζεται η προτεινόμενη προσέγγιση η οποία βασίζεται στο προτεινόμενο ontospit μοντέλο, ενσωματώνοντας παράλληλα την εκάστοτε οριζόμενη πολιτική anti-spit. Τέλος, με στόχο να γίνει σαφέστερη η χρησιμότητα υιοθέτησης μιας anti-spit πολιτικής, προτείνεται μια βασική πολιτική (baseline anti-spit policy), η οποία θεωρείται ότι πρέπει κατ ελάχιστο να εφαρμόζεται σε κάθε VoIP δικτυακό τομέα, που επιθυμεί την αντιμετώπιση του SPIT. 8.2 Πολιτικές Διαχείρισης Ασφάλειας Πληροφοριακών Συστημάτων Σύμφωνα με τον Sloman, οι πολιτικές είναι κανόνες που ρυθμίζουν τη συμπεριφορά ενός συστήματος [SLO94]. Η διαχείριση των πληροφοριακών και επικοινωνιακών συστημάτων αποτελεί ένα εξαιρετικά δημοφιλές ερευνητικό θέμα, ενώ υπάρχει έντονη κινητικότητα στον εν λόγω τομέα τα τελευταία χρόνια. Ανατρέχοντας στη Οικονομικό Πανεπιστήμιο Αθηνών 246

247 σχετική βιβλιογραφία, συναντάται ένας μεγάλος αριθμός προσεγγίσεων που το πεδίο εφαρμογής τους εκτείνεται από τη διαχείριση της τεχνοδιαμόρφωσης των συστημάτων (configuration management), έως τη διαχείριση της ασφάλειας και τον έλεγχο πρόσβασης [BUR95]. Από την άλλη πλευρά, οι τυπικές προσεγγίσεις στον ορισμό των πολιτικών (policy definition), οι οποίες έχουν καθιερωθεί και χρησιμοποιούνται σε ευρεία κλίμακα είναι ελάχιστες. Το ίδιο ισχύει και για την ανάλυση και εξειδίκευση των πολιτικών, όπου η τυπική αποτύπωση αυτών παίζει ιδιαίτερα σημαντικό ρόλο. Στο πλαίσιο αυτό, έχουν οριστεί κάποια βασικά είδη πολιτικών, τα βασικότερα εκ των οποίων είναι: (α) πολιτικές εξουσιοδότησης (authorization policies), (β) πολιτικές υποχρέωσης (obligation policies), (γ) πολιτικές αποφυγής (refrain polices) και (δ) πολιτικές μεταβίβασης δικαιωμάτων και αρμοδιοτήτων (delegation policies) [SOU08], [ΤΣΟΥ07] Δομικά Στοιχεία Πολιτικών Οι πολιτικές διαχείρισης της ασφάλειας, στην πλειονότητα των περιπτώσεων, αναπαριστώνται με τη μορφή κανόνων (policy rules). Ένας τυπικός κανόνας πολιτικής αναφέρεται σε και ορίζεται από κάποιες βασικές πληροφορίες, οι οποίες είναι απαραίτητες και επηρεάζουν την εφαρμογή του στις συνιστώσες του συστήματος. Στον παρακάτω πίνακα, παρουσιάζονται τα δομικά στοιχεία μιας πολιτικής, δηλαδή τα κύρια μέρη που απαρτίζουν ένα κανόνα μιας πολιτικής [ΤΣΟΥ07]. Πίνακας 8.1: Δομικά στοιχεία ενός κανόνα μιας πολιτικής ασφάλειας Μέρος Κανόνα Περιγραφή Παράδειγμα Υποκείμενο (Subject) H οντότητα που θα υλοποιήσει/εφαρμόσει τον κανόνα. Φυσικός χρήστης, ρόλος, διεργασία του λειτουργικού συστήματος ή πράκτορας λογισμικού. Στόχος (Target) Ενέργειες (Actions) Συνθήκες (Conditions) Γεγονότα Ενεργοποίησης (Triggers) Η πληροφοριακή συνιστώσα που θα εφαρμοστεί ο κανόνας. Οι ενέργειες που επιτρέπεται (εξουσιοδότησης) ή πρέπει (υποχρέωσης) να πραγματοποιηθούν. Οι προαπαιτούμενες συνθήκες και περιορισμοί για την εφαρμογή του κανόνα. Γεγονότα τα οποία πυροδοτούν την εφαρμογή του κανόνα Ένας ή περισσότεροι πληροφοριακοί πόροι, ένα ή περισσότερα Υποκείμενα, ένας ή περισσότεροι ρόλοι. Απόδοση δικαιωμάτων, ρύθμιση παραμέτρων τερματικού, έλεγχος των πακέτων δικτύου για επιθέσεις. Χρόνος εφαρμογής (π.χ. εντός εργασιακών ωρών), Ρόλων (μπορεί να το εφαρμόσει μόνο ο διαχειριστής του δικτύου). Αυθεντικοποίηση χρήστη: Φραγή της προσπάθειας πρόσβασης μετά από συγκεκριμένο αριθμό αποτυχημένων προσπαθειών. Οικονομικό Πανεπιστήμιο Αθηνών 247

248 Εκτός από τα αναγραφόμενα στον παραπάνω πίνακα στοιχεία, τα οποία είναι κοινά στην πλειονότητα των προσεγγίσεων, υπάρχει και μια σειρά από παράπλευρες δομές με υποστηριχτικό ρόλο, όπως οι λογαριασμοί των χρηστών (users accounts), τα δικαιώματα χρήσης των πόρων (rights/privileges), οι ρόλοι, τα καθήκοντα (duties), οι ιεραρχίες (hierarchies) και τα πεδία εφαρμογής των κανόνων (domain) Ορισμός και Αποτύπωση Πολιτικών Πολλοί ερευνητές στο χώρο της ασφάλειας έχουν προτείνει αρκετές προσεγγίσεις σε ότι αφορά τον ορισμό και την αποτύπωση των πολιτικών ασφάλειας. Οι προσεγγίσεις αυτές ποικίλλουν: από τη μία πλευρά υπάρχουν οι τυπικές γλώσσες πολιτικών (formal policy languages), τις οποίες τα εκάστοτε υπολογιστικά συστήματα μπορούν εύκολα να διαχειριστούν ενώ, από την άλλη, έχουν οριστεί γλώσσες οι οποίες είναι μη-τυπικές (informal policy languages), οι οποίες έχουν μεγαλύτερες δυνατότητες περιγραφής των κανόνων, είναι πιο ευέλικτες, αλλά καθίστανται δύσκολο να αποτυπωθούν εύκολα σε αναγνώσιμο από τις μηχανές τρόπο Τυπικές προσεγγίσεις ορισμού πολιτικών Μέχρι σήμερα οι τυπικές προσεγγίσεις, χρησιμοποιούνται κυρίως για τον ορισμό των πολιτικών ασφάλειας. Τα πλεονεκτήματα τους, αφορούν στην ισχυρά ορισμένη σημασιολογία τους (semantics) και στη σαφήνεια των επιμέρους υιοθετούμενων κανόνων τους. Άλλα πλεονεκτήματα, είναι η υποστήριξη λογικών συμπερασματικών μηχανισμών, όπως ο εντοπισμός συγκρούσεων μεταξύ των κανόνων (conflict detection) και η εξειδίκευση των απαιτήσεων ασφάλειας. Αντιπροσωπευτικές προσεγγίσεις αποτελούν η SDL (Standard Deontic Language) με τελεστές δικαιωμάτων, υποχρεώσεων και απαγορεύσεων. Από την άλλη, η FOL (First- Order Logic) και, κυρίως, η γενικευμένη της μορφή, είναι μη-αποφασίσιμη (undecidable) και είναι απαραίτητη η χρήση ενός υποσυνόλου της προκειμένου να προκύψουν εφαρμόσιμες πολιτικές. Μια άλλη τυπική γλώσσα, είναι η γλώσσα εξουσιοδοτήσεων ASL, η οποία υποστηρίζει α) πολιτικές εξουσιοδότησης, β) αρνητικών εξουσιοδοτήσεων, γ) ιεραρχίες εξουσιοδοτήσεων, δ) ιστορικό εξουσιοδοτήσεων, ε) μια μορφή μετα-πολιτικών (meta-policies) και, τέλος, διαθέτει τρόπους αξιολόγησης των ιεραρχιών ή άλλων σχέσεων μεταξύ αντικειμένων ενός συστήματος. Βέβαια, παρά την εκφραστική της δύναμη η ASL είναι κατάλληλη μόνο για πολιτικές πρόσβασης και όχι για πολιτικές διαχείρισης. Η επεκτασιμότητα της είναι περιορισμένη, ενώ από την άλλη δεν παρέχει άμεσο τρόπο για τη μεταβίβαση αρμοδιοτήτων [JAJ00]. Η Γλώσσα Ορισμού Ρόλων (Role Definition Language RDL) [HAY98], βασίζεται σε προτάσεις Horn (Horn clauses) και αποτελείται από σύνολα κανόνων που καθορίζουν τις συνθήκες κάτω από τις οποίες ένα υποκείμενο μπορεί να αποκτήσει ένα όνομα ή ένα ρόλο. Στο [WOJ05] προτείνεται η OVAL, μια γλώσσα που επιτρέπει τον έλεγχο Οικονομικό Πανεπιστήμιο Αθηνών 248

249 συστημάτων για ύπαρξη αδυναμιών και προβληματικών ρυθμίσεων. Τέλος, η Policy Description Language (PDL) [LOB99], χρησιμοποιείται για τον ορισμό πολιτικών υποχρέωσης (obligation policies). Η PDL βασίζεται σε γεγονότα (event-based) προκειμένου να οριστεί μια πολιτική σαν μια συνάρτηση που αντιστοιχίζει μια σειρά από γεγονότα σε μια σειρά ενεργειών. Η σύνταξη της PDL είναι σχετικά απλή και οι πολιτικές περιγράφονται από δύο τύπους εκφράσεων: κανόνες πολιτικών και γεγονότα πολιτικών, τα οποία ορίζονται από τον χρήστη Γλώσσες και πλαίσια πολιτικών υψηλού επιπέδου Το πλαίσιο Policy Middleware for Autonomic Computing (PMAC) έχει αναπτυχθεί στα πλαίσια της ερευνητικής δραστηριότητας της IBM για το Αυτόνομο Υπολογίζειν [AGR05]. Οι πολιτικές στο PMAC ορίζονται σαν κανόνες του τύπου Γεγονός Συνθήκη Ενέργεια (Event Condition Action, ECA), μέσω ενός XML σχήματος. Η χρήση της XML υποστηρίζει την εισαγωγή υφιστάμενων κανόνων και περιορισμών με ήδη ορισμένη σημασιολογία, επιτυγχάνοντας ικανοποιητική επεκτασιμότητα, με το κόστος της εγγενούς φλυαρίας της XML και τη δυσκολία του χρήστη να την κατανοήσει. Το τελευταίο μειονέκτημα αμβλύνεται με την εισαγωγή μιας νέας απλής γλώσσας για πολιτικές, την Simple Policy Language (SPL), η οποία χρησιμοποιείται για τον ορισμό των κανόνων ECA. Το KaOS είναι μία συλλογή από σύνθετες υπηρεσίες πρακτόρων, η οποία υποστηρίζει μία ποικιλία από πλατφόρμες κινητών πρακτόρων [USZ03]. Η συνιστώσα του KaOS για τις υπηρεσίες πολιτικής είναι υπεύθυνη για τις προδιαγραφές, τη διαχείριση, την ανάλυση συγκρούσεων και την επιβολή των πολιτικών. Η πολιτική προδιαγραφών υιοθετεί μία προσέγγιση που βασίζεται σε οντολογίες και οι πολιτικές αναπαρίστανται σε DAML [DAML04]. Ο ορισμός οντολογίας του KaOS επιτρέπει τη διάκριση μεταξύ πολιτικών εξουσιοδότησης και πολιτικών υποχρέωσης της. Το KaOS παρέχει ένα εργαλείο Διαχείρισης Πολιτικής (KaOS Policy Administration Tool), το οποίο υποστηρίζει τις λειτουργίες του ορισμού των πολιτικών, διαχείρισης των οντολογιών, εφαρμογής των πολιτικών και ανίχνευσης των συγκρούσεων μεταξύ των πολιτικών. Το σύστημα Rei αναπτύχθηκε από τους [KAG03] για να υποστηρίξει τη διαχείριση που βασίζεται σε πολιτικές για εφαρμογές Διάχυτου Υπολογίζειν (Pervasive Computing). Η πολιτική προδιαγραφών, στο Rei, χρησιμοποιεί μία οντολογική προσέγγιση για να αναπαραστήσει τον κάθε τύπο πολιτικής και συνεπώς, οι κανόνες της πολιτικής καθορίζονται στην αναπαράσταση της OWL [OWL04], [OWL04a], η οποία είναι παρόμοια με την αναπαράσταση που χρησιμοποιείται από το KaOS. Το σύστημα Rei υποστηρίζει την επιβολή πολιτικών παρέχοντας μία γεννήτρια αποφάσεων πολιτικών (policy decision engine), η οποία εξάγει τα δικαιώματα και τις υποχρεώσεις των Οικονομικό Πανεπιστήμιο Αθηνών 249

250 αντικειμένων στο διαχειριζόμενο σύστημα, με χρήση αιτήσεων κατάστασης του συστήματος. Στο πλαίσιο διαχείρισης πολιτικών που προτείνεται στο [DAM02], παρουσιάζεται η δηλωτική (declarative) γλώσσα Ponder, που είναι μια γλώσσα ημι-τυπικής αποτύπωσης των πολιτικών διαχείρισης ενός συστήματος (συμπεριλαμβανομένων και των πολιτικών ασφάλειας). Η γλώσσα Ponder είναι αντικειμενοστραφής και περιέχει επεκτάσιμες δομές για την περιγραφή των ακόλουθων βασικών τύπων πολιτικής ασφάλειας (policy types): α) Πολιτικές Εξουσιοδότησης (Authorization Policies), Πολιτικές Υποχρέωσης (Event-Triggered Obligation Policies), Πολιτικές Αποφυγής (Refrain Policies), Πολιτικές Μεταβίβασης Αρμοδιοτήτων (Delegation Policies). Τέλος, η γλώσσα SWRL (Semantic Web Rule Language) [HOR04], η οποία βασίζεται σε ένα συνδυασμό των γλωσσών OWL-DL και OWL-Lite παρέχει ένα σχήμα επέκτασης των συντακτικών δυνατοτήτων αυτών των γλωσσών, με στόχο να παρέχει ένα υψηλού επιπέδου και αφαιρετικού τρόπο σύνταξης κανόνων Horn (Horn-like rules) Απαιτήσεις γλωσσών ορισμού πολιτικών ασφάλειας Όπως είδαμε στις προηγούμενες παραγράφους, υπάρχουν αρκετές γλώσσες οι οποίες μπορούν να χρησιμοποιηθούν για τον ορισμό και την αναπαράσταση πολιτικών διαχείρισης της ασφάλειας. Η επιλογή, της πλέον κατάλληλης γλώσσας πολιτικής πρέπει να καθορίζεται ανάλογα από τις απαιτήσεις που τίθενται για τη διαχείρισης ασφάλειας του συστήματος στο οποίο η πολιτική θα εφαρμοσθεί. Ωστόσο, υπάρχουν κάποιες σημαντικές απαιτήσεις που πρέπει λαμβάνονται υπόψη κατά την επιλογή της γλώσσας ορισμού και αποτύπωσης της πολιτικής, οι βασικότερες εκ των οποίων είναι: Σαφώς ορισμένη: Μια γλώσσα ορισμού πολιτικών ασφάλειας πρέπει να παρέχει ένα σαφή και ευανάγνωστο τρόπο αποτύπωσης της εκάστοτε οριζόμενης πολιτικής. Η σύνταξη της γλώσσας πρέπει να είναι σαφής αποτρέποντας συγκεχυμένες διατυπώσεις. Με αυτόν τον τρόπο η οριζόμενη πολιτική είναι σαφής και ανεξάρτητη από το εκάστοτε περιβάλλον στο οποίο θα εφαρμοσθεί. Ευέλικτη και επεκτάσιμη: Μια γλώσσα ορισμού των πολιτικών πρέπει να είναι ευέλικτη προκειμένου να επιτρέπει νέα στοιχεία (κανόνες) να ενσωματωθούν. Επιπρόσθετα, πρέπει να είναι επεκτάσιμη ώστε να διευκολύνει την υιοθέτηση και τον ορισμό νέων τύπων πολιτικών. Διαλειτουργική: Στην πλειονότητα των περιπτώσεων υπάρχουν πολιτικές που εφαρμόζονται σε διαφορετικά συστήματα, αλλά ενσωματώνουν τους ίδιους κανόνες. Έτσι, θα πρέπει η εκάστοτε χρησιμοποιούμενη γλώσσα, να παρέχει επαρκή διαλειτουργικότητα καθιστώντας την τελευταία εύκολα αναγνώσιμη από συστήματα των οποίων η πολιτική ασφάλειας έχει διατυπωθεί με άλλη γλώσσα. Οικονομικό Πανεπιστήμιο Αθηνών 250

251 8.3 Ανάγκη Ορισμού Πολιτικής anti-spit Η αποτελεσματική και ουσιαστική διαχείριση του φαινομένου SPIT, όπως έχει ήδη αναφερθεί, απαιτεί όχι μόνο την επιλογή κατάλληλων μηχανισμών και τεχνικών αντιμετώπισής τους, αλλά πρέπει να λαμβάνει υπόψη τις εκάστοτε οριζόμενες ανάγκες και προτιμήσεις που ορίζουν οι διαχειριστές του εκάστοτε VoIP δικτυακού τομέα, την εκάστοτε τεχνοδιαμόρφωση αυτού, αλλά και τις επιμέρους απαιτήσεις και προτιμήσεις των χρηστών που ανήκουν στον εν λόγω δικτυακό τομέα. Έτσι, κρίνεται αναγκαίος ο ορισμός μιας πολιτικής anti-spit μέσω της οποίας θα ορίζονται οι βασικοί εκείνοι κανόνες που πρέπει να υιοθετούνται και να τίθενται σε εφαρμογή και κατ επέκταση να διασφαλίζουν και εξασφαλίζουν την αποτελεσματική και αποδοτική διαχείριση του φαινομένου SPIT. Με βάση αυτά, ορίζουμε μια πολιτική anti-spit, ως εξής [SOU08]: Μια πολιτική anti-spit είναι το σύνολο των κανόνων (set of rules) που σκοπό έχουν να προστατέψουν μια υποδομή VoIP από ενδεχόμενες επιθέσεις SPIT. Από τον προαναφερθέντα ορισμό, καθίσταται σαφές ότι μια πολιτική anti-spit, μπορεί να θεωρηθεί ως μια πολιτική υποχρέωσης (obligation policy) [SOU08]. Πρόκειται, δηλαδή, για ένα σύνολο κανόνων οι οποίοι εφαρμόζονται και λαμβάνουν χώρα όταν η πραγματοποίηση ενός γεγονότος (event) γίνεται κάτω από συγκεκριμένες συνθήκες (conditions). Πιο συγκεκριμένα, μια πολιτική anti-spit περιγράφει το σύνολο των ενεργειών που πρέπει να πραγματοποιούνται έτσι το σύστημα να επιδεικνύει μια συγκεκριμένη συμπεριφορά σε περιπτώσεις εκδήλωσης περιστατικών επιθέσεων SPIT. Η πολιτική, επομένως, είναι εκείνη μέσω της οποίας θα επιλέγονται κάθε φορά οι καταλληλότεροι μηχανισμοί και τεχνικές αντιμετώπισης του SPIT, με στόχο πάντα αυτή να εφαρμόζεται όσο το δυνατόν αποτελεσματικότερα στο πλαίσιο λειτουργίας ενός VoIP δικτυακού τομέα. Στην εικόνα που ακολουθεί, αποτυπώνεται η έννοιας της anti-spit πολιτικής, καθώς και τα βασικά στοιχεία από τα οποία αυτή αποτελείται, αλλά και επηρεάζεται. Οικονομικό Πανεπιστήμιο Αθηνών 251

252 Εικόνα 8.1: Βασικές συνιστώσες πολιτικής anti-spit Στο σημείο αυτό, πρέπει να αναφερθεί ότι ο ορισμός και κατ επέκταση η εφαρμογή μιας πολιτικής anti-spit, δεν πρέπει να θεωρείται κάτι ανεξάρτητο από την ευρύτερη πολιτική ασφάλειας που υιοθετείται σε κάποιο VoIP δικτυακό τομέα. Είναι αναγκαίο η εκάστοτε οριζόμενη πολιτική anti-spit, να θεωρείται βασικό συστατικό ή/και επιμέρους συνιστώσα μιας πολιτικής ασφάλειας. Με αυτόν τον τρόπο επιτυγχάνεται μια ευρύτερη αντίληψη σε ότι αφορά τη διαχείριση της ασφάλειας, χωρίς να αγνοείται μια βασική διάσταση αυτής, όπως είναι η διαχείριση του φαινομένου SPIT. Επιπρόσθετα, πολλά από τα εκάστοτε οριζόμενα αντίμετρα ασφάλειας που ορίζονται από την πολιτική ασφάλειας, μπορούν να χρησιμοποιηθούν και για την αποτελεσματική αντιμετώπιση ενδεχόμενων επιθέσεων SPIT, πετυχαίνοντας με αυτό τον τρόπο οικονομίες κλίμακας και αποδοτικότερη (συνολική) διαχείριση. Για παράδειγμα, οι μηχανισμοί ελέγχου πρόσβασης που ορίζονται από την πολιτική ασφάλειας και χρησιμοποιούνται στο πλαίσιο ενός δικτυακού τομέα, μπορούν παράλληλα να εξασφαλίσουν και τον έλεγχο πρόσβασης ενδεχόμενων κακόβουλων χρηστών, οι οποίοι αποσκοπούν να εκδηλώσουν επιθέσεις SPIT. 8.4 Αρχιτεκτονική Διαχείρισης SPIT βασιζόμενη σε Πολιτικές Η προτεινόμενη αρχιτεκτονική διαχείρισης του φαινομένου SPIT βασιζόμενη σε πολιτικές anti-spit και σε οντολογίες, αποτελεί μια προσέγγιση μέσω της οποίας η εκάστοτε οριζόμενη και υιοθετούμενη πολιτική διαχείρισης του SPIT, ενσωματώνεται στο προτεινόμενο ontospit μοντέλο, το οποίο όταν υλοποιείται σε ένα δικτυακό τομέα, διευκολύνει τη λήψη αποφάσεων για τη αποτελεσματική και ολιστική διαχείριση του SPIT. Πιο συγκεκριμένα, το μοντέλο ontospit χρησιμοποιεί τους κανόνες που ορίζονται από την πολιτική με στόχο να εξάγει συμπεράσματα ως προς τη φύση των εκάστοτε ανταλλασσόμενων μηνυμάτων SIP και να ενεργοποιήσει τις δράσεις που ορίζονται από την πολιτική, όταν οι εκάστοτε οριζόμενες συνθήκες συναντώνται. Στην επόμενη εικόνα, παρουσιάζεται η προτεινόμενη αρχιτεκτονική διαχείρισης του φαινομένου SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 252

253 Εικόνα 8.2: Προτεινόμενη αρχιτεκτονική διαχείρισης φαινομένου SPIT Πριν παρουσιαστούν λεπτομέρειες σχετικά με την προτεινόμενη προσέγγιση, κρίνεται σκόπιμο να αναφερθεί ο τρόπος με τον οποίο συνδυάζονται τα επιμέρους συστατικά και στοιχεία της προτεινόμενης αρχιτεκτονικής διαχείρισης του SPIT. Έτσι, λοιπόν, τα επιμέρους συστατικά της αρχιτεκτονικής είναι: 1) Διατύπωση και Ορισμός Πολιτικής anti-spit. Η πολιτική αποτελείται από ένα σύνολο κανόνων οι οποίοι απαρτίζονται από συνθήκες (conditions) και ενέργειες (actions) και οι οποίοι ορίζονται από τους διαχειριστές του εκάστοτε δικτυακού τομέα (Εικόνα 8.2, Policy Component). 2) Ορισμός Συνθηκών Ανίχνευσης. Με βάση τα κριτήρια ανίχνευσης και την μοντελοποίηση των αδυναμιών ορίζονται, όπως είδαμε στο κεφάλαιο 6, συγκεκριμένα σενάρια και πρότυπα επιθέσεων. Τα σενάρια αυτά, αποτελούν τις βασικές συνθήκες ανίχνευσης επιθέσεων SPIT (βλ. Εικόνα 8.2, Στοιχείο Conditions). 3) Ορισμός Ενεργειών Αντιμετώπισης. Στην περίπτωση αυτή ορίζονται οι ενδεχόμενες ενέργειες που πρέπει να υιοθετηθούν και εφαρμοσθούν με στόχο την αντιμετώπιση των επιθέσεων SPIT που έχουν ανιχνευτεί (βλ. Εικόνα 8.2, Στοιχείο Actions).. 4) Αποτύπωση Πολιτικής. Στη φάση αυτή η εκάστοτε οριζόμενη πολιτική αποτυπώνεται και μετατρέπεται σε μια αναγνώσιμη και αναγνωρίσιμη μορφή μέσω της οποίας διευκολύνεται η ενσωμάτωσή της στο μοντέλο ontospit. 5) Εφαρμογή Πολιτικής: Με χρήση του μοντέλου ontospit, το οποίο ενσωματώνει τους κανόνες της πολιτικής, εφαρμόζεται η anti-spit πολιτική. Το μοντέλο οntospit διευκολύνει τη λήψη αποφάσεων σε ότι αφορά την αποτελεσματική και σύμφωνη με την εκάστοτε οριζόμενη πολιτική διαχείρισης του φαινομένου SPIT. Οικονομικό Πανεπιστήμιο Αθηνών 253

254 6) Ενημέρωση Μοντέλου οntospit: Η φάση αυτή αναφέρεται σε ενδεχόμενη ενημέρωση του μοντέλου ontospit, με ενδεχόμενα νέα σενάρια επίθεσης, νέα κριτήρια, στατιστικά μεγέθη που έχουν ληφθεί από τη χρήση της προτεινόμενης αρχιτεκτονικής σε κάποιο δικτυακό τομέα, κλπ. Στο σημείο αυτό, κρίνεται σκόπιμο, να αναφερθεί ότι πέρα από την υιοθέτηση και εφαρμογή των πολιτικών anti-spit για τη διαχείριση του φαινομένου SPIT, βασική συνιστώσα αυτού αποτελεί το οριζόμενο μοντέλο ontospit. Το οντολογικό μοντέλο ontospit, χρησιμοποιείται ως μηχανισμός λήψης αποφάσεων και πιο συγκεκριμένα ως τρόπος εφαρμογής της εκάστοτε οριζόμενης πολιτικής. Το βασικό κίνητρο, για τη χρήση των οντολογιών, πέρα από την παροχή ενός κοινού λεξιλογίου, που περιγράφει το SPIT, είναι ότι οι οντολογίες διαθέτουν σημαντικές δυνατότητες σε ότι αφορά την έκφραση σύνθετων σημειολογικών προτάσεων παρέχοντας αναλυτικό τρόπο περιγραφής και αναπαράστασης των εννοιών, που περιγράφουν τον τομέα μελέτης (domain of interest) καθώς και των μεταξύ τους σχέσεων (βλ. Ενότητα 7.3). Στις επόμενες παραγράφους παρουσιάζεται ο τρόπος που ορίζεται η εκάστοτε πολιτική anti-spit, καθώς και πώς αυτή θα ενσωματώνεται στο οντολογικό μοντέλο ontospit Ορισμός Κανόνων Πολιτικής Όπως έχει ήδη αναφερθεί, μια πολιτική ασφάλειας αποτελείται από ένα σύνολο κανόνων (rules) μέσω των οποίων ορίζεται η συμπεριφορά ενός συστήματος, ώστε να διασφαλισθούν οι βασικές συνιστώσες της ασφάλειας: η διαθεσιμότητα, η ακεραιότητα και η εμπιστευτικότητα. Κατά αναλογία, μια πολιτική anti-spit, θα αποτελείται από ένα σύνολο κανόνων οι οποίοι στοχεύουν στη διαχείριση του φαινομένου SPIT. Πιο συγκεκριμένα, θεωρείται ότι μια πολιτική anti-spit αποτελείται από ένα σύνολο κανόνων, οι οποίοι ενεργοποιούνται όταν ένα συγκεκριμένο γεγονός (event) λαμβάνει χώρα και όταν ικανοποιούνται συγκεκριμένες συνθήκες (conditions), οι οποίες θα οδηγήσουν στην εκτέλεση συγκεκριμένων ενεργειών (actions). Η κατάσταση αυτή αποτυπώνεται στην παρακάτω εικόνα. Οικονομικό Πανεπιστήμιο Αθηνών 254

255 Εικόνα 8.3: Πολιτική anti-spit: Σύνολο κανόνων αποτελούμενων από συνθήκες και ενέργειες Συνθήκες πολιτικής Το πρώτο από τα βασικά συστατικά των κανόνων μιας πολιτικής anti-spit, αποτελούν οι συνθήκες (conditions). Οι συνθήκες, αποτελούν ένα σημαντικό τμήμα των εκάστοτε οριζόμενων κανόνων, διότι μέσω αυτών ελέγχονται αν συγκεκριμένες καταστάσεις ικανοποιούνται και οι οποίες απαιτούν την ενεργοποίηση και υιοθέτηση ενεργειών (actions), περιορίζοντας τις επιπτώσεις από την ενδεχόμενη εκδήλωση μιας παραβίασης SPIT. Στο πλαίσιο της προτεινόμενης προσέγγισης, θεωρείται ότι οι συνθήκες που απαρτίζουν τους κανόνες μιας πολιτικής anti-spit εξάγονται από τα κριτήρια ανίχνευσης καθώς και από τα σενάρια επιθέσεων που περιγράφηκαν στο κεφάλαιο 6. Πιο συγκεκριμένα, το σύνολο των κριτηρίων και των σεναρίων και προτύπων που περιγράφουν μια εν δυνάμει επίθεση SPIT, εκφράζονται με τέτοιο τρόπο ώστε να αποτελούν τις συνθήκες εκείνες κάτω από τις οποίες ενεργοποιούνται συγκεκριμένες ενέργειες. Προφανώς, ένας κανόνας μιας πολιτικής ενδέχεται να εμπεριέχει περισσότερες από μία συνθήκες, οι οποίες πρέπει να συνδυάζονται με τέτοιο τρόπο ώστε να διασφαλίζουν τόσο τις εκάστοτε οριζόμενες απαιτήσεις των διαχειριστών ενός VoIP δικτυακού τομέα, όσο την ομαλή και χωρίς προβλήματα εφαρμογή του κανόνα. Ο συνδυασμός αυτός, πρέπει να εκφράζεται μέσω της σαφής αποτύπωσης της σειράς ελέγχων που ορίζονται από τον εκάστοτε κανόνα. Στον παρακάτω πίνακα, αποτυπώνεται ο τρόπος με τον οποίο κάποια σενάρια SPIT επιθέσεων υψηλού επιπέδου εκφράζονται σε ένα σύνολο συνθηκών που εμπεριέχονται στον κανόνα [SOU08]. Οικονομικό Πανεπιστήμιο Αθηνών 255

256 Πίνακας 8.2: Μετατροπή σεναρίου επίθεσης σε συνθήκη που εμπεριέχεται σε έναν κανόνα πολιτικής Σενάριο επίθεσης The caller s user agent receives a response with a 200 message/code, which includes multiple addresses in Contact field and the value of the From field is equal to one of the values of the Contact The spitter exploits hijacked SIP proxies and sends bulk SPIT messages to an application that is using a multicast channel. The spitter tries to hide her identity by misusing stateless SIP servers and sends her SPIT message by using the header MESSAGE Ενέργειες Πολιτικής Οριζόμενη συνθήκη του κανόνα της πολιτικής 1. The message code is There are multiple Contact fields. 3. The equality between the value from the From header field and the value of the Contact header field. IF Code=200 AND Contact=Multiple AND From Contact] 1. The Route header field contains hijacked SIP proxy 2. The To header field contains multicast address IF ROUTE={address presented in black list} AND TO=Multicast Address 1. The Via header field contains stateless server 2. The MESSAGE header contains suspicious word IF VIA={stateless server} AND MESSAGE={suspicious word} Το δεύτερο τμήμα (στοιχείο) ενός κανόνα μιας πολιτικής anti-spit, αποτελούν οι ενέργειες που μπορούν να γίνουν σε περίπτωση που μια ή περισσότερες συνθήκες ικανοποιούνται. Προφανώς, οι ενέργειες αυτές λαμβάνουν χώρα όταν ένα συγκεκριμένο και εκ των προτέρων δηλωθέν στο κανόνα γεγονός (event) πραγματοποιείται, δηλαδή στην περίπτωσή μας, η αποστολή ή/και λήψη ενός μηνύματος SIP και ενώ συγκεκριμένες συνθήκες ικανοποιούνται. Στο πλαίσιο της προτεινόμενης προσέγγισης οι ενέργειες που ορίζονται και θεωρούμε ότι μπορούν να πραγματοποιηθούν είναι οι εξής [SOU08]: Allow: Στη συγκεκριμένη περίπτωση, αναφερόμαστε στην ενέργεια που αφορά την προώθηση του εκάστοτε μηνύματος SIP, από τους ενδιάμεσους πληρεξούσιους εξυπηρετητές, ή στη τελική του λήψη του από τον παραλήπτη του. Block: Στην περίπτωση αυτή, το εκάστοτε μήνυμα απορρίπτεται ενώ ταυτόχρονα ένα μήνυμα απόκρισης αποστέλλεται στον αρχικό αποστολέα που ενημερώνει για τον αποκλεισμό του μηνύματος. Check Further: Η ενέργεια αυτή αφορά την αποστολή ενός μηνύματος στον αποστολέα του αρχικού μηνύματος. Στο εν λόγω μήνυμα, ενσωματώνεται ένας Οικονομικό Πανεπιστήμιο Αθηνών 256

257 τρόπος περαιτέρω ελέγχου του αποστολέα (π.χ. ένα CAPTCHA test), με στόχο να ελεγχθεί αν αυτός αποτελεί ένα νόμιμο ή κακόβουλο χρήστη (spitter). Προφανώς, οι προαναφερόμενες ενέργειες μπορούν εύκολα να επεκταθούν εμπεριέχοντας πιο σύνθετες επιλογές. Στον παρακάτω πίνακα παρουσιάζονται τα παραδείγματα που αναφέρθηκαν στην προηγούμενη ενότητα, στα οποίο οι κανόνες πλέον θεωρούνται πλήρεις, μιας και περιλαμβάνουν και την οριζόμενη ενέργεια [SOU08]. Πίνακας 8.3: Παραδείγματα κανόνων πολιτικής. Συνθήκες και ενέργειες Σενάριο επίθεσης Οριζόμενη συνθήκη Οριζόμενη Ενέργεια The caller s user agent receives a response with a 200 message/code, which includes multiple addresses in Contact field and the value of the From field is equal to one of the values of the Contact The spitter exploits hijacked SIP proxies and sends bulk SPIT messages to an application that is using a multicast channel. The spitter tries to hide her identity by misusing stateless SIP servers and sends her SPIT message by using the header MESSAGE. 1. The message code is There are multiple Contact fields. 3. The equality between the value from the From header field and the value of the Contact header field. IF Code=200 AND Contact=Multiple AND From Contact] 1. The Route header field contains hijacked SIP proxy 2. The To header field contains multicast address IF ROUTE={address presented in black list} AND TO=Multicast Address 1. The Via header field conntais stateless server 2. The MESSAGE header contains suspicious word IF VIA={stateless server} AND MESSAGE={suspicious word} Ενσωμάτωση κανόνων πολιτικής στο μοντέλο ontospit then Block the packet then Block the packet then Block the packet Η υποστήριξη της συμπερασματικής λογικής, δηλαδή η εξαγωγή συμπερασμάτων που παρέχεται μέσω της χρήσης των οντολογιών, αποτελεί το βασικό στοιχείο της προτεινόμενης αρχιτεκτονικής διαχείρισης του φαινομένου SPIT. Πιο συγκεκριμένα, σκοπός μας είναι να ενσωματώσουμε την εκάστοτε οριζόμενη πολιτική, δηλαδή το σύνολο των κανόνων που την απαρτίζουν, στο μοντέλο ontospit. Οι κανόνες αυτοί θα αποτελέσουν βασικούς συμπερασματικούς κανόνες (axioms and rules) της οντολογίας, διευκολύνοντας με αυτόν τον τρόπο τη λήψη αποφάσεων σε ότι αφορά το πώς πρέπει να γίνει χειρισμός του εκάστοτε λαμβανόμενου πακέτου-μηνύματος SIP. Οικονομικό Πανεπιστήμιο Αθηνών 257

258 Επιπρόσθετα, η προτεινόμενη αρχιτεκτονική είναι ιδιαίτερα ευέλικτη για δύο βασικούς λόγους. Ο πρώτος λόγος αφορά το ότι δεν προτείνεται η χρήση κάποιας συγκεκριμένης γλώσσας για την περιγραφή της εκάστοτε υιοθετούμενης πολιτικής. Αυτό που κρίνεται αναγκαίο, είναι να υπάρξει ένας τρόπο αντιστοίχησης και ενσωμάτωσης των κανόνων της πολιτικής εντός του μοντέλου ontospit, έτσι ώστε να διασφαλιστεί η ουσιαστική και χωρίς προβλήματα (π.χ. σύγκρουση επί μέρους κανόνων της πολιτικής) εφαρμογή της πολιτικής. Ο δεύτερος λόγος σχετίζεται με την επεκτασιμότητα της προτεινόμενης προσέγγισης και με το χειρισμό των κανόνων που ενσωματώνει η οντολογία (οι οποίοι είναι και οι κανόνες της πολιτικής). Οι εν λόγω κανόνες, μπορούν να εξελιχθούν δυναμικά και μέσω της ενημέρωσης της οντολογίας από άλλες πηγές πληροφόρησης σε ότι αφορά το φαινόμενο του SPIT. Για παράδειγμα, η συλλογή στατιστικών στοιχείων σε ότι αφορά την αντιμετώπιση επιθέσεων SPIT μπορεί να ανατροφοδοτήσει την οντολογία και η οποία μέσω των κατάλληλων συμπερασματικών μηχανισμών που διαθέτει να ορίσει διαφορετικά την χρονική αλληλουχία εφαρμογής των κανόνων. 8.5 Βασική Πολιτική anti-spit Μια πολιτική anti-spit, όπως έχει ήδη αναφερθεί, περιγράφει και περιέχει το σύνολο των κανόνων η εφαρμογή των οποίων σε ένα VoIP δικτυακό τομέα αποσκοπεί στο να περιορίσει και να αντιμετωπίσει το φαινόμενο SPIT. Ο ορισμός των κανόνων αυτών δεν άπτεται μόνο των επιμέρους ιδιαίτερων χαρακτηριστικών που αφορούν το φαινόμενο SPIT και της εκάστοτε υιοθετούμενης τεχνοδιαμόρφωσης μιας VoIP υποδομής, αλλά συναρτάται και από τις απαιτήσεις και ανάγκες που τίθενται από τους διαχειριστές ενός VoIP συστήματος. Επιπρόσθετα, η εκάστοτε οριζόμενη πολιτική anti-spit δεν πρέπει να αποτελείται από ένα σύνολο στατικών κανόνων, οι οποίοι θα παραμένουν σταθεροί και ίδιοι για μεγάλο χρονικό διάστημα. Οι κανόνες αυτοί, πρέπει να αλλάζουν συχνά και να προσαρμόζονται σε νέες συνθήκες που αφορούν, τόσο τις νέες απαιτήσεις ενός VoIP δικτυακού τομέα, όσο και τις συνθήκες που χαρακτηρίζουν τις επιθέσεις SPIT (λ.χ. νέους τύπους επιθέσεων). Με αυτό τον τρόπο η πολιτική anti-spit καθίσταται ένα δυναμικό, ευμετάβλητο και ευέλικτο σχήμα αντιμετώπισης και διαχείρισης του SPIT το οποίο (θα πρέπει να) ανταποκρίνεται επαρκώς στις συνθήκες λειτουργίας ενός VoIP περιβάλλοντος. Ωστόσο, η ενημέρωση της εκάστοτε οριζόμενης πολιτικής και των επιμέρους κανόνων που την συνθέτουν θα πρέπει να ενσωματωθούν στο μοντέλο ontospit, με βάση το οποίο θα γίνεται η επιβολή των κανόνων (policy enforcement) σε όποιο δικτυακό τομέα υιοθετεί την προτεινόμενη προσέγγιση. Η εισαγωγή των κανόνων μπορεί να γίνεται είτε άμεσα με τη μετατροπή αυτών σε μια αναγνώσιμη από την οντολογία μορφή, είτε με τον απευθείας ορισμό των κανόνων εντός της οντολογίας. Προφανώς, Οικονομικό Πανεπιστήμιο Αθηνών 258

259 η δεύτερη προσέγγιση είναι πιο αποδοτική και χρονικά σύντομη, λόγω του ότι ο εκάστοτε διαχειριστής δεν απαιτείται να γράψει τους κανόνες σε μια μορφή αναγνωρίσιμη από την οντολογία (π.χ. με τη γλώσσα SWRL), αλλά απευθείας με χρήση του οντολογικού μοντέλου επεμβαίνει και θέτει τους εκάστοτε κανόνες που επιθυμεί. Στη συγκεκριμένη ενότητα παρουσιάζεται μια Βασική Πολιτική anti-spit (Baseline anti-spit Policy) η οποία θεωρούμε ότι πρέπει να υιοθετείται από οποιοδήποτε VoIP δικτυακό τομέα που υιοθετεί και υλοποιεί την προτεινόμενη αρχιτεκτονική. Η εν λόγω πολιτική, αποτελείται από ένα σύνολο βασικών κανόνων (συνθήκες και ενέργειες), το οποίο αποσκοπεί στην παροχή ενός αρκετά ικανοποιητικού και αξιόπιστου επιπέδου αντιμετώπισης και διαχείρισης του SPIT. Επιπρόσθετα, το σύνολο των κανόνων αυτών μπορεί να επεκταθεί και ανανεωθεί με πιο σύνθετους (sophisticated) κανόνες, οι οποίοι θα βελτιώνουν τα αποτελέσματα σχετικά με την αντιμετώπιση ενδεχόμενων επιθέσεων SPIT Ορισμός και Επιλογή Κανόνων Βασικής Πολιτικής anti-spit Η έλλειψη πραγματικών περιστατικών επιθέσεων SPIT αποτελεί ένα βασικό μειονέκτημα σε ότι αφορά την καταγραφή των περιπτώσεων εκείνων που θα βοηθήσουν να οριστούν οι βασικοί κανόνες διαχείρισης του SPIT. Με στόχο να περιοριστεί η αδυναμία αυτή θα χρησιμοποιηθεί η αποτίμηση των αδυναμιών που παρουσιάστηκε στην ενότητα 5.6 (Αξιολόγηση και Αποτίμηση Αδυναμιών ), επιλέγοντας από το σύνολο των αδυναμιών, αυτές που κρίνονται πιο σοβαρές και σημαντικές. Πιο συγκεκριμένα, από την αποτίμηση των αδυναμιών, θα επιλεγούν εκείνες κατά τις οποίες ο κίνδυνος SPIT (SPIT Risk), που προκύπτει από την επιτυχή εκμετάλλευσή τους καθίσταται ιδιαίτερα σημαντικός. Όπως είναι ευρύτερα γνωστό, ο κίνδυνος που αντιμετωπίζουν τα εκάστοτε πληροφοριακά και επικοινωνιακά συστήματα εξαρτάται από δύο παράγοντες: α) από την πιθανότητα εκδήλωσης μιας απειλής μέσω της εκμετάλλευσης των συναφών αδυναμιών καθώς και β) από το μέγεθος των επιπτώσεων σε ενδεχόμενη πραγματοποίηση των απειλών αυτών. Κατά αναλογία, λοιπόν, όπως παρουσιάζεται και στην εικόνα παρακάτω, για να οριστούν οι βασικοί κανόνες της πολιτικής λαμβάνονται υπόψη οι αδυναμίες SIP των οποίων η πιθανότητα εκμετάλλευσής τους θεωρείται μεγάλη, ενώ οι συνεπαγόμενες επιπτώσεις είναι ιδιαίτερα σημαντικές. Οικονομικό Πανεπιστήμιο Αθηνών 259

260 Εικόνα 8.4: Επικινδυνότητα φαινομένου SPIT συναρτήσει αδυναμιών και επιπτώσεων Στο σημείο αυτό κρίνεται σκόπιμο να αναφέρουμε ότι η αποτίμηση του κινδύνου εκδήλωσης επιθέσεων SPIT, λόγω έλλειψης πραγματικών περιστατικών SPIT, βασίστηκε σε απαντήσεις που δόθηκαν από έμπειρους μελετητές της VoIP τεχνολογίας καθώς και από παρόχους VoIP υπηρεσιών 1. Τα αναλυτικά αποτελέσματα της αποτίμησης των αδυναμιών όσο και λεπτομέρειες της ακολουθούμενης μεθοδολογίας παρουσιάζονται στην ενότητα 5.6, ενώ στον παρακάτω πίνακα συνοψίζονται οι αδυναμίες των οποίων είτε η πιθανότητα εκμετάλλευσης τους είναι μεγάλη, είτε οι αντίστοιχες επιπτώσεις είναι ιδιαίτερα σημαντικές. Επιπρόσθετα, από το σύνολο των αδυναμιών επιλέγονται μόνο εκείνες που αφορούν το πρωτόκολλο SIP, μιας και οι υπόλοιπες που αφορούν τη συνέργεια του πρωτοκόλλου με άλλα πρωτόκολλα ή τα γενικότερα ζητήματα ασφάλειας θεωρούμε ότι θα αντιμετωπίζονται ικανοποιητικά από την ευρύτερη πολιτική και ελέγχους ασφάλειας που υλοποιούνται στον εκάστοτε VoIP δικτυακό τομέα. Πίνακας 8.4: Σημαντικότερες αδυναμίες πρωτοκόλλου SIP που διευκολύνουν την εκδήλωση SPIT επιθέσεων Αδυναμία Αποστολή συγκεχυμένων μηνυμάτων αιτήσεων στους πληρεξούσιους εξυπηρετητές Αποστολή συγκεχυμένων μηνυμάτων στους εξυπηρετητές επανακατεύθυνσης Πιθανότητα Επίπτωση Επικινδυνότητα High High High High High High Εκμετάλλευση stateless εξυπηρετητών Medium High Medium Μήνυμα αίτησης:: High Medium Medium 1 Χρησιμοποιήθηκε ερωτηματολόγιο το οποίο απαντήθηκε από τους συμμετέχοντες (partners) στο ερευνητικό έργο SPIDER ( μεταξύ των οποίων περιλαμβάνονται και VoIP πάροχοι. Αποτιμήθηκαν από τη μία η πιθανότητα να χρησιμοποιηθεί μια αδυναμία για την εκδήλωση μιας επίθεσης SPIT, και από την άλλη οι επιπτώσεις που συνεπάγεται η ενδεχόμενη εκδήλωση μιας παραβίασης SPIT Οικονομικό Πανεπιστήμιο Αθηνών 260