Countermeasure

# Countermeasure ###### tags: `計劃書` :::info **Note** [主被動攻擊區分方式](https://www.geeksforgeeks.org/active-and-passive-attacks-in-information-security/) 論文 PRACTICAL ATTACKS ON VOLTE AND VOWIFI 之攻擊偏向 IMS 爲目標。 ::: # 被動式攻擊 ## 中間人攻擊因 ARP 協定設計未納入驗證機制，發送ARP請求到TCP/IP網路上查詢對應實體位址，任何人都可以回復 ARP 訊息。而攻擊者可利用僞造 ARP 回應，讓網域上特定主機的 IP 位址對應到自己電腦的實體位址，如此，將讓用戶訊息經過攻擊者的網路接口，所有要傳送給特定主機的資訊，都將先送至攻擊者的電腦，隨後即能從事監聽或篡改等行徑，如此稱為 MITM 攻擊。經過論文[^The_Dark_Side_of_Operational_Wi-Fi_Calling_Services]實驗，WiFi 網路極度容易遭受 ARP spoofing 攻擊，所有受測 AP 都能成功受到影響。 **論文 The Dark Side of Operational Wi-Fi Calling Services** + 監督 WiFi calling 訊號品質，來辨識當前的連線是否具有潛在威脅，如有測出，則提醒使用者更換 AP 或自動切換蜂巢網路。 + [更新 ANDSF 與 RAN 標準來排除惡意 WiFi 網路。](http://www.freepatentsonline.com/y2015/0271705.html) **論文 Man-in-the-Middle Attack on T-Mobile Wi-Fi Callincertificate** 將電腦IP位址與MAC位址的對應資料手動加入快取當中並設成靜態ARP資料，此方法可防止攻擊者利用ARP請求／回覆訊息來汙染快取 :::success **疑慮** 1. 萬一通話前已連上線惡意 AP，若 AP 在進行如中間人攻擊、旁道攻擊等方法，要從 WiFi 訊號品質中檢測而出相對困難。封包轉送路徑之中的惡意 AP 難以辨識，尤其又需應用在即時語音服務上，目前並無全面且有效率的方法來檢查所有攻擊。*不確定* 2. 靜態映射方法並不適合大型公司或大規模機構實施，因為每個裝置都需要手動設定，寫死 IP 對應 MAC 位址也讓網路失去彈性。 ::: **論文 PRACTICAL ATTACKS ON VOLTE AND VOWIFI** 除此之外，也可取得於 SIM 卡中嵌入的 ISIM 模組生成之 IPSec 金鑰，以此金鑰能夠解碼篡改 SIP 封包，論文中成功送出位置不正確的 SIP 封包，並且對方用戶也成功收到一樣的篡改封包。SIP 標頭注入攻擊允許攻擊者實現欺騙(Spoofing)、位置修改和旁道攻擊，影響用戶通訊封包的保密性。 ## 監聽 **論文 The Dark Side of Operational Wi-Fi Calling Services** VoWiFi 服務在 UE 與 ePDG(Edge Packet Data Gateway) 之間使用IPsec溝通，是目前唯一一個使用該協定的服務，只要觸及 UE 到 ePDG 中的任一路由器，掃描流經的所有封包都能明確的分離出該服務的流量，包括離使用者最近、最具不確定性的WiFi AP。因此能根據 VoWiFi 服務事件不同，得以藉由分析封包的長度，瞭解雙邊使用者正處於使用電話服務中的那個狀態（如:撥號、響鈴、接通、掛斷），此舉泄漏了使用者的隱私。 **解決辦法** IPsec封包容易辨識的問題無法解決，但可以使用VPN tunnel來加以包裝，讓VoWiFi服務流量與其他常見的服務流量融合，難以辨識。 :::success **疑慮** 以 VPN 連線造成的網路延遲會根據 VPN Server 與用戶所在位置的距離遠近，而有不同程度的影響，以臺灣為例，目前在臺灣的免費 VPN Server 於網路上公開的僅有一臺，其他大部分 Server 都建置於海外國家如日本、韓國、東南亞等等，以這樣的分佈來看，要在臺灣使用 VPN 來確保資訊安全，算是難以實踐。就算使用付費 VPN 服務來達成目的，當前四家電信商也尚未於 VoWiFi 相關頁面提供 VPN 服務支援說明，可見方法本意良好，但難以實現。 ::: **論文 PRACTICAL ATTACKS ON VOLTE AND VOWIFI** 監聽 VoLTE/VoWiFi 介面並且成功識別 IMS 的相關資訊。以一臺支援 VoWiFi 服務的 UE 經過改造來蒐集 VoWiFi 封包，爾後使用 Wireshark 與 Gcrypt 來解碼獲得 SIP 與 TCP 封包。經過分析發現， SIP 封包中含有 IMEI 明文， IMEI 爲個別行動裝置的唯一標識數字，用於識別裝置，被放在未具驗證性的通訊階段。 --- # 主動式攻擊 ## 惡意丟包 **論文 The Dark Side of Operational Wi-Fi Calling Services** 下圖爲完整 WiFi 通話的建立至結束，UE 與 ePDG 之間的封包交換。惡意攻擊者首先利用ANDSF 與 RAN 標準的網路選擇演算法或 ARP Spoofing ，讓自己進入目標 UE 與 ePDG 的網路通訊路徑之中，透過丟棄不同類型的封包，對於進行中的 WiFi 通話會有不同程度的影響。經過論文測試，發現 VoWiFi 針對封包的除錯設計並不完善，期中攻擊有三種影響最爲顯著：當惡意 AP 過濾 `183 Session Progress` 以及 `180 Ringing` 封包時，播話者將不斷重發新會話至收話者，而收話者無法回應，只會不停看到發話者的重複來電，造成惱人來電攻擊(Annoying-Incoming-Call Attack)。惡意 AP 若擋下 `200 OK` 封包，該封包用於收話者回應發話者建立通話，也將導致發話者裝置陷入無窮等待迴圈，此時，手機將卡在通話畫面伴隨着煩人的鈴響聲，爲殭屍通話攻擊(Zombie-Call Attack)。最後，於通話建立後丟棄所有語音封包，將使雙方都聽不到彼此的聲音，雖然是最簡單直覺的攻擊，但若不停地遭受此等攻擊，用戶身心受到影響是可預見的。 ## 阻斷服務 **論文 The Dark Side of Operational Wi-Fi Calling Services** 提出相關應用： 1. Telephony Denial-of-Voice-Service Attack **論文：Telephony Denial of Service Defense at Data Plane** [SIP 協議](https://en.wikipedia.org/wiki/Session_Initiation_Protocol)使用狀態機來建立和終止SIP會話，一個有效適當的SIP會話將包含一對 INVITE-and-BYE 封包。根據 [RFC](https://zh.wikipedia.org/wiki/RFC) 3665 或 Best Current Practice 75 ，成功的會話建立如圖表所示[^RFC_3665][^BPC_75]，其中呼叫者發送 INVITE 數據包進而啟動會話，而被呼叫者通過發送BYE數據包來結束會話。而 Telephony DoS 攻擊，即是針對特定單一目標，控制多個或單一電腦來發送出大量 INVITE 封包，使得目標的網路頻寬被占滿、或目標電腦疲於應付 INVITE 封包，導致其正常服務失效。 > *需補充 SIP 會話建立流程圖表* [SDN](https://en.wikipedia.org/wiki/Software-defined_networking)為通過可編程控制和數據層面進行聯網提供了新的示範。此級別的可編程性提供了 SIP 安全研究人員以前無法使用的一組新功能。考慮到電話服務是對時間敏感的應用程式，因此在處理實時數據包時有必要使延遲最小化。我們建議直接在數據層面中實現 TDoS 檢測緩解功能。當數據層面是可編程的時，即可以在 SIP 協議層對每個單個封包執行深度檢查，以驗證特定 SIP 會話是否正偏離正常 SIP 狀態機協議。每個交換器端口都不能超過為該端口預先設置的活動會話限制。當端口收到INVITE封包，且未從同一端口發送BYE封包時，則認為SIP會話處於活動狀態。換句話說，該演算法對未完成的INVITE封包加以限制，超過此限制，後續的INVITE封包將被丟棄，且無法建立SIP會話。參考這個機制，應用在抵禦 VoWiFi 通話中封包的重放攻擊。 :::success **疑慮** 為端口加上限制似乎是一個完美的解決辦法，然而實作這樣的方法，面對大量流入的 INVITE 封包也可能反而造成一種狀況，成為阻擋角色的 AP 有網路頻寬占滿、處理器處理不及等導致明顯的耗電量升高或當機等傷害，理論上，這樣也會使發動 DoS 攻擊所需的連線數上升，攻擊成本升高正代表者安全性也跟著提高，實際效益還需經過實驗確認。或其實原論文已經做過實驗，等論文趕來之後修正。 ::: ## 邪惡雙子攻擊 **論文 Man-in-the-Middle Attack on T-Mobile Wi-Fi Callincertificate** 攻擊者經過監聽等被動式攻擊，得知相關 VoWiFi 網路資訊，那麼可以實作邪惡雙子攻擊(Evil twin attack)，模仿合法網路並誘騙用戶與他們連接，誘騙的方法有藉 ANDSF 與 RAN 標準的網路選擇演算法，讓用戶連入不安全的網路之中，或也有藉 ARP Spoofing 切換用戶網路於無形的方法。 --- # 排除不安全 WiFi AP **論文 The Dark Side of Operational Wi-Fi Calling Services** + Manual mode 由使用者自行選擇連線之WiFi AP + Automatic mode 使用 [ANDSF(Access Network Discovery and Selection Function)](https://bit.ly/2SFRqcf)