• Thứ Tư, 10/08/2011 17:50 (GMT+7)

    VoIP: nền tảng “lý tưởng” cho mạng máy tính ma

    PHT
    Những kẻ điều hành mạng máy tính ma (Botmaster) có thể kích hoạt máy tính zombie (PC đã bị tin tặc kiểm soát) từ một trạm điện thoại công cộng, hoặc điện thoại BlackBerry.

    Tại Hội nghị bảo mật Defcon lần thứ 19, mới được tổ chức ở Mỹ, các nhà nghiên cứu đã trình diễn kỹ thuật sử dụng tín hiệu điện thoại tone (DTMF) để tạo sự giao tiếp giữa một mạng máy tính ma (Botnet) với kẻ điều hành nhằm truyền đi dữ liệu một cách bất hợp pháp.

    Hai nhà nghiên cứu Itzik Kotler và Iftach Ian Amit của hãng bảo mật và đánh giá rủi ro Security Art cho biết, kỹ thuật cho phép các botmaster, những kẻ luôn tìm cách ẩn danh, ra lệnh từ một trạm điện thoại công cộng bất kỳ hay với các thiết bị cầm tay có sẵn.

    Việc sử dụng điện thoại và các mạng điện thoại công cộng loại bỏ được một trong những công cụ chính để ra lệnh cho máy tính ma: không cần tới máy chủ ra lệnh và kiểm soát của botnet, các nhà nghiên cứu nói. Nếu botmaster không sử dụng một máy chủ ra lệnh và kiểm soát, nó không thể bị phát hiện.

    Trong thực tế, chỉ với một kết nối Internet, botmaster có thể giao tiếp với toàn bộ các máy tính zombie nằm trong cùng một mạng công ty. Vì vậy, ngay cả khi một mạng VoIP của công ty nạn nhân đã được cách li với mạng dữ liệu, vẫn có một kết nối với thế giới bên ngoài.

    Thủ đoạn lợi dụng VoIP cho phép sử dụng công nghệ để dễ dàng xuyên qua tường lửa của mạng công ty và lưu lượng truyền như vậy sẽ qua mặt phần mềm phòng chống mất mát dữ liệu. Thông tin truyền đi là âm thanh, nên các bộ quét phòng chống mất mát dữ liệu không thể phát hiện những hình thức dữ liệu cần phải lọc, các nhà nghiên cứu cho biết.

    Những hạn chế của VoIP như là một kênh lệnh giới hạn một lượng máy tính zombie có thể liên lạc cùng một lúc, và tốc độ gửi dữ liệu đánh cắp ra khỏi một mạng công ty bị hạn chế bởi hệ thống điện thoại. Nhưng Kotler và Amit cho biết có rất nhiều kết nối để gửi lệnh.

    Trong phần trình diễn của họ tại hội nghị, hai nhà nghiên cứu này đã dùng giải pháp IP PBX sử dụng phần mềm mã nguồn mở Asterisk thay cho tổng đài PBX truyền thống của công ty. Một máy ảo đại diện cho một máy tính zombie trên mạng công ty đã gọi tới tổng đài IP PBX, thông qua giao thức TCP/IP, tham gia vào một hội nghị qua điện thoại của công ty. Một điện thoại BlackBerry, đại diện cho botmaster thực hiện cuộc gọi qua mạng điện thoại công cộng vào cùng hội nghị qua điện thoại này.

    Các nhà nghiên cứu sau đó sử dụng phần mềm mã nguồn mở Moshi Moshi để botmaster giao tiếp với máy tính zombie bằng điện thoại. Moshi Moshi bao gồm một bộ dịch có thể chuyển đổi các lệnh thành tín hiệu thoại DTMF, và chuyển đổi dữ liệu bị đánh cắp từ văn bản thành tiếng nói ở đầu ra. Kết quả lưu lượng thoại được chuyển vào hộp thư thoại của botmaster.

    Phần phức tạp là ở cấu hình tổng đài PBX để cho phép các tín hiệu thoại DTMF đi qua và tham gia vào hội nghị. Thêm nữa, botmaster phải tạo ra một ngôn ngữ dựa trên DTMF để các máy tính zombie có thể hiểu được.

    Các nhà nghiên cứu nói rằng cuộc trình diễn của họ chỉ đơn thuần là bằng chứng để đưa ra cảnh báo, và nếu được phát triển lên thì sẽ có thể hoạt động tốt hơn. Ví dụ, kết hợp công nghệ modem vào có thể dẫn đến tốc độ lọc nhanh hơn việc gửi thư thoại phát sinh từ giọng nói.

    Để bảo vệ chống lại kiểu lợi dụng VoIP, Kotler và Amit đưa ra khuyến nghị nên tách VoIP ra khỏi mạng công ty hoàn toàn để ngăn chặn những máy tính zombie tham gia vào các cuộc hội nghị qua điện thoại. Hai nhà nghiên cứu đề nghị giám sát hoạt động của hệ thống VoIP để phát hiện việc sử dụng trái phép các cuộc hội nghị qua điện thoại sau giờ làm việc. Và họ nói rằng những cuộc hội nghị qua điện thoại nên được đưa vào “danh sách trắng” - chỉ cho phép truy cập từ các địa chỉ IP và những số điện thoại được cấp quyền.

    Từ khóa: bảo mật, botnet, voip, zombie
    Nguồn: Network World, 9/8/2011