• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP
 

O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP

on

  • 1,267 views

Apresentação da Dissertação de Mestrado - Realizada em 30/08/2011 - UFPE - CIN - 2011.

Apresentação da Dissertação de Mestrado - Realizada em 30/08/2011 - UFPE - CIN - 2011.
Tema: O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP

Statistics

Views

Total Views
1,267
Views on SlideShare
1,143
Embed Views
124

Actions

Likes
0
Downloads
7
Comments
0

2 Embeds 124

http://www.madeira.eng.br 107
http://madeira.eng.br 17

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP Presentation Transcript

    • O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP Frederico Tiago Tavares Madeira fttm@cin.ufpe.br Orientador: Prof. Dr. Ruy J. Guerra B. de Queiroz Agosto/2011 2 / 39
    • Roteiro• Introdução• Spam X Spit• Contextualização e Apresentação do Problema• Motivação• Objetivos• Contexto da Observação• Técnicas de combate ao SPIT• Ferramenta Proposta• Análise da Sinalização• Resultados• Considerações Finais 3 / 39
    • Introdução• Spam é o termo usado para referir-se aos e- mails não solicitados, que geralmente são enviados para um grande número de pessoas• SPIT (SPAM over Internet Telephony) e é definida como geração automatizada de chamadas não solicitadas utilizando como transporte o IP através do VoIP ao invés das tradicionais linhas telefônicas 4 / 39
    • Introdução• O potencial do SPIT em reduzir a produtividade é muito maior do que a do SPAM, porque no SPIT a utilização de tempo de uma pessoa já é ocupada no momento em que o telefone começa a tocar• Características do SPIT são diferentes do SPAM, não podemos aplicar as mesmas técnicas usadas no SPAM em ataques do tipo SPIT.• É proposto neste trabalho uma ferramenta para identificar e proteger uma rede VoIP contra ataques de SPIT. 5 / 39
    • Spam X Spit SPAM SPITUsuário pode ordenar ou filtrar a VoIP é um protocolo de tempo real, emensagem baseando-se no conteúdo não permite ao recebedor daou cabeçalhos da mensagem chamada ter acesso ao conteúdo da chamada antes que ela seja aceitaO e-mail é entregue de forma A vítima é interrompidaassíncrona, ou seja, o usuário decide instantaneamente com o toque doquando quer receber/acessar suas telefone.mensagens.Spammer não sabe com certeza se sua Uma chamada com sucesso, garantemensagem será recebida ou não pela que o usuário existe, que estávítima. atualmente online, e é bem provável que ele receba a chamada. 6 / 39
    • Contextualização eApresentação do Problema VoIP é uma tecnologia extremamente emergente VoIP oferece chamadas telefônicas a baixo custo VoIP permite customização de mensagens (protocolo) VoIP permite a realização de chamadas a partir de qualquer local do globo SPIT (Spam over Internet Telephony) é uma ameaça em potencial 7 / 39
    • Motivação• Ocorrência de alguns casos de SPIT realizados por grandes empresas Segundo reportagem intitulada , “Four reasons why Vonage IPOs email and phone pitch is the wrong strategy” do portal ZDNET publicada em 18 de dezembro de 2006, a Vonage enviou mensagens de voz para seus assinantes apresentando sua oferta inicial de ações na bolsa 8 / 39
    • Motivação• Aumento do volume de SPAM detectado pelo Cert.BR. É esperado uma ameaça semelhante nas redes VoIP. 9 / 39
    • Objetivos Geral – Análise de técnicas para mitigação de ataques do tipo SPIT. Específicos – Implementação de um CAPTCHA de Áudio, baseado nos Testes Reversos de Turing, em um PABX IP – Identificar e integrar as principais técnicas de mitigação/detecção a ferramenta proposta – Analisar o desempenho do PABX IP, rodando a ferramenta proposta e estando sujeito a um ataque – Análise e construção de Testes de Turing 10 / 39
    • Contexto da Observação• Esta pesquisa considerou quatro critérios a serem observados na implementação da ferramenta proposta – Trazer incômodo ao usuário até forçá-lo a desativar seu recurso de comunicação; – Realização de ataques de DoS a uma rede VoIP até que a mesma fique indisponível; – Exaustão de recursos da rede: CPU, Memória, Aplicações e Disponibilidade de Banda; – Degradação da qualidade dos serviços de uma rede VoIP 11 / 39
    • Técnicas• FINGERPRINT  Observação do conjunto de Headers das mensagens SIP  Classificada em: • Passiva: Observação da mensagem INVITE • Ativa: Envio de mensagens para o User Agent que inicio a sessão, por exemplo mensagem SIP OPTIONS  Banco de dados de devices  Comparação do fingerprint da mensagem recebida com as existentes no banco de dados  Desvantagens • Atacante pode forjar um fingerprint válido • Enorme variedade de VoIP user agents disponível • Geração de fingerprints de acordo com versões de firmware de um mesmo user agent, 12 / 39
    • Técnicas• LISTAS DE ACESSO  Proxy server mantém listas de números de telefones ou URI que possuem tratamento diferenciado  Podem ser locais ou distribuídas  Necessita de métodos adicionais para classificação da originador  Classificadas como: • White List  listas de números/URI permitidos/confiáveis • Black List  listas de números/URI não confiáveis • Grey List  listas de números/URI em observação  Desvantagem  Sujeita a ataque de SIP Identity Spoofing 13 / 39
    • Técnicas• REPUTATION SYSTEM  Basicamente é um sistema de pontuação;  O usuário irá pontuar uma chamada recebida, construindo a reputação do originador  Dependendo da pontuação obtida, o originador será classificado como SPIT e será cadastrado na black list.  CallRank é um sistema de reputação baseado na duração de uma chamada • usuários normais: • comumente fazem e recebem chamadas • chamadas possuem duração significativa • Spitter • Apenas realizam chamadas, sendo estas em volume considerado • chamadas de curta duração (obedecendo um padrão)  Desvantagem • Atacante pode usar dicersas contas VoIP sendo necessário nova qualificação 14 / 39
    • Técnicas• CAPTCHA de Áudio  Ao receber uma chamada, o originador é direcionado a uma mensagem de Áudio  Teste audível, como exemplo, “Digite os números a seguir: 10 20 23 7 12”  Se o teste for respondido OK, o originador será inserido na white list  Atributos • Vocabulário • Ruído de fundo • Tempo  Desvantagem: • Existência de ferramentas capazes de quebrar estes CAPTCHAS • HTK speech recognition toolkit / Vorm • Audio CAPTCHAS do Google e Microsoft já quebrados 15 / 39
    • Técnicas• TESTE DE TURING  Teste para validar a capacidade de um computador em executar um diálogo como se fosse um humano  Um humano atua como juiz,  O Juiz entra em uma conversa com outras duas partes, um outro humano e o outro sendo uma máquina. Se o juiz não conseguir com certeza dizer quem é quem durante o diálogo, a máquina passou no teste. 16 / 39
    • Técnicas• TESTE REVERSO DE TURING  O juiz é um computador ao invés de um humano  Seu papel é o de distinguir se o originador de uma chamada é uma máquina ou se é um humano  Automatização do Teste de Turing  Testes de Turing são formatados em Captchas de Aúdio e apresentados ao originador de uma chamada  Os testes são facilmente resolvidos por humanos e dificilmente resolvidos por máquinas  Desvantagem:  Sujeito CAPTCHA Relay Attack 17 / 39
    • Ferramenta Proposta Implementa o conjunto das técnicas mais eficazes encontradas em revisão biblográfica: • CAPTCHA de Áudio • Teste Reverso de Turing • Listas de Acesso A dificuldade para um software automatizado em responder aos testes não está no processo de reconhecimento de palavras do teste e sim no entendimento do que está sendo questionado Os testes são de fácil compreensão e entendimento para humanos, mas dificeis computacionalmente para uma máquina 18 / 39
    • Ferramenta Proposta Exemplo dos Testes criados:• Peter possui 5 anos, Mary possui 7. Quem é mais velho ?• No café da manhã eu tomo leite, no jantar suco. Qual foi a bebida que tomei hoje de manhã ?• Mike possui cabelos castanhos, Peter possui os olhos da mesma cor. Qual a cor dos olhos de Peter ?• Peter ficou em casa hoje de manhã, Mary foi para a escola. Quem perdeu aula hoje ?• Lee possui 6 canetas, deu 3 para Rose, quantas restaram ? 19 / 39
    • Ferramenta PropostaModelo de Funcionamento 20 / 39
    • Sinalização de uma chamada Importante etapa do processo de inicialização de uma chamada telefônica Nesta fase são negociados recursos a serem alocados durante a chamada Define o inicio da tarifação de uma chamada • Após recebimento da mensagem SIP 200 OK Em VoIP, a sinalização é feita via protocolo SIP, definido pela RFC 3261 21 / 39
    • Análise da SinalizaçãoCall Flow SIP Padrão 22 / 39
    • Análise da SinalizaçãoEm [Soupionis, Tountas & Gritzalis, 2009] foi encontrada a sugestãode implementação do CAPTHCA de áudio abaixo: 23 / 39
    • Análise da SinalizaçãoEm [Wang, 2007] foi encontrada asugestão de implementação doCAPTCHA de áudio ao lado:Tarifação é iniciada antes do enviodo CAPTCHA de Áudio É gerado um custo para a geraçãodo SPIT 24 / 39
    • Análise da SinalizaçãoNeste trabalho foi implementado uma variação dos dois modelos encontrados • O CAPTCHA é apresentado pelo servidor; • A mensagem INVITE só é enviada ao cliente após resposta correta ao CAPTCHA pelo UA1Tarifação é iniciada antes do envio do CAPTHCA de Áudio É gerado um custo para a geração do SPIT 25 / 39
    • Sinalização Implementada Call Flow SIP Padrão Proxy Server UA1 UA2Para respostas certas ao CAPTCHA -Inicialização da sessão pelo UA1 -Envio do CAPTCHA pelo proxy para o UA1 - Resposta ao CAPTCHA OK - A chamada é encaminhada para o UA2 - A chamada e encerrada 26 / 39
    • Sinalização Implementada Call Flow SIP Padrão Proxy Server UA1 Para respostas erradas ao CAPTCHA-Inicialização da sessão pelo UA1-Envio do CAPTCHA pelo proxypara o UA1-Com a resposta errada aoCAPTCHA, o servidor envia umBYE para desconectar a chamada 27 / 39
    • Sinalização Implementada Call Flow SIP Padrão Proxy Server UA1 Para originador presente na blacklist-Inicialização da sessão pelo UA1-Como o UA1 está na blacklist, achamada é desconectadaimediatamente- A desconexão ocorrer em menosde 1s. 28 / 39
    • Implementação Proteção implementada server Side Sistema rodando em um servidor Linux Centos 5.5 Implementado sobre um servidor proxy Asterisk Interface de programação AGI + scripts PHP As listas de acesso foram implementadas e armazenadas em um banco de dados Mysql. 29 / 39
    • Resultados• Metodologia dos Testes realizados – Utilização de um software de testes de performance do protocolo SIP, chamado SIPp – Este software permite a manipulação das requisições SIP e configuração da frequência do envio destas requisições – Formatadas mensagens de inicialização de uma sessão VoIP via mensagem SIP INVITE – O proxy ao receber estas mensagens, analizava a URI e decide se apresenta o CAPTCHA de áudio desenvolvido ou se aceita/rejeita direto a chamada – Para realização da análise do servidor proxy, foram usadas ferramentas unix como top, iftop e cacti. 30 / 39
    • Resultados 31 / 39
    • Resultados• Dados Coletados: 50 cps e 300 cps 50 cps 300 cps Sem Com Sem Com Variável Observada proteção Proteção Delta proteção Proteção Delta CPU do servidor 4,40% 71,30% 15,20 47,80% 71,60% 0,50 Utilização de CPU pelo processo Asterisk 9,90% 16,90% 0,71 117,90% 12,90% -0,89 Utilização de Memória pelo processo Asterisk * 7,10% 3,40% -0,52 19,90% 4,10% -0,79 Incomodou o usuário Sim Não Sim Não Banda de Upload utilizada (Mb)** 2,05 0,974 -0,52 8,24 1,04 -0,87 Banda de Dow nload utilizada ** 0,9 1,27 0,41 7,73 8,14 0,05 Load Average 2,85 11,27 2,95 3,02 15,83 4,24 * A memória do servidor é de 2Gb ** A banda de Upload e Download tem como referência o servidor 32 / 39
    • Resultados• Dados Coletados: 500 cps e 750 cps 500 cps 750 cps Sem Com Sem Com Variável Observada proteção Proteção Delta proteção Proteção Delta CPU do servidor 49,30% 67,30% 0,37 46,00% 72,30% 0,57 Utilização de CPU pelo processo Asterisk 122,10% 18,90% -0,85 120,20% 15,90% -0,87 Utilização de Memória pelo processo Asterisk * 25,10% 4,10% -0,84 26,30% 4,20% -0,84 Incomodou o usuário Sim Não Sim Não Banda de Upload utilizada (Mb)** 8,78 1,04 -0,88 9,03 1,11 -0,88 Banda de Download utilizada ** 14,1 13,50 -0,04 21 20,50 -0,02 Load Average 3,92 25,87 5,60 3,05 16,30 4,34 * A memória do servidor é de 2Gb ** A banda de Upload e Download tem como referência o servidor 33 / 39
    • Considerações Finais 34 / 39
    • Considerações Finais• Contribuições – Consolidação das técnicas mais relevantes no combate ao SPIT levantadas e estudadas em outros trabalhos da comunidade acadêmica – Combinação de práticas de defesa contra ataques de SPIT – Criação de Áudio Captchas beseados nos Testes de Turing – Avaliação da aplicação destas técnicas em um servidor real utilizado pelo mercado – Identificação de pontos positivos e negativos da implementação• Limitações – Não foi localizada ferramenta dotada de capacidade para resolver os testes de turing formatados nos CAPTCHAS de áudio desenvolvidos – Outras soluções de PABX IP não possuem API abertas, sendo necessárias alterações diretamente no código fonte para implementar a ferramenta proposta 35 / 39
    • Considerações Finais• Trabalhos Futuros • Implementação da ferramenta proposta outras linguagens como C, perl ou phyton, visto que a linguagem PHP apresenta algumas limitações de performance no tratamento de multi-thread • Utilização desta metodologia em outros servidores proxy open source como o OpenSIPS, SER, SipX entre outros. • Implementação da blacklist baseada em arquivo texto • Implementação da blacklist carregada em cache/memória • Execução de pesquisas comportamentais a fim de identificar e entender como seria o comportamento das pessoas, quando ao realizar uma chamada telefônica sejam submetidas a um CAPTCHA de áudio baseado nos Testes de Turing 36 / 39
    • O Uso de Captchas de Áudio no Combate ao spam em Telefonia IP OBRIGADO! Frederico Tiago Tavares Madeira fttm@cin.ufpe.br Orientador: Prof. Dr. Ruy J. Guerra B. de Queiroz 37 / 39