Cómo detectar señales de VoIP sospechosas

ISo llamado Voice of Internet Protocol o VoIP hace que las llamadas sean más económicas y convenientes, pero también abre un importante problema de seguridad. Varias personas han descrito cómo podría ser posible conectar señales de VoIP para enviar información confidencial.





Estos servicios descomponen las señales de voz en paquetes digitales y las envían a través de Internet, exactamente de la misma manera que el correo electrónico o el tráfico web. Un ataque tan malicioso podría implicar escanear su computadora en busca de datos interesantes y enviarlos a un tercero cada vez que realice una llamada VoIP modificando estos paquetes de alguna manera.

Pero, ¿qué tan fácil es incrustar datos en una transmisión de VoIP sin que nadie se dé cuenta? En teoría, debería ser fácil de responder. Después de todo, los protocolos utilizados para enviar información son bien conocidos. Seguramente debería ser fácil ver si se han agregado datos adicionales.

En realidad no. Una forma de incrustar datos es cambiar el orden en el que se envían los paquetes según un código. Un receptor malintencionado puede recuperar los datos incrustados al monitorear y reordenar los paquetes sin que el oyente se dé cuenta. Una simple medida de la velocidad de datos no detectaría tal esquema.



Luego está la técnica de retrasar deliberadamente ciertos paquetes llenos de información secreta, una técnica llamada esteganografía de paquetes de audio perdidos o LACK. Los retrasos son comunes en Internet y los receptores los tratan simplemente ignorando las llegadas tardías. Sin embargo, un receptor equipado adecuadamente podría extraer cualquier información confidencial oculta en estos paquetes retrasados.

La única forma de detectar estos ataques es comparar el tráfico con las señales normales y ver en qué se diferencia. Pero, ¿cómo es el tráfico ordinario?

Hoy, Wojciech Mazurczyk y sus amigos de la Universidad Tecnológica de Varsovia en Polonia publican su estudio de las características de 100 llamadas VoIP ordinarias realizadas entre Varsovia y Cambridge en el Reino Unido, una distancia de unos 1800 km. Su idea es caracterizar los datos de llamadas ordinarios para que los ataques esteganográficos se puedan detectar fácilmente.



Su estudio arroja algunas sorpresas. Resulta que los paquetes normalmente nunca se reordenan de una manera que pueda usarse para ocultar datos. Entonces, este tipo de ataque sería fácil de detectar.

Sin embargo, los paquetes de datos se pierden habitualmente, por lo que es difícil distinguirlos de aquellos que son retrasados ​​deliberadamente por un atacante malintencionado.

Entonces, si bien VoIP puede ser más barato y más fácil que otras formas de llamadas de voz, también puede ser menos seguro. Mazurczyk y compañía dicen que se necesitan más datos para estudiar las características naturales de VoIp en una gama más amplia de condiciones. Pero por el momento, parece que LACK es una amenaza real.



Ref: arxiv.org/abs/1002.4303 : ¿Qué son los retrasos sospechosos de VoIP?

esconder