Protecting user anonymity in VoIP services

Abstract

With the proliferation of high-speed Internet and the latest generations of cellular mobile communications, Session Initiation Protocol (SIP) has become a key component to realizing high-quality multimedia services. Nevertheless, SIP’s inherent lack of security measures renders users vulnerable to a range of passive and active attacks. For instance, SIP message headers are transmitted in the clear, allowing eavesdroppers to observe the communications, possibly recording sensitive information such as the identity of the caller and the called parties. On the other hand, relying on protocols like Transport Layer Security (TLS) to encrypt SIP signaling or a Virtual Private Network (VPN) to achieve anonymity may result in significant delays, reducing the Quality of Service (QoS).SIP is typically used as a signaling protocol for Web Real-Time Communication (WebRTC)-based communication systems. WebRTC also presents certain weaknesses when it comes to the protection of end-user’s privacy. For instance, the users’ IP address can be exposed if a website exploits hidden Interactive Connectivity Establishment (ICE) requests. Specifically, in this case, a website can use WebRTC to make requests to the Session Traversal Utilities for NAT (STUN) and Traversal Using Relays around NAT (TURN) servers, which can eventually reveal the end-users’ IP addresses. Attackers can then capitalize on this information to mount various attacks, including Denial of Service (DoS) or more targeted ones against specific users.The primary contribution of the present Phd thesis concentrates on enhancing the privacy capacity of SIP and WebRTC protocols, offering and evaluating novel solutions towards improving the end-user’s anonymity level. On the one hand, this is done by utilizing the Onion Router (Tor) and I2P anonymity networks as a robust solution towards achieving SIP message obfuscation. This ensures both anonymity and, at a certain degree, confidentiality as the signalling traffic is routed through multiple nodes, enjoying multiple layers of encryption. On the other hand, the thesis explores alternative user anonymity-preserving solutions, including the creation of a custom-tailored, obfuscated, cryptographically-protected application layer scheme to safeguard the privacy and anonymity of the end-users. No less important, we address the privacy shortcomings of WebRTC, i.e., the potential leak of sensitive information to malicious websites. This is done through the implementation of two distinct schemes for inspecting such sites prior to their loading into the end-user’s browser.

Με την εξάπλωση του Διαδικτύου υψηλών ταχυτήτων σε συνδυασμό με τις σύγχρονες γενιές κυψελωτών δικτύων επικοινωνιών, το πρωτόκολλο SIP αποτελεί βασική συνιστώσα για την παροχή προηγμένων πολυμεσικών υπηρεσιών. Ωστόσο, η εγγενής έλλειψη μέτρων ασφαλείας του SIP καθιστά τους τελικούς χρήστες ευάλωτους σε μια πλειάδα παθητικών και ενεργητικών επιθέσεων. Παραδείγματος χάριν, οι επικεφαλίδες των μηνυμάτων SIP μεταδίδονται σε μορφή αρχικού κειμένου (cleartext), επιτρέποντας στους ωτακουστές να παρακολουθούν την επικοινωνία, καταγράφοντας ενδεχομένως ευαίσθητες πληροφορίες, όπως η ταυτότητα των επικοινωνούντων μερών. Από την άλλη πλευρά, η χρήση παραδοσιακών λύσεων όπως το πρωτόκολλο TLS για την κρυπτογραφική εξασφάλιση των μηνυμάτων σηματοδοσίας SIP στο επίπεδο μεταφοράς ή η αξιοποίηση εικονικών ιδιωτικών δικτύων (VPN) για την επίτευξη ανωνυμίας μπορεί να οδηγήσει σε σημαντικές καθυστερήσεις, με αποτέλεσμα τη μείωση του επιπέδου ποιότητας της υπηρεσίας.Επιπλέον, το SIP χρησιμοποιείται συνήθως ως πρωτόκολλο σηματοδοσίας για συστήματα επικοινωνίας που βασίζονται στην τεχνολογία WebRTC. Το WebRTC παρουσιάζει κι αυτό συγκεκριμένες αδυναμίες όσον αφορά στην προστασία της ιδιωτικότητας των τελικών χρηστών. Παραδείγματος χάριν, η διεύθυνση IP των χρηστών μπορεί να εκτεθεί εάν ένας ιστότοπος επιχειρεί να εκτελέσει αιτήματα Interactive Connectivity Establishment (ICE). Συγκεκριμένα, σε αυτήν την περίπτωση, ένας ιστότοπος μπορεί να χρησιμοποιήσει το WebRTC ώστε να υποβάλει αιτήματα προς κάποιον STUN ή TURN εξυπηρετητή, με αποτέλεσμα να αποκαλύπτονται οι διευθύνσεις IP των τελικών χρηστών. Οι επιτιθέμενοι μπορούν στη συνέχεια να αξιοποιήσουν αυτές τις πληροφορίες για να πραγματοποιήσουν διάφορες επιθέσεις, συμπεριλαμβανομένης της άρνησης υπηρεσίας ή άλλων περισσότερο στοχευμένωνεπιθέσεων εναντίον συγκεκριμένων χρηστών.Η βασική συνεισφορά της παρούσας διδακτορικής διατριβής επικεντρώνεται στην ενίσχυση της ιδιωτικότητας των πρωτοκόλλων SIP και WebRTC, εξετάζοντας, προτείνοντας, και αξιολογώντας καινοτόμες λύσεις για τη βελτίωση του επιπέδου ανωνυμίας του τελικού χρήστη. Αρχικά, αυτό πραγματοποιείται αξιοποιώντας τα δίκτυα ανωνυμίας Tor και I2P ως ισχυρές λύσεις για την επίτευξη ανωνυμίας στα δεδομένα της σηματοδοσίας SIP. Η χρήση των παραπάνω δικτύων εξασφαλίζει τόσο την ανωνυμία όσο και, σε κάποιο βαθμό, την εμπιστευτικότητα της πληροφορίας, καθώς η μετάδοση των σχετικών μηνυμάτων δρομολογείται μέσω πολλαπλών κόμβων παρέχοντας ταυτόχρονα πολλαπλά επίπεδα κρυπτογράφησης. Επιπλέον, η παρούσα διατριβή προτείνει και αξιολογεί πειραματικά εναλλακτικές, προσαρμοσμένες στο συγκεκριμένο πρόβλημα, λύσεις, συμπεριλαμβανομένης της δημιουργίας κρυπτογραφικού τούνελ (tunnel) επιπέδου εφαρμογής για τη διασφάλιση της ιδιωτικότητας και της ανωνυμίας των τελικών χρηστών σε επικοινωνίες που βασίζονται στο SIP.Επιπροσθέτως, η διατριβή προτείνει, υλοποιεί, και αξιολογεί λύσεις για τη θεραπεία των προβλημάτων ιδιωτικότητας υπηρεσιών WebRTC, συγκεκριμένα τη διαρροή ευαίσθητων πληροφοριών σε κακόβουλους ιστότοπους. Αυτό επιτυγχάνεται μέσω της εφαρμογής δύο διαφορετικών μεθόδων ελέγχου τέτοιων ιστότοπων πριν από την καταφόρτωση του πηγαίου κώδικά τους στο πρόγραμμα περιήγησης (browser) του τελικού χρήστη.