Test Tool Development Of Secure Real-Time Transport Protocol : With analysis of media signaling methods
Ojala, Jukka (2014)
Ojala, Jukka
Oulun ammattikorkeakoulu
2014
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2014121720296
https://urn.fi/URN:NBN:fi:amk-2014121720296
Tiivistelmä
VoIP-järjestelmien turvallisuuden testaaminen on oleellista yrityksille, jotka tuottavat reaaliaikaista tietoa ja palveluita. Kriittinen infrastruktuuri ja salatut tiedot voivat olla jatkuvassa paljastumisvaarassa. Tämä tieto voi olla vihamielisien hakkereiden laittomassa käytössä. Samaan aikaan kuluttajat liikkuvat tietoverkoissa älypuhelimilla ja muilla henkilökohtaisilla laitteilla. Yksityisellä ja salatulla tiedolla tehtävä kaupankäynti ja siihen rinnastettavat tehtävät ovat jokapäiväistä elämää.
Yritysten merkittävä turvallisuusuhka on löytää olemassa olevat tuntemattomat haavoittuvuudet käytetyistä ohjelmistoista. Tuntemattomat haavoittuvuudet voivat aiheuttaa useita vakavia ongelmia, hyökkäykset, jotka hyödyntävät tietoturva-aukkoja, voivat jatkua huomaamatta (samaan aikaan kun asiakasturvallisuus on paljastumisvaarassa) ja korjausprosessit saattavat olla pitkäkestoisia kun hyökkäys on havaittu. Lisäksi kunnossapito on häiriöaikaa, jolloin asiakaspalvelut eivät ole saatavilla. Luonnollisesti edellinen tila vaurioittaa yrityksen mainetta ja lopulta vaikuttaa yrityksen tulokseen. Tietoturvaan liittyvät viat ovat todennäköisiä alustoilla, jotka käyttävät uutta teknologiaa ja joiden toteutus on päätynyt monimutkaiseksi kokonaisuudeksi. Tietoturvallisuus vaarantuu, jos ohjelmistoversiot julkaistaan testauksen kustannuksella. Myös lisääntyvä määrä haavoittuvuuksia jää hakkeriyhteisöjen salaiseksi tiedoksi. Yritysten täytyy löytää ennaltaehkäiseviä keinoja turvata omat tuotteet ja palvelut, koska vie liian kauan aikaa odottaa toimittajan julkaisuja ohjelmistokorjauksista.
Tässä opinnäytetyössä toteutetaan protokollamalli suojatusta reaaliaikaisesta tietoliikenneprotokollasta (SRTP) käyttäen Codenomicon-testaustyökalualustaa. Tuote voi lähettää aitoja ja epätavallisia protokollaviestejä tietoverkon yli testattavalle sovellukselle. Tätä tekniikkaa (tai testausmetodia) kutsutaan nimellä fuzzing-testaus. Ohjelmiston kelpoisuus voidaan varmistaa sekä tuntemattomat ja nollapäivän haavoittuvuudet voidaan löytää fuzzing-testauksella.
RTP-tieto on tyypillisesti ääntä, kuvaa tai muuta suoratoisto sisältöä. Tieto (tai median suoratoisto) siirretään tavallisesti sulautettuna sisältönä osana jotain muuta tiedonsiirtoprotokollaa. SRTP-testaustyökalu voi hyödyntää toista Codenomiconin testaustyökalua tekemään siirrettävälle medialle signalointineuvottelun kryptograafisesti turvallisella tavalla yhdessä testauskohteen kanssa. Siten yhteysparametreja voidaan käyttää yhteydenmuodostukseen laajemman testauskohteiden valikoiman kanssa ja lähettää SRTP fuzzing-testauksen testitapauksia tietovirtana näille sovelluksille.
Yritysten merkittävä turvallisuusuhka on löytää olemassa olevat tuntemattomat haavoittuvuudet käytetyistä ohjelmistoista. Tuntemattomat haavoittuvuudet voivat aiheuttaa useita vakavia ongelmia, hyökkäykset, jotka hyödyntävät tietoturva-aukkoja, voivat jatkua huomaamatta (samaan aikaan kun asiakasturvallisuus on paljastumisvaarassa) ja korjausprosessit saattavat olla pitkäkestoisia kun hyökkäys on havaittu. Lisäksi kunnossapito on häiriöaikaa, jolloin asiakaspalvelut eivät ole saatavilla. Luonnollisesti edellinen tila vaurioittaa yrityksen mainetta ja lopulta vaikuttaa yrityksen tulokseen. Tietoturvaan liittyvät viat ovat todennäköisiä alustoilla, jotka käyttävät uutta teknologiaa ja joiden toteutus on päätynyt monimutkaiseksi kokonaisuudeksi. Tietoturvallisuus vaarantuu, jos ohjelmistoversiot julkaistaan testauksen kustannuksella. Myös lisääntyvä määrä haavoittuvuuksia jää hakkeriyhteisöjen salaiseksi tiedoksi. Yritysten täytyy löytää ennaltaehkäiseviä keinoja turvata omat tuotteet ja palvelut, koska vie liian kauan aikaa odottaa toimittajan julkaisuja ohjelmistokorjauksista.
Tässä opinnäytetyössä toteutetaan protokollamalli suojatusta reaaliaikaisesta tietoliikenneprotokollasta (SRTP) käyttäen Codenomicon-testaustyökalualustaa. Tuote voi lähettää aitoja ja epätavallisia protokollaviestejä tietoverkon yli testattavalle sovellukselle. Tätä tekniikkaa (tai testausmetodia) kutsutaan nimellä fuzzing-testaus. Ohjelmiston kelpoisuus voidaan varmistaa sekä tuntemattomat ja nollapäivän haavoittuvuudet voidaan löytää fuzzing-testauksella.
RTP-tieto on tyypillisesti ääntä, kuvaa tai muuta suoratoisto sisältöä. Tieto (tai median suoratoisto) siirretään tavallisesti sulautettuna sisältönä osana jotain muuta tiedonsiirtoprotokollaa. SRTP-testaustyökalu voi hyödyntää toista Codenomiconin testaustyökalua tekemään siirrettävälle medialle signalointineuvottelun kryptograafisesti turvallisella tavalla yhdessä testauskohteen kanssa. Siten yhteysparametreja voidaan käyttää yhteydenmuodostukseen laajemman testauskohteiden valikoiman kanssa ja lähettää SRTP fuzzing-testauksen testitapauksia tietovirtana näille sovelluksille.