1. Блог НАГ
Заметки пользователей
19.05.2014 17:20
16084
14
19.05.2014 17:20
PDF
16084
14

Взлом VoIP. История про то, как Фома провайдеру платил.

Взлом VoIP. История про то, как Фома провайдеру платил.

Аудит системы Asterisk, проверка безопасности.

В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии.

Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании.

Между тем статистика атак на VoIP в последние годы устрашает.

Знакомьтесь – это Фома. 

Взлом VoIP. История про то, как Фома провайдеру платил.

Фома – cистемный администратор филиальной компании.  Ёмкость АТС закончилась, функций не хватало, требовалось расширение до call-центра. Было решено поставить Open Source платформу Asterisk и получить корпоративную IP-телефонию бесплатно.

Руководство одобрило идею, процесс пошел. Несколько месяцев «упорных сражений» и новая АТС была запущена. Вот она сладкая победа. Понятный веб интерфейс, голосовое самообслуживание клиентов, статистика звонков и еще много полезных «фич».

Все шло прекрасно, пока не грянул гром среди ясного неба.

Сервер Фомы был взломан, а с его номеров звонки шли на Кубу и в другие экзотические страны. Узнал об этом Фома от своего провайдера связи в довольно неприятной форме – в счете была сумма, превышающая обычный бюджет в 30 раз! В итоге 0 рублей за АТС и 180 000 рублей за «услуги связи».

От провайдера наш герой узнал, что ошибки никакой нет и все звонки заказаны с его номеров – тут Фома и понял, что сервер был взломан, но было уже поздно: в логах не было даже и намека про загрузку и звонки, а шлюз звонил в Гондурас, Зимбабве, Афганистан и т.д. по «черным» «сомалийским» делам. Шлюз работал через внешний IP, подключение к шлюзу было закрыто паролем, но смена паролей не мешала воровать телефонный трафик.

Взлом VoIP. История про то, как Фома провайдеру платил.

Провайдер оказал сервис ненавязчивый – заблокировал номера и требовал оплаты большого долга. Такая ситуация не означает неминуемой расплаты за свою беспечность, выход есть.

Что делать если вас взломали?

Коллеги, здесь все предельно просто. При возникновении, подобной ситуации, абонент обращается письменно к оператору с просьбой указать причину блокировки, добивается письменного ответа, в котором указывается причина по которой оператор заблокировал телефоны.

Далее абонент запрашивает распечатку детализации звонков, заверенную печатями и подписями оператора. После направляет оператору заявление, в котором говорит о том, что третьими неизвестными лицами произошел не санкционированный доступ к оборудованию, что фактически он (абонент) данных услуг не потреблял и т.д.

Далее абонент должен обратиться в полицию с соответствующим заявлением, обычно эти дела, сразу направляются в отдел К. На основании заявления, полиция проводит доследственную проверку, направляет оператору запросы, и на основании ответов, устанавливает факт причастности третьих лиц, возбуждает уголовное дело. Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик. Далее оператор может обращаться в суд, 90% того что суд встанет на сторону абонента.

10 миллионов евро ущерб от VoIP атак.

История не нова. Люди в теме, возможно, слышали про румынских хакеров, которые заработали на VoIP атаках более миллиона евро. Применяемые методы были довольно просты. Ребята сканировали диапазоны IP-адресов с extensions, которые имели слабые пароли. И все бы ничего, если бы хакеры ограничились бесплатными звонками, но их аппетиты нанесли урон в более чем 10 миллионов евро.

Для своей деятельности парни основали целую компанию Shadow Communication Company Ltd, нанимая людей из разных частей Европы и предоставив своим «сотрудникам» удобный интерфейс и реферальную систему, развивающую активность.

Хакеров поймали. Но здесь стоит оговориться, что отечественная система правоохранительных органов в сфере ИТ не так поворотлива и проворна.

Взлом VoIP. История про то, как Фома провайдеру платил.

Пароли к VoIP девайсам, все ли у вас защищено?

Тут проблема не в том, что брутят астериск, как многие могли подумать. Специалисты наверняка слышали про набор утилит sipvicious и многие их уже использовали. Однако, когда сканируется сеть при помощи svmap.py – этот скрипт входит в состав данных утилит, то в сети кроме астериска можно обнаружить VoIP-железки: Cisco, Linksys и т.д. Как правило, у них есть собственный web-интерфейс и далеко не всегда он имеет пароль! У Linksys по дефолту нет пароля на web-интерфейс. Это не очень осмотрительно, ведь многие их девайсы могут быть доступны извне.

Если просто загуглить, то незапароленные шлюзы можно найти за пару минут. Если в поисковом запросе ввести intitle: "Sipura SPA Configuration" - найдется немало шлюзов Linksys, на которых не выставлен пароль.

Что делать?

К сожалению, как ив случае с нашим героем Фомой – многие компании использующие open source системы не уделяют безопасности должного внимания. Не хватает времени или специалистов – это нормально.

Выход предлагает компания MyAsterisk – специалист в области IP-телефонии и Asterisk. Более 5 лет на страже Вашей безопасности - 15 методов защиты.

Взлом VoIP. История про то, как Фома провайдеру платил.

Если Вы не уверены в безопасности Вашей системы или просто сомневаетесь в ее надежности – MyAsterisk может провести бесплатный аудит и выявить уязвимости и недостатки. myasterisk.ru

Взлом VoIP. История про то, как Фома провайдеру платил.

14 комментариев
Оставлять комментарии могут только авторизованные пользователи
Robot_NagNews
Robot_NagNews

Материал:

В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии. Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании. Между тем статистика атак на VoIP в последние годы устрашает.

 

Полный текст

NN----NN
NN----NN

"Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик."

 

Лапшу на уши не вешайте.

Задолженность будет висеть на вас пока она не станет "просроченной" по законодательству, а оператор в течение этого срока будет пытаться (письма, звонки, встречи и, как вариант, обращение в суд) взыскать оплату. Если информация из сертифицированного биллинга есть, то почему должны верить вашим письмам и словам (это "пустой звук")?

 

Тем более, Вы же сами и демонстрируете своей рекламной заметкой, что "проблема на стороне клиента", т.е. условные 180 тыс - это цена за "Не хватает времени или специалистов – это нормально." Оператор-то причём тут? За свой пофигизм надо платить. А если виновные будут найдены, то будете взыскивать уже с них.

myasterisk
myasterisk

Уважаемый NN----NN,

 

Имеется ввиду, что клиент должен оплатить услуги оператора, а в данном случае получается, что клиент не пользовался этими услугами. У нормальных операторов реализованы системы анализа трафика и при активизации звонков проверяется "аномальность" совершаемых звонков и в случае необходимости блокируются звонки на международные направления.

 

С чем Вы, собственно, несогласны? В условиях российской действительности описанный процесс может быть мучительнее и дольше и, возможно, оплатить нанесенный злоумышленниками урон придется все же абоненту.

А фраза "Не хватает времени или специалистов – это нормально" - к несчастью для многих компаний нехватка специалистов и времени - нормальная ситуация и мы предлагаем свои услуги по устранению уязвимостей.

NN----NN
NN----NN

Уважаемый myasterisk, я специально перед своими словами привёл цитату из вашего текста. Ключевое "... отказывается оплачивать суммы начислений за взломанный трафик".

 

Ещё раз: возбужденноё уголовное дело (это видимо Вами считается каким-то суперфактом правоты утверждений клиента) не является законным основанием для оператора отказаться от взыскания оплаты по договору. Дело-то может быть и прекращено или причастным/виновным может оказаться тот или иной сотрудник клиента.

 

Поинтересуйтесь у своего главбуха "когда и в каких случаях можно списать существующую задолженность по оказанным услугам/поставленным товарам как безнадёжную?"

nickD
nickD

Просто при выборе провайдера, достаточно выбирать того,

Который способен как минимум обеспечить возможность отключения например международной связи,

Абонента при привышении им некой оговоренной суммы,

А вот если провайдер такого не обеспечит,

Значит он экономит на оборудовании и программном обеспечении и персонале.

 

Мы например для своих абонентам такое делаем.

rdc
rdc

Шанс выиграть суд против провайдера есть только в том случае, если воры угнали парольную учётку и звонили сами, не с адресов абонента.

И то, ситуация юридически шаткая, поскольку увод учётки выглядит как нарушение типового пункта договора об обязанности сохранять её в тайне.

 

А если звонки были с IP-адресов абонента, через его астериск - абонент не отмажется никак. Так же как невозможно отмазаться от звонков с украденной мобилы.

ivb1232
ivb1232

В чем проблемы настроить ACL.

И не надо никаких аудитов.

sunrise333
sunrise333

В чем проблемы настроить ACL.

И не надо никаких аудитов.

А что нам даст ACL если сначала забили левыми пакетами мой IP.

Мой астер и так за НАТом, но я отвалился и злоумышленник получил доступ

к более чем 30 учеткам.

Провайдер экономит не экономит, провайдер РТ, имя пользователя 6 значный номер телефона

пароль максимум 8 цифр прошу обратить внимания ЦИФР!!! Привязки учетки к IP адресу сделать не могут!!!

За 4 дня выходных, контору опустили очень плотно. Хотлайн отключили только после выходных,

и то на вышестоящем уровне.

Однако отбиться получилось, было на руках письмо годичной давности с входящим номером, в котором

было требование отключить ВЕСЬ международный трафик.

И на следующий день утухла вся 8ка при беседе с техниками мне объяснил, что могут только так

или опять все направления.

А Вы говорите.

ivb1232
ivb1232

Зачем для городской телефонии уникальный IP (?).

ТТК выдал "серый" в отдельном сегменте, для городского номера.

На транке у них даже регистрации нет!

Aleck_K
Aleck_K

ТС, у вас есть шанс получать от нас 10-20 клиентов в месяц. Можно, конечно, в личке обсудить детали, но, думаю, сообществу тоже будет интересны ваши ответы. В вашем договоре с клиентом прописана ответственность за полноту и качество аудита? Чем вы гарантируете качество своей работы? Форма и методы аудита?