vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Взлом VoIP. История про то, как Фома провайдеру платил.

Дата публикации: 19.05.2014
Количество просмотров: 8866

Взлом VoIP. История про то, как Фома провайдеру платил.

Аудит системы Asterisk, проверка безопасности.

В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии.

Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании.

Между тем статистика атак на VoIP в последние годы устрашает.

Знакомьтесь – это Фома. 

Фома – cистемный администратор филиальной компании.  Ёмкость АТС закончилась, функций не хватало, требовалось расширение до call-центра. Было решено поставить Open Source платформу Asterisk и получить корпоративную IP-телефонию бесплатно.

Руководство одобрило идею, процесс пошел. Несколько месяцев «упорных сражений» и новая АТС была запущена. Вот она сладкая победа. Понятный веб интерфейс, голосовое самообслуживание клиентов, статистика звонков и еще много полезных «фич».

Все шло прекрасно, пока не грянул гром среди ясного неба.

Сервер Фомы был взломан, а с его номеров звонки шли на Кубу и в другие экзотические страны. Узнал об этом Фома от своего провайдера связи в довольно неприятной форме – в счете была сумма, превышающая обычный бюджет в 30 раз! В итоге 0 рублей за АТС и 180 000 рублей за «услуги связи».

От провайдера наш герой узнал, что ошибки никакой нет и все звонки заказаны с его номеров – тут Фома и понял, что сервер был взломан, но было уже поздно: в логах не было даже и намека про загрузку и звонки, а шлюз звонил в Гондурас, Зимбабве, Афганистан и т.д. по «черным» «сомалийским» делам. Шлюз работал через внешний IP, подключение к шлюзу было закрыто паролем, но смена паролей не мешала воровать телефонный трафик.

Провайдер оказал сервис ненавязчивый – заблокировал номера и требовал оплаты большого долга. Такая ситуация не означает неминуемой расплаты за свою беспечность, выход есть.

Что делать если вас взломали?

Коллеги, здесь все предельно просто. При возникновении, подобной ситуации, абонент обращается письменно к оператору с просьбой указать причину блокировки, добивается письменного ответа, в котором указывается причина по которой оператор заблокировал телефоны.

Далее абонент запрашивает распечатку детализации звонков, заверенную печатями и подписями оператора. После направляет оператору заявление, в котором говорит о том, что третьими неизвестными лицами произошел не санкционированный доступ к оборудованию, что фактически он (абонент) данных услуг не потреблял и т.д.

Далее абонент должен обратиться в полицию с соответствующим заявлением, обычно эти дела, сразу направляются в отдел К. На основании заявления, полиция проводит доследственную проверку, направляет оператору запросы, и на основании ответов, устанавливает факт причастности третьих лиц, возбуждает уголовное дело. Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик. Далее оператор может обращаться в суд, 90% того что суд встанет на сторону абонента.

10 миллионов евро ущерб от VoIP атак.

История не нова. Люди в теме, возможно, слышали про румынских хакеров, которые заработали на VoIP атаках более миллиона евро. Применяемые методы были довольно просты. Ребята сканировали диапазоны IP-адресов с extensions, которые имели слабые пароли. И все бы ничего, если бы хакеры ограничились бесплатными звонками, но их аппетиты нанесли урон в более чем 10 миллионов евро.

Для своей деятельности парни основали целую компанию Shadow Communication Company Ltd, нанимая людей из разных частей Европы и предоставив своим «сотрудникам» удобный интерфейс и реферальную систему, развивающую активность.

Хакеров поймали. Но здесь стоит оговориться, что отечественная система правоохранительных органов в сфере ИТ не так поворотлива и проворна.

Пароли к VoIP девайсам, все ли у вас защищено?

Тут проблема не в том, что брутят астериск, как многие могли подумать. Специалисты наверняка слышали про набор утилит sipvicious и многие их уже использовали. Однако, когда сканируется сеть при помощи svmap.py – этот скрипт входит в состав данных утилит, то в сети кроме астериска можно обнаружить VoIP-железки: Cisco, Linksys и т.д. Как правило, у них есть собственный web-интерфейс и далеко не всегда он имеет пароль! У Linksys по дефолту нет пароля на web-интерфейс. Это не очень осмотрительно, ведь многие их девайсы могут быть доступны извне.

Если просто загуглить, то незапароленные шлюзы можно найти за пару минут. Если в поисковом запросе ввести intitle: "Sipura SPA Configuration" - найдется немало шлюзов Linksys, на которых не выставлен пароль.

Что делать?

К сожалению, как ив случае с нашим героем Фомой – многие компании использующие open source системы не уделяют безопасности должного внимания. Не хватает времени или специалистов – это нормально.

Выход предлагает компания MyAsterisk – специалист в области IP-телефонии и Asterisk. Более 5 лет на страже Вашей безопасности - 15 методов защиты.

Если Вы не уверены в безопасности Вашей системы или просто сомневаетесь в ее надежности – MyAsterisk может провести бесплатный аудит и выявить уязвимости и недостатки. myasterisk.ru

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/user/notes/25456/vzlom-voip-istoriya-pro-to-kak-foma-provayderu-platil-.html

Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться