vk_logo twitter_logo facebook_logo googleplus_logo youtube_logo telegram_logo telegram_logo

Взлом VoIP. История про то, как Фома провайдеру платил. 13

Дата публикации: 19.05.2014
Количество просмотров: 8170

Взлом VoIP. История про то, как Фома провайдеру платил.

Аудит системы Asterisk, проверка безопасности.

В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии.

Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании.

Между тем статистика атак на VoIP в последние годы устрашает.

Знакомьтесь – это Фома. 

Фома – cистемный администратор филиальной компании.  Ёмкость АТС закончилась, функций не хватало, требовалось расширение до call-центра. Было решено поставить Open Source платформу Asterisk и получить корпоративную IP-телефонию бесплатно.

Руководство одобрило идею, процесс пошел. Несколько месяцев «упорных сражений» и новая АТС была запущена. Вот она сладкая победа. Понятный веб интерфейс, голосовое самообслуживание клиентов, статистика звонков и еще много полезных «фич».

Все шло прекрасно, пока не грянул гром среди ясного неба.

Сервер Фомы был взломан, а с его номеров звонки шли на Кубу и в другие экзотические страны. Узнал об этом Фома от своего провайдера связи в довольно неприятной форме – в счете была сумма, превышающая обычный бюджет в 30 раз! В итоге 0 рублей за АТС и 180 000 рублей за «услуги связи».

От провайдера наш герой узнал, что ошибки никакой нет и все звонки заказаны с его номеров – тут Фома и понял, что сервер был взломан, но было уже поздно: в логах не было даже и намека про загрузку и звонки, а шлюз звонил в Гондурас, Зимбабве, Афганистан и т.д. по «черным» «сомалийским» делам. Шлюз работал через внешний IP, подключение к шлюзу было закрыто паролем, но смена паролей не мешала воровать телефонный трафик.

Провайдер оказал сервис ненавязчивый – заблокировал номера и требовал оплаты большого долга. Такая ситуация не означает неминуемой расплаты за свою беспечность, выход есть.

Что делать если вас взломали?

Коллеги, здесь все предельно просто. При возникновении, подобной ситуации, абонент обращается письменно к оператору с просьбой указать причину блокировки, добивается письменного ответа, в котором указывается причина по которой оператор заблокировал телефоны.

Далее абонент запрашивает распечатку детализации звонков, заверенную печатями и подписями оператора. После направляет оператору заявление, в котором говорит о том, что третьими неизвестными лицами произошел не санкционированный доступ к оборудованию, что фактически он (абонент) данных услуг не потреблял и т.д.

Далее абонент должен обратиться в полицию с соответствующим заявлением, обычно эти дела, сразу направляются в отдел К. На основании заявления, полиция проводит доследственную проверку, направляет оператору запросы, и на основании ответов, устанавливает факт причастности третьих лиц, возбуждает уголовное дело. Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик. Далее оператор может обращаться в суд, 90% того что суд встанет на сторону абонента.

10 миллионов евро ущерб от VoIP атак.

История не нова. Люди в теме, возможно, слышали про румынских хакеров, которые заработали на VoIP атаках более миллиона евро. Применяемые методы были довольно просты. Ребята сканировали диапазоны IP-адресов с extensions, которые имели слабые пароли. И все бы ничего, если бы хакеры ограничились бесплатными звонками, но их аппетиты нанесли урон в более чем 10 миллионов евро.

Для своей деятельности парни основали целую компанию Shadow Communication Company Ltd, нанимая людей из разных частей Европы и предоставив своим «сотрудникам» удобный интерфейс и реферальную систему, развивающую активность.

Хакеров поймали. Но здесь стоит оговориться, что отечественная система правоохранительных органов в сфере ИТ не так поворотлива и проворна.

Пароли к VoIP девайсам, все ли у вас защищено?

Тут проблема не в том, что брутят астериск, как многие могли подумать. Специалисты наверняка слышали про набор утилит sipvicious и многие их уже использовали. Однако, когда сканируется сеть при помощи svmap.py – этот скрипт входит в состав данных утилит, то в сети кроме астериска можно обнаружить VoIP-железки: Cisco, Linksys и т.д. Как правило, у них есть собственный web-интерфейс и далеко не всегда он имеет пароль! У Linksys по дефолту нет пароля на web-интерфейс. Это не очень осмотрительно, ведь многие их девайсы могут быть доступны извне.

Если просто загуглить, то незапароленные шлюзы можно найти за пару минут. Если в поисковом запросе ввести intitle: "Sipura SPA Configuration" - найдется немало шлюзов Linksys, на которых не выставлен пароль.

Что делать?

К сожалению, как ив случае с нашим героем Фомой – многие компании использующие open source системы не уделяют безопасности должного внимания. Не хватает времени или специалистов – это нормально.

Выход предлагает компания MyAsterisk – специалист в области IP-телефонии и Asterisk. Более 5 лет на страже Вашей безопасности - 15 методов защиты.

Если Вы не уверены в безопасности Вашей системы или просто сомневаетесь в ее надежности – MyAsterisk может провести бесплатный аудит и выявить уязвимости и недостатки. myasterisk.ru

От редакции: если у вас есть чем поделиться с коллегами по отрасли, приглашаем к сотрудничеству
Ссылка на материал, для размещения на сторонних ресурсах
/user/notes/25456/vzlom-voip-istoriya-pro-to-kak-foma-provayderu-platil-.html

Комментарии:(13) комментировать

19 мая 2014 - 19:17
Robot_NagNews:
#1

Материал:
В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии. Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании. Между тем статистика атак на VoIP в последние годы устрашает.

Полный текст


19 мая 2014 - 19:17
NN----NN:
#2

"Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик."

Лапшу на уши не вешайте.
Задолженность будет висеть на вас пока она не станет "просроченной" по законодательству, а оператор в течение этого срока будет пытаться (письма, звонки, встречи и, как вариант, обращение в суд) взыскать оплату. Если информация из сертифицированного биллинга есть, то почему должны верить вашим письмам и словам (это "пустой звук")?

Тем более, Вы же сами и демонстрируете своей рекламной заметкой, что "проблема на стороне клиента", т.е. условные 180 тыс - это цена за "Не хватает времени или специалистов – это нормально." Оператор-то причём тут? За свой пофигизм надо платить. А если виновные будут найдены, то будете взыскивать уже с них.


19 мая 2014 - 20:00
myasterisk:
#3

Уважаемый NN----NN,

Имеется ввиду, что клиент должен оплатить услуги оператора, а в данном случае получается, что клиент не пользовался этими услугами. У нормальных операторов реализованы системы анализа трафика и при активизации звонков проверяется "аномальность" совершаемых звонков и в случае необходимости блокируются звонки на международные направления.

С чем Вы, собственно, несогласны? В условиях российской действительности описанный процесс может быть мучительнее и дольше и, возможно, оплатить нанесенный злоумышленниками урон придется все же абоненту.
А фраза "Не хватает времени или специалистов – это нормально" - к несчастью для многих компаний нехватка специалистов и времени - нормальная ситуация и мы предлагаем свои услуги по устранению уязвимостей.


19 мая 2014 - 21:24
NN----NN:
#4

Уважаемый myasterisk, я специально перед своими словами привёл цитату из вашего текста. Ключевое "... отказывается оплачивать суммы начислений за взломанный трафик".

Ещё раз: возбужденноё уголовное дело (это видимо Вами считается каким-то суперфактом правоты утверждений клиента) не является законным основанием для оператора отказаться от взыскания оплаты по договору. Дело-то может быть и прекращено или причастным/виновным может оказаться тот или иной сотрудник клиента.

Поинтересуйтесь у своего главбуха "когда и в каких случаях можно списать существующую задолженность по оказанным услугам/поставленным товарам как безнадёжную?"


19 мая 2014 - 22:17
nickD:
#5

Просто при выборе провайдера, достаточно выбирать того,
Который способен как минимум обеспечить возможность отключения например международной связи,
Абонента при привышении им некой оговоренной суммы,
А вот если провайдер такого не обеспечит,
Значит он экономит на оборудовании и программном обеспечении и персонале.

Мы например для своих абонентам такое делаем.


20 мая 2014 - 4:35
rdc:
#6

Шанс выиграть суд против провайдера есть только в том случае, если воры угнали парольную учётку и звонили сами, не с адресов абонента.
И то, ситуация юридически шаткая, поскольку увод учётки выглядит как нарушение типового пункта договора об обязанности сохранять её в тайне.

А если звонки были с IP-адресов абонента, через его астериск - абонент не отмажется никак. Так же как невозможно отмазаться от звонков с украденной мобилы.


21 мая 2014 - 10:30
ivb1232:
#7

В чем проблемы настроить ACL.
И не надо никаких аудитов.


22 мая 2014 - 7:19
sunrise333:
#8

Просмотр сообщенияivb1232 (21 мая 2014 - 09:30) писал:

В чем проблемы настроить ACL.
И не надо никаких аудитов.


А что нам даст ACL если сначала забили левыми пакетами мой IP.
Мой астер и так за НАТом, но я отвалился и злоумышленник получил доступ
к более чем 30 учеткам.
Провайдер экономит не экономит, провайдер РТ, имя пользователя 6 значный номер телефона
пароль максимум 8 цифр прошу обратить внимания ЦИФР!!! Привязки учетки к IP адресу сделать не могут!!!
За 4 дня выходных, контору опустили очень плотно. Хотлайн отключили только после выходных,
и то на вышестоящем уровне.
Однако отбиться получилось, было на руках письмо годичной давности с входящим номером, в котором
было требование отключить ВЕСЬ международный трафик.
И на следующий день утухла вся 8ка при беседе с техниками мне объяснил, что могут только так
или опять все направления.
А Вы говорите.


23 мая 2014 - 16:41
ivb1232:
#9

Зачем для городской телефонии уникальный IP (?).
ТТК выдал "серый" в отдельном сегменте, для городского номера.
На транке у них даже регистрации нет!


30 мая 2014 - 13:58
Aleck_K:
#10

ТС, у вас есть шанс получать от нас 10-20 клиентов в месяц. Можно, конечно, в личке обсудить детали, но, думаю, сообществу тоже будет интересны ваши ответы. В вашем договоре с клиентом прописана ответственность за полноту и качество аудита? Чем вы гарантируете качество своей работы? Форма и методы аудита?


Обсудить на форуме

Оставлять комментарии могут только зарегистрированные пользователи

Зарегистрироваться