В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии.
Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании.
Между тем статистика атак на VoIP в последние годы устрашает.
Знакомьтесь – это Фома.
Фома – cистемный администратор филиальной компании. Ёмкость АТС закончилась, функций не хватало, требовалось расширение до call-центра. Было решено поставить Open Source платформу Asterisk и получить корпоративную IP-телефонию бесплатно.
Руководство одобрило идею, процесс пошел. Несколько месяцев «упорных сражений» и новая АТС была запущена. Вот она сладкая победа. Понятный веб интерфейс, голосовое самообслуживание клиентов, статистика звонков и еще много полезных «фич».
Все шло прекрасно, пока не грянул гром среди ясного неба.
Сервер Фомы был взломан, а с его номеров звонки шли на Кубу и в другие экзотические страны. Узнал об этом Фома от своего провайдера связи в довольно неприятной форме – в счете была сумма, превышающая обычный бюджет в 30 раз! В итоге 0 рублей за АТС и 180 000 рублей за «услуги связи».
От провайдера наш герой узнал, что ошибки никакой нет и все звонки заказаны с его номеров – тут Фома и понял, что сервер был взломан, но было уже поздно: в логах не было даже и намека про загрузку и звонки, а шлюз звонил в Гондурас, Зимбабве, Афганистан и т.д. по «черным» «сомалийским» делам. Шлюз работал через внешний IP, подключение к шлюзу было закрыто паролем, но смена паролей не мешала воровать телефонный трафик.
Провайдер оказал сервис ненавязчивый – заблокировал номера и требовал оплаты большого долга. Такая ситуация не означает неминуемой расплаты за свою беспечность, выход есть.
Коллеги, здесь все предельно просто. При возникновении, подобной ситуации, абонент обращается письменно к оператору с просьбой указать причину блокировки, добивается письменного ответа, в котором указывается причина по которой оператор заблокировал телефоны.
Далее абонент запрашивает распечатку детализации звонков, заверенную печатями и подписями оператора. После направляет оператору заявление, в котором говорит о том, что третьими неизвестными лицами произошел не санкционированный доступ к оборудованию, что фактически он (абонент) данных услуг не потреблял и т.д.
Далее абонент должен обратиться в полицию с соответствующим заявлением, обычно эти дела, сразу направляются в отдел К. На основании заявления, полиция проводит доследственную проверку, направляет оператору запросы, и на основании ответов, устанавливает факт причастности третьих лиц, возбуждает уголовное дело. Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик. Далее оператор может обращаться в суд, 90% того что суд встанет на сторону абонента.
История не нова. Люди в теме, возможно, слышали про румынских хакеров, которые заработали на VoIP атаках более миллиона евро. Применяемые методы были довольно просты. Ребята сканировали диапазоны IP-адресов с extensions, которые имели слабые пароли. И все бы ничего, если бы хакеры ограничились бесплатными звонками, но их аппетиты нанесли урон в более чем 10 миллионов евро.
Для своей деятельности парни основали целую компанию Shadow Communication Company Ltd, нанимая людей из разных частей Европы и предоставив своим «сотрудникам» удобный интерфейс и реферальную систему, развивающую активность.
Хакеров поймали. Но здесь стоит оговориться, что отечественная система правоохранительных органов в сфере ИТ не так поворотлива и проворна.
Тут проблема не в том, что брутят астериск, как многие могли подумать. Специалисты наверняка слышали про набор утилит sipvicious и многие их уже использовали. Однако, когда сканируется сеть при помощи svmap.py – этот скрипт входит в состав данных утилит, то в сети кроме астериска можно обнаружить VoIP-железки: Cisco, Linksys и т.д. Как правило, у них есть собственный web-интерфейс и далеко не всегда он имеет пароль! У Linksys по дефолту нет пароля на web-интерфейс. Это не очень осмотрительно, ведь многие их девайсы могут быть доступны извне.
Если просто загуглить, то незапароленные шлюзы можно найти за пару минут. Если в поисковом запросе ввести intitle: "Sipura SPA Configuration" - найдется немало шлюзов Linksys, на которых не выставлен пароль.
К сожалению, как ив случае с нашим героем Фомой – многие компании использующие open source системы не уделяют безопасности должного внимания. Не хватает времени или специалистов – это нормально.
Выход предлагает компания MyAsterisk – специалист в области IP-телефонии и Asterisk. Более 5 лет на страже Вашей безопасности - 15 методов защиты.
Если Вы не уверены в безопасности Вашей системы или просто сомневаетесь в ее надежности – MyAsterisk может провести бесплатный аудит и выявить уязвимости и недостатки. myasterisk.ru
Материал:
В последнее время, а точнее в последние несколько лет наблюдались высокие темпы внедрения IP-телефонии. Многие, если не большинство, организаций, использующих VoIP-решения не задумываются или игнорируют угрозы безопасности их систем, либо попросту не знают об их существовании. Между тем статистика атак на VoIP в последние годы устрашает.
Полный текст
"Абонент на основании этого пишет оператору письмо, ссылаясь на действия полиции и возбужденное уголовное дело отказывается оплачивать суммы начислений за взломанный трафик."
Лапшу на уши не вешайте.
Задолженность будет висеть на вас пока она не станет "просроченной" по законодательству, а оператор в течение этого срока будет пытаться (письма, звонки, встречи и, как вариант, обращение в суд) взыскать оплату. Если информация из сертифицированного биллинга есть, то почему должны верить вашим письмам и словам (это "пустой звук")?
Тем более, Вы же сами и демонстрируете своей рекламной заметкой, что "проблема на стороне клиента", т.е. условные 180 тыс - это цена за "Не хватает времени или специалистов – это нормально." Оператор-то причём тут? За свой пофигизм надо платить. А если виновные будут найдены, то будете взыскивать уже с них.
Уважаемый NN----NN,
Имеется ввиду, что клиент должен оплатить услуги оператора, а в данном случае получается, что клиент не пользовался этими услугами. У нормальных операторов реализованы системы анализа трафика и при активизации звонков проверяется "аномальность" совершаемых звонков и в случае необходимости блокируются звонки на международные направления.
С чем Вы, собственно, несогласны? В условиях российской действительности описанный процесс может быть мучительнее и дольше и, возможно, оплатить нанесенный злоумышленниками урон придется все же абоненту.
А фраза "Не хватает времени или специалистов – это нормально" - к несчастью для многих компаний нехватка специалистов и времени - нормальная ситуация и мы предлагаем свои услуги по устранению уязвимостей.
Уважаемый myasterisk, я специально перед своими словами привёл цитату из вашего текста. Ключевое "... отказывается оплачивать суммы начислений за взломанный трафик".
Ещё раз: возбужденноё уголовное дело (это видимо Вами считается каким-то суперфактом правоты утверждений клиента) не является законным основанием для оператора отказаться от взыскания оплаты по договору. Дело-то может быть и прекращено или причастным/виновным может оказаться тот или иной сотрудник клиента.
Поинтересуйтесь у своего главбуха "когда и в каких случаях можно списать существующую задолженность по оказанным услугам/поставленным товарам как безнадёжную?"
Просто при выборе провайдера, достаточно выбирать того,
Который способен как минимум обеспечить возможность отключения например международной связи,
Абонента при привышении им некой оговоренной суммы,
А вот если провайдер такого не обеспечит,
Значит он экономит на оборудовании и программном обеспечении и персонале.
Мы например для своих абонентам такое делаем.
Шанс выиграть суд против провайдера есть только в том случае, если воры угнали парольную учётку и звонили сами, не с адресов абонента.
И то, ситуация юридически шаткая, поскольку увод учётки выглядит как нарушение типового пункта договора об обязанности сохранять её в тайне.
А если звонки были с IP-адресов абонента, через его астериск - абонент не отмажется никак. Так же как невозможно отмазаться от звонков с украденной мобилы.
В чем проблемы настроить ACL.
И не надо никаких аудитов.
А что нам даст ACL если сначала забили левыми пакетами мой IP.
Мой астер и так за НАТом, но я отвалился и злоумышленник получил доступ
к более чем 30 учеткам.
Провайдер экономит не экономит, провайдер РТ, имя пользователя 6 значный номер телефона
пароль максимум 8 цифр прошу обратить внимания ЦИФР!!! Привязки учетки к IP адресу сделать не могут!!!
За 4 дня выходных, контору опустили очень плотно. Хотлайн отключили только после выходных,
и то на вышестоящем уровне.
Однако отбиться получилось, было на руках письмо годичной давности с входящим номером, в котором
было требование отключить ВЕСЬ международный трафик.
И на следующий день утухла вся 8ка при беседе с техниками мне объяснил, что могут только так
или опять все направления.
А Вы говорите.
Зачем для городской телефонии уникальный IP (?).
ТТК выдал "серый" в отдельном сегменте, для городского номера.
На транке у них даже регистрации нет!
ТС, у вас есть шанс получать от нас 10-20 клиентов в месяц. Можно, конечно, в личке обсудить детали, но, думаю, сообществу тоже будет интересны ваши ответы. В вашем договоре с клиентом прописана ответственность за полноту и качество аудита? Чем вы гарантируете качество своей работы? Форма и методы аудита?