VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

Příspěvek od xsouku04 »

adaptér PAP2T,intrebell 402,2N StarPoint T28 hw1.0.0.1 fw2.60.57.2, Well ATA 171P na veřejné ip adrese = velké nebezpečí.
V některých případech i pokud jste si řádně nastavili jiné než defaultní heslo.
Váš kredit je pak v ohrožení bez ohledu na to jakého používáte Voip operátora.



http://produkty.interbells.cz/ip_telefon_ib402

Obrázek

Zdá se, že existuje způsob jak se heker může dostat k přihlašovacím sip údajům uloženým v telefonu a to i pokud nezná heslo.
Scénář, že telefon je na veřejné ip adrese není tak vzácný, protože telefon obsahuje router.

Zajímavostí je, že tento telefon umí i IAX.

Telefon se naší ústředně hlásí jako:Voip Phone 1.0 , což je stejně jako telefony Well.
Možná se jedná dokonce o bug společný pro i s telefon Well 3130IF, který má možná stejného noname výrobce.

Obrázek

Více o útoku na Well 3130IF - http://www.telefonujeme.cz/about7338.html

Řešení je prosté. Před telefon dejte router, tak aby telefon nebyl dostupný z internetu.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon interbell 402 na veřejné adrese - velké nebezpeč

Příspěvek od xsouku04 »

Máme zde další bezpečnostní problém tentokráte opět značka Well Konkrétně SIP-T20.
Tentokráte je to ale do značné míry chyba uživatele, který nechal Well na veřejné ip adrese naslouchat směrem na internetu.
A zároveň nechal defaultní heslo admin admin.

Problém telefonu Well SIP-T20 spočívá v tom, že nechá útočníka zjistit zadané SIP heslo. A to není rozumné.
No a útočník si pak kredit provolá pěkně z domu někde v Palestině (zdá se že v Palestině je jeden specialista na telefony Well) na předražená čísla, kde dostane pak provizi za příchozí hovory.

Jelikož telefon SIP-T20 často slouží i jako router, je tento problém poměrně častý.

Má li telefon veřejnou ip adresu a je-li otevřeno přihlašování směrem z internetu, ujistěte se, že nemáte defaultní heslo admin admin.

Doporučuji zvolit kvalitní heslo, protože útočník může zkoušet uhádnout heslo jinak klidně celý týden !!!
Nemusí to samozřejmě dělat ručně, takže klidně může vyzkoušet všechny slova ze slovníku.

Příklady jaké hesla nedávat naleznete např. zde http://blogs.wsj.com/digits/2010/12/13/ ... passwords/
Problém je že jsou velmi častá, je to téměř jako kdyby jste heslo nedávali.

Hodláme zavést nějaké ochrany. Např. že bude možné se přihlásit na SIP účet jen z ip adres, které se jeví že jsou v ČR nebo na Slovensku, nebo omezení prefixů, které půjdou z dané linky volat.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: Telefon interbell 402 na veřejné adrese - velké nebezpeč

Příspěvek od xsouku04 »

Je zde další bezpečnostní novinka.
Máme téměř jistý důkaz, že je možné zjistit heslo i z webových stránek zařízení Linksys/Cisco PAP2T.

Pokud necháte PAP2 nezabezpečený, útočník si zjistí vaše hesla z webu tohoto zařízení a vykrade účet.

Pokud tedy webové stránky nemáte chráněny dostatečně silným heslem a web běží na z internetu dostupném portu a IP adrese.

Běží-li Linksys PAP2T na veřejné adrese, je třeba zvolit opravdu silné heslo. Útočník má totiž času dost a klidně může vyzkoušet 50 000 kombinací ...

Pravda umisťovat PAP2T na veřejnou IP je docela vzácnost, nicméně k útoku by mohl stačit i třeba jen přesměrovaný port.

V našem sledovaném případě ke škodám nedošlo, díky naší nové proxy a blokování přihlášení ze zahraničí. Vzhledem k tomu, že onen obyvatel Izraele věděl jméno a heslo na poprvé (a zákazník to nebyl), je to důkaz, že jej musel zjistit díky bezpečnostní díře PAP2T. Útočník je stejně jako v případě zneužití v telefonech Well podle ip adres z Palestiny. Zdá se, že je to pro chudáky Palestince za tou velkou zdí asi jedna z mála možností obživy.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Zdá se že i zařízení 2N StarPoint T28 hw1.0.0.1 fw2.60.57.2 na veřejné adrese prozradí útočníkovi uložená SIP hesla i pokud nezná přihlašovací jméno a heslo na webové rozhraní. Je tedy nebezpečné tohle zařízení mít přístupné z internetu nebo ještě hůře na veřejné ip adrese.

Obrázek

Zde se jedná o zařízení s firmwarem 2N. Výrobce je Yealing, což je stejný výrobce jako telefonů Well. Proto je možné, že se ona chyba týká i telefonů well.
GeBu
Příspěvky: 553
Registrován: sob 12. úno 2011 23:14:28

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od GeBu »

Platí to i pro IPv6? V jedné organizaci mám rozběhnuté IPv6, ale pro IPv4 jsou zařízení za NATem.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

GeBu píše:Platí to i pro IPv6? V jedné organizaci mám rozběhnuté IPv6, ale pro IPv4 jsou zařízení za NATem.
Samotný fakt, že člověk nepoužije port 80 nebo 443 ale přesměruje nějaký hodně obskurní port poměrně účinnou ochranou. Jen si je třeba být vědom, že to nemusí být ve všech případech 100% ochrana.
Nejhorší je samozřejmě nechat defaultní heslo na defaultním portu a veřejné adrese. Útočník totiž prochází všechny možné veřejné ip adresy světa a zkouší jestli tam náhodou neběží web některého z telefonů, který dokáže hacknout nebo s defaultním heslem. Pokud použijete nestandardní port stížíte mu práce cca 65536 krát.
Pozor, že je na dané ipadrese sip teleofn, může zjistit také komunikací na portu 5060, takže tento port by stálo za to změnit též pokud nechcete aby se v noci telefon na veřejné ip adrese z ničeho nic začal zvonit.
Pokud ale má nějaký důvod si myslet, že na dané ip adrese bude telefon, projede si všechny porty a objeví ten pravý. Pokud ale nemá žádný hint, tak má větší pravděpodobnost úspěchu když zkusí 65536 různých veřejných ip adres na standardním portu.

Co se týče ipV6 tam ochranou je samotný fakt, že těch ip adres je tolik, že nemůže všechny vyzkoušet. Ochranou tak může být škaredá IPv6 adresa a fakt, že ipv6 se používá hrozně málo.
Bohužel je to i obrácený problém, útočník bude mít k dispozici tolik adres, že bude těžké ho zablokovat.

Také některé NATy mohou být nebezpečné, nebo se útočník může do vnitřní sítě dostat třeba nějakým trojským koněm.

Proto podle mého názoru je VoIP na předplacený kredit naprostou nutností, postpaid nechtějte i kdyby to bylo zadarmo.

Jinak je stále se co učit, takže pokud je moje úvaha v něčem nepřesná, napište...
Kabek

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Kabek »

....."Proto podle mého názoru je VoIP na předplacený kredit naprostou nutností, postpaid nechtějte i kdyby to bylo zadarmo.".....

Je to jednak jednoduché, svým způsobem i laciné, pokud nepředplatím 1000 Kč... ještě k tomu - v nějaké rozumné periodě měnit hesla - přístupy... Heslo alespoň 12-timístné...., kombinace velká/malá písmena + číslice tam, kde to lze.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Kabek píše:....."Proto podle mého názoru je VoIP na předplacený kredit naprostou nutností, postpaid nechtějte i kdyby to bylo zadarmo.".....

Je to jednak jednoduché, svým způsobem i laciné, pokud nepředplatím 1000 Kč... ještě k tomu - v nějaké rozumné periodě měnit hesla - přístupy... Heslo alespoň 12-timístné...., kombinace velká/malá písmena + číslice tam, kde to lze.
Co se týče neustálého měnění hesel, tak si nejsem jistý. Pokud arogantní správce sítě přinutí svoje svěřence pravidelně měnit dvanáctimístné heslo, bude ho mít většina lidí napsána na monitoru nebo na jiném nebezpečném místě. Pokud máte u nás kredit 200 Kč a někdo vám jej provolá, člověk se poučí a nic se neděje. Pokud by mu ale hrozil postpaid účet v desítkách tisíc, je to úplně něco jiného.

Ostatně se to může stát každému kdo nepoužívá předplacenou službu a ztratí mobil a přijde na to až druhý den. Myslím že je to úplně zbytečné v každém případě, dvanáctimístná heslo to moc nevyřeší.
Tomu kdo má tradiční pevnou linku se zase může stát, že se na jeho linku někdo napíchne v bíle krabici na ulici a udělá mu nereklamovatelný velký účet. Na můj účet kdysi zavolal nějaký zaměstnanec Českého Telecomu (předchůdce O2 pevných linek) jinému zaměstnanci Telecomu. Bylo zjevné, že já to nebyl, protože z pevné jsem na mobil nikdy nevolal a to více ne člověku, kterého neznám a pracuje v telecomu ... stejně jsem se stížností neuspěl. Šlo ale jen o krátký hovor, tedy spíše o princip než zkutečné peníze. Předplacený kredit je prostě jistota pro zákazníka a vede k též rozumnému hospodaření.

Co se týče silných hesel - někdo vám může do počítače nasadit program co loguje všechny stisky klávesnice, takže super silné heslo může být také na nic.
GeBu
Příspěvky: 553
Registrován: sob 12. úno 2011 23:14:28

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od GeBu »

Jen poznámka: Nízký předplacený kredit nebo nízký limit na tarifu pokud je nízko zvolený může být dost problém v kritické situaci: např. pokud se něco stane na cestě v zahraničí.
luky
Příspěvky: 635
Registrován: sob 24. bře 2012 20:56:12

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od luky »

už se budu opakovat jako kafemlejnek, ale moc bych se přimlouval o možnost zvýšit si počet číslic u PINu ze čtyř až na šest. Čtyřmístný PIN třeba u platební karty je dostatečný, protože tajné je již samotné 16 místné číslo karty. U gsm telefonního čísla, které není tajné je to trochu jiné. Osobně se divím, že to tak Vodafone nechá. Tady u Odoriku je jedna specifita a to ta, že v případě odhalení PINu, útočník získá nejen kontrolu nad účtem, ale může volat i pod zcizenými identitami = mobilními čísly (CLIP). A v tom vidím oproti Vodafone rozdíl - tam ještě stále máte v ruce SIM kartu a můžete vidět, co se děje. Nebo volat na infolinku.....

Úplně nejlepší je přihlašovací jméno ("náhodně" vygenerované číslo, které vykazuje nějaký kontrolní součet) a pak třeba i ten 4 místný PIN. Nebo, pokud to není složité, tak vytvořit hesla dvě, z nichž jedno bude administrátorské (jak to teď má Vodafone)

Není to o paranoie, ale o reálných věcech, které ještě (asi) nenastaly, ale stát se můžou
Odpovědět