VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

tazatelx píše:Dobrý den,

v jiném vlákně zrovna diskutuji na téma ohledně volání VoIP přes chytrý telefon. Samozřejmě je k tomu třeba aplikace, kterou někdo vytvoří. Na Windows Phone 8 OS toho moc není. Ale stav se lepší. Přesto - když si následně čtu toto vaše vlákno ohledně bezpečnosti a zjišťuji, že jedna z doporučovaných aplikací byla - zřejmě - vytvořena společností, která sídlí v Indii a věnuje se i např. volání do Pákistánu atp. není mi z toho příliš dobře.

Lze tedy nějak obecně aktuálně shrnout veškeré možné kroky pro navýšení bezpečnosti při volání z pevné stanice, ale také přes software v chytrém telefonu? Já třeba vůbec nevolám do ciziny a na placené linky. Proto bych přijal (pokud již je tato možnost, prosím informujte mě) možnost tato volání blokovat. Ano - klidně bych si dle slov zde užitých „blokoval celý svět“ mimo ČR, samozřejmě včetně placených linek.

Z druhé strany ... jestliže navolím do aplikace v mobilním telefonu SIP server/přihlašovací jméno - tedy šestimístné číslo Odoriku/heslo, dávám teoretickému potencionálnímu sběrateli těchto informací vše potřebné do ruky. Je to tak? Mohu i v tomto případě, tedy ve chvíli využití aplikace třetí strany a volání přes MT, navýšit bezpečnost, aby nemohlo dojít ke zneužití mého telefonického účtu, popř. jeho vytunelování? Já vím, že každý řekne - dobijte si jen pár korun. OK, dobiji si jen pár korun, ale i přesto ...

Dále bych se rád informoval, zda je již nyní možné nějak bez obtěžování zástupce Odoriku, vypnout přihlašování na účet pomocí PINu a zvolit heslo. Nebo je stále nutno kontaktovat uživatele xsouku04?

Předem díky za srozumitelné reakce.
Všechny problémy ohledně bezpečnosti, které se kdy vyskytly, jsou zde.
http://forum.odorik.cz/viewtopic.php?f=15&t=480
Žádné jiné se nevyskytly. Kdyby ano, uděláme velmi rychle protiopatření.

Nejvíce jsou ohroženy pobočkové ústředny Asterisk s jejich webovou nadstavbou jako freePBX. Jiné podvody nejsou v současnosti v módě.

Tvůrce programu pro volání pro mobilní telefon má jiné zájmy než okrást pár svých uživatelů. Než se program udělá a rozšíří, dá to hodně práce, takže by se mu to bohatě nevyplatilo. Rychle by se to rozkřiklo.
To, že je někdo z Indie, vůbec neznamená, že musí být podvodník. Útoky jsou vedeny typicky z Evropy nebo z USA a známe též jednoho Palestince, který se tím živí. Jediné, co by mohlo být nebezpečné, je, pokud by někdo někde nechával ke stažení nějakou upravenou verzi opensource programu.
K tomu jsou ale různé repozitáře a google play store a podobně, které by takovýto podvod brzy vyřadily.

Spíše může být problém známý program stahovat z pochybných zdrojů.

Co se týče možnosti změnit si heslo, to dělá Largon. Připravuje nyní datové balíčky a pak bude řešit roaming.
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od mobilemanic »

tazatelx: Ohledně PINu, zatím to nejde. On není největší problém ani tak v tom PINu, ale spíš v tom, že Heslo je vždy čtyřmístné a pouze čísla (technicky to bude proto, aby to bylo právě kompatibilní s PINem). Tudíž pouhé vypnutí PINu by asi nestačilo, protože i tak to heslo zůstává slabé. Možná, když se sejde dostatek příznivců změny, tak to Odorik jednou dodělá...? :)

Nicméně např. T-Mobile také na své lince pro zákazníky používá jen čtyřmístné číslo a pokud ho znáte, udělají Vám cokoliv si řeknete, klidně třeba i okamžitě přesměrují číslo jinam bez jediné otázky. Tak ono to asi nebude zase tak hrozné, Odorik na to jistě bude mít minimálně filtr jen na pár pokusů a pak šmitec (i když jsem to osobně netestoval).
tazatelx
Příspěvky: 31
Registrován: pát 19. dub 2013 19:03:54

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od tazatelx »

xsouku04 píše:Všechny problémy ohledně bezpečnosti, které se kdy vyskytly jsou zde.
http://forum.odorik.cz/viewtopic.php?f=15&t=480
Žádné jiné se nevyskytly. Kdyby ano, uděláme velmi rychle protiopatření.

Nejvíce jsou ohroženy pobočkové ústředny Asterisk s jejich webovou nadstavbou jako freePBX. Jiné podvody nejsou v současnosti v módě.

Tvůrce programu pro volání pro mobilní telefon má jiné zájmy než okrást pár svých uživatelů. Než se program udělá a rozšíří dá to hodně práce, takže by se mu to bohatě nevyplatilo. Rychle by se to rozkřiklo.
To že je někdo z Indie, vůbec neznamená, že musí být podvodník. Útoky jsou vedeny typicky z Evropy nebo z USA a známe též jednoho Palestince, která se tím živí. Jediné co by mohlo být nebezpečné, je pokud by někdo někde nechával ke stažení nějakou upravenou verzi opensource programu.
K tomu jsou ale různé repozitáře a google play store a podobně, které by takovýto podvod brzy vyřadili.

Spíše může být problém známý program stahovat z pochybných zdrojů.

Co se týče možnosti změnit si heslo, to dělá Largon. Připravuje nyní datové balíčky a pak bude řešit roaming.
Díky za reakci. Já rád problémům předcházím, ač člověk občas přehlédne banální věc a problém přijde nikým nezván. Chápu, že podvodníci rostou po celém světě. Spíše země typu Indie asi budou hůře dostupné pro určitou případnou vymahatelnost práva. Stejně tak půjde o to, aby jim někdo nenaboural jejich systém a následně se nedostal do databáze uživatelů. Což mi ale nedořešíme. Jistá míra rizika tam tedy - bohužel - je.

Co se týká změny hesla ... reagoval jsem na toto. Říkal jsem si, jestli již není možné uživatelem provedené deaktivování PINu s využitím hesla. Samozřejmě hesla s vyšším počtem znaků (písmen/čísel/speciálních znaků).

Jestliže by stav odpovídal informaci od uživatele mobilemanic, pak samozřejmě není o co stát. Čtyřmístné a ještě číselné heslo je k ničemu.

Závěrem si ještě dovolím poděkovat. Doposud jsem velmi rád, že nakonec telefonuji s Odorikem. Nejde vždy jen a pouze o cenu hovorů. Jako uživatel toho hodnotím mnohem více (cena hovorů/přístup ke klientovi/spolehlivost linky/kvalita volání...).
mobilemanic
Příspěvky: 486
Registrován: čtv 10. říj 2013 10:20:15

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od mobilemanic »

tazatelx píše:Díky za reakci. Já rád problémům předcházím, ač člověk občas přehlédne banální věc a problém přijde nikým nezván. Chápu, že podvodníci rostou po celém světě. Spíše země typu Indie asi budou hůře dostupné pro určitou případnou vymahatelnost práva. Stejně tak půjde o to, aby jim někdo nenaboural jejich systém a následně se nedostal do databáze uživatelů. Což mi ale nedořešíme. Jistá míra rizika tam tedy - bohužel - je.

Co se týká změny hesla ... reagoval jsem na toto. Říkal jsem si, jestli již není možné uživatelem provedené deaktivování PINu s využitím hesla. Samozřejmě hesla s vyšším počtem znaků (písmen/čísel/speciálních znaků).

Jestliže by stav odpovídal informaci od uživatele mobilemanic, pak samozřejmě není o co stát. Čtyřmístné a ještě číselné heslo je k ničemu.

Závěrem si ještě dovolím poděkovat. Doposud jsem velmi rád, že nakonec telefonuji s Odorikem. Nejde vždy jen a pouze o cenu hovorů. Jako uživatel toho hodnotím mnohem více (cena hovorů/přístup ke klientovi/spolehlivost linky/kvalita volání...).
No, jak píše p. Soukup, jde to udělat manuálně v databázi, reagoval jsem hlavně na to co jde udělat z webového rozhraní. Já jsem takhle žádal o změnu hesla pro jednu konkrétní linku a funguje to hezky, jen jsem netušil, že to heslo podporují i v jiném formátu, než umožňuje nastavit webové rozhraní. Nicméně netuším, co by se stalo kdybych si opět změnil heslo pomocí webového rozhraní - asi by se to nastavilo zpět do původního stavu u všech linek? Pár úprav pro práci s hesly by jistě neuškodilo, ale jak jsem psal, nepovažuji to za úplně nejhorší zabezpečení, alespoň se to posílá šifrovaně :)
JPT
Příspěvky: 322
Registrován: sob 03. lis 2012 22:21:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od JPT »

Tak ono je asi vpodstatě jedno jaké to heslo je, když to neni rok narození nebo co by někdo mohl uhodnout. I jiné služby mají heslo jen na pár číslic. Pokud to nemá Odorik v plaintextu v databázi a i kdyby to měl, tak je pak jedno jak silné to heslo je, kdyby tu ústřednu nebo web hackli. Pak to neni věc síly hesla, ale věc zabezpečení systémů Odoriku. Důležité je, že se to posílá šifrovaně a že mají nějaký maximální počet pokusů za určitý čas, takže to nikdo nehackne bruteforce. Teda myslím, že to tak mají zabezpečené. Že to někdo z Odoriku potvrdil, když se o tom někde diskutovalo.
Prva mi to taky vadilo jen číslicové heslo a jen 4 znaky, ale když by to někdo chtěl hacknout bruteforce, tak s přestávkama by to trvalo určitě mega dlouho a Odorik by si toho dřív všiml, že se o to někdo pokouší. Jedině, že by někdo prolomil ten šifrovaný přenos, ale tam je pak taky jedno jak silné je heslo. A nebo nějaký keyloger nebo nějaká havěť nainstalovaná na uživatelově PC a to je taky jedno jaké to heslo je. Nejsem odborník, ale myslím, že tak nějak to je. Jestli píšu blbosti, tak mě určitě někdo opraví.
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Hooonza »

JPT píše:Prva mi to taky vadilo jen číslicové heslo a jen 4 znaky, ale když by to někdo chtěl hacknout bruteforce, tak s přestávkama by to trvalo určitě mega dlouho
Novinky.cz píše:Čtyřmístný kód rozlouskne PC za 1,5 minuty
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Pitomec »

Stačí omezit počet pokusů třeba na 3 za hodinu a pak verifikovat přes SMS a celé Novinky můžou jít tak akorát do pr**le :D
Obrázek
JPT
Příspěvky: 322
Registrován: sob 03. lis 2012 22:21:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od JPT »

Hooonza píše:
JPT píše:Prva mi to taky vadilo jen číslicové heslo a jen 4 znaky, ale když by to někdo chtěl hacknout bruteforce, tak s přestávkama by to trvalo určitě mega dlouho
Novinky.cz píše:Čtyřmístný kód rozlouskne PC za 1,5 minuty
Já jsem psal s přestávkama. Pokud má Odorik nastavné třeba max 5 pokusů po sobě a pak se třeba půl hodiny nejde přihlásit, tak to by musel mít tu databázi někdo ztaženou z počítače Odoriku doma, aby mu to louskalo jeho PC za 1,5 min. Jinak to dřív zjistí Odorik, že se někdo o něco pokouší, než to někdo rozlouskne a zakáže mu přístup a nebo se to stane automaticky. To nevím jak to mají nastavené.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8137
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Veřejná ip adresa je stálé nebezpečí. Náš Palestinec se snažil přihlásit na linku dvou našich zákazníků, kde webové stránky telefonu byly veřejně přístupné.
Jeden má Welltech ( Well) a druhý Yealing (Well).

Také je naprosto běžné hacknutí ústředny Asterisk našich zákazníků např. v podobně FreePBX.
Dokonce bych řekl, že skoro každý, kdo s těmito ústřednami dělá, byl někdy hacknut a ten kdo ne, tak buď někoho hacknutého zná (a proto si dává pozor), nebo ještě hacknut bude.

Maximálně ale dotyčný přijde o kredit, který má u nás předplacený. Tedy nic opravdu vážného nehrozí. Nám to ale přidává práci, protože musím všechny tyto lidi kontaktovat a vysvětlovat. Obvykle to zjistíme v době, kdy kredit ještě není provolán.
Hooonza
Příspěvky: 256
Registrován: úte 03. led 2012 18:09:05

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Hooonza »

Velké díky za včasnou informaci a pomoc s problémem!! Díky ní nedošlo k žádným velkým škodám, vše se včas podařilo zastavit.
K problému došlo, když po aktualizaci firmware (Yealink) zůstal zapnutý nezabezpečený webový přístup na telefonu na portu 80.
Dostali jsme pádný argument, proč tento telefon na veřejné IP adrese nenechávat :o
:)
Odpovědět