VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

V poslední době jsme zaznamenali nové způsoby, jak někoho připravit o VoIP kredit. Nyní útočníci skenují všechny porty náhodných veřejných ip adres a pokouší se dostat na web VoIP telefonu. Aby to šlo, někdo (uživatel, správce sítě) musí nastavit forwardování portu tak, aby byly webové stránky dostupné internetu, tedy problém se v podstatě netýká začátečníků, kteří forwardování portů nepoužívají.
Pokud se jim podaří dostat se na nezaheslovaný web VoIP telefonu (u některých děravých VoIP zařízení může být zaheslován, nebo je tam ještě druhé přihlašovací jméno např. user o kterém ani nevíte), obvykle nedovedou zjistit SIP jméno a heslo, aby mohli volat běžný způsobem. Leda že by VoIP zařízení mělo nějaký bug, který to umožní. Tento bug už dnes není moc obvyklý. Proto zkouší tyto dva postupy:
  • U některých VoIP telefonů je možné hovor objednat přímo z webu. Např. stolní telefony značky Grandstream. Tedy útočník si počká na večerní či noční hodiny, aby si toho nikdo v kanceláři nevšiml a normálně vám volá z Vašeho telefonu. Telefon je v režimu handsfree, tedy je slyšet namluvené nesmyslné hlášky, které si útočník nachystal a u Vás v kancáláři je jen ticho. Za tohle nesmyslné volání na drahá čísla dostane provizi - proto to dělá. Stalo se to za posledních několik týdnů minimálně ve dvou případech.
  • Zkouší přesměrovat příchozí hovory do drahé destinace na VoIP telefonu nebo adaptéru. Hovor na podvodné číslo pak udělá tak, že zavolají Vám a VoiP zařízení hovor přesměruje do drahé destinace. Tento postup jim ale na Odorik.cz nefunguje, protože standardně je povolené přesměrování z VoIP telefonu jen do ČR a SK (na webu lze povolit i jinam), proto jediný projev je ten, že pokud útočník po sobě neuklidí, tak se vám nikdo nemůže dovolat. Stalo se to několikrát v průběhu asi posledních tří let.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Pitomec »

To by přece mohl ošetřit Odorik službou blokování hovorů, podobně jako to má např. UPC telefon, ne?
Přílohy
upctel.jpg
upctel.jpg (70.34 KiB) Zobrazeno 12369 x
Obrázek
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Už na tom pracujeme, snad to bude do vánoc.
Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.
Také půjde povolovat i zakazovat i celá konkrétní čísla. Jinak UPC tam má chybu, protože 8XY nejsou linky zdarma, ale barevné linky.
Stejně je ale lepší, když útočník nebude znát vaše SIP jméno a heslo nebo na dálku ovládat Váš telefon. Zabezpečit SIP telefon bude potřeba, i když budete mít nastaveno blokování.
Uživatelský avatar
Pitomec
Příspěvky: 2570
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Pitomec »

Blokování prefixů jde i u některých telefonů, kdysi jsem to měl nastavené v Siemensu A580 IP, takže všechno začínající 0 nešlo vytočit. U audiotexových linek 9xx to pak nebylo ani potřeba, protože na pevné to blokuje UPC a u VoIP to má defaultně blokované i Odorik (jestli se nepletu).
Obrázek
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Pitomec píše:Blokování prefixů jde i u některých telefonů, kdysi jsem to měl nastavené v Siemensu A580 IP, takže všechno začínající 0 nešlo vytočit. U audiotexových linek 9xx to pak nebylo ani potřeba, protože na pevné to blokuje UPC a u VoIP to má defaultně blokované i Odorik (jestli se nepletu).
Jo možnost nastavit si blokování hovorů třeba v dialplanu v telefonu zde je. Pokud se vám ale do telefonu dostane útočník, může to vypnout. Navíc je lepší to spravovat z jednoho místa na webu než na různých telefonech, které jsou na různých místech a některé to umět nemusí. Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.
alfi
Příspěvky: 716
Registrován: čtv 03. led 2013 15:31:10

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od alfi »

xsouku04 píše:Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.
Pokud ústředna dovolí více hovorů, tak to zkoušejí i tak, že jich spojí třeba 20 současně, klidně i po těch 2 Kč/min - když se do toho zapojí přesměrování, nejdou hlasové kanály přímo z telefonu, který by jich tolik nestíhal. Někteří loupežníci jsou fakt vynalézaví :-)
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

alfi píše:
xsouku04 píše:Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.
Pokud ústředna dovolí více hovorů, tak to zkoušejí i tak, že jich spojí třeba 20 současně, klidně i po těch 2 Kč/min - když se do toho zapojí přesměrování, nejdou hlasové kanály přímo z telefonu, který by jich tolik nestíhal. Někteří loupežníci jsou fakt vynalézaví :-)
Vynalézaví jsou, ale u nás je limit na linku 5 hovorů, navíc pokud je volané i volající stejné číslo, je to podezřelé a do problematických destinací takovéto hovory automaticky blokujeme. A útočníci stejně mnohem raději volají dražší destinace než 2 Kč/min, protože jedině tak je tam pro ně slušná provize.
Navíc o tom, když se použije zakazovací pravidlo dostanete mail, tedy bude šance si toho ještě zavčas všimnout. Pravda blokování některých destinací není všelék a úplně nejlepší je útočníky do svého telefonu nepustit.
helmut.niederman
Příspěvky: 1012
Registrován: stř 10. črc 2013 21:40:28

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od helmut.niederman »

xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.
A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea: A nebo byste mohli po zákaznících, kteří by měli o audiotext zájem, vyžadovat složení volací jistiny, řekněme 5000,- Kč tak jak to třeba dělá poslední dobou jeden virtuál v síti GTS/T-mobile, že po zákaznících, kteří chtějí z mobilu volat do zahraničí požaduje složení volací zálohy a to 5000,- Kč v případě volání do zemí EU a 10 000,- Kč v případě volání do zemí typu USA, Austrálie a pak 100 000,- Kč v případě volání do zemí typu Papua Nová Guinea, Kuba, Trinidad a Tobago aj.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8139
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

helmut.niederman píše:
xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.
A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea:
Audiotextové linky jsou velké bezpečnostní riziko pro všechny. Nejen pro zákazníka ale i pro nás. A hlavně to vypadá, že nikomu nechybí. Za celou dobu to vadilo myslím jen dvěma lidem. Jeden chtěl získat "výhodnou" půjčku a druhý chtěl volat do nějaké soutěže v televizi. Oba nakonec tím, že to nešlo, výrazně ušetřili a na tom, že tam musí volat, netrvali.
Jednou kdosi chtěl volat na USA ambasádu, nevím, jestli to bylo nutné, vypadá to, že patří také do kategorie zloději. Jo a myslím, že podobná čísla mohou použít některé nízkonákladové aerolinky. Ale to jsou naprosto výjimečné situace. Problém trochu je, že voláním přes VoIP nejde v podstatě ušetřit, drahé to prostě je jakýmkoli způsobem.

Tedy když to shrnu, tak za celých téměř 10 let to chtěli využít 4 lidi, o kterých vím.
helmut.niederman
Příspěvky: 1012
Registrován: stř 10. črc 2013 21:40:28

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od helmut.niederman »

xsouku04 píše:
helmut.niederman píše:
xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.
A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea:
Audiotextové linky jsou velké bezpečnostní riziko pro všechny. Nejen pro zákazníka ale i pro nás. A hlavně to vypadá, že nikomu nechybí. Za celou dobu to vadilo myslím jen dvěma lidem. Jeden chtěl získat "výhodnou" půjčku a druhý chtěl volat do nějaké soutěže v televizi. Oba nakonec tím že to nešlo výrazně ušetřili a na tom, že tam musí volat netrvali.
No právě, že je tam bezpečnostní riziko, by se to dalo "ošéfovat " právě těmi povinnými neanonymními registracemi + složení volací jistiny klidně i 5000,- Kč a nebo nastavit to podle druhu zpoplatnění, řekněme, že by se dalo dovolat na audiotextové linky s cenou od 6,- Kč až po 30,- Kč/min a co je nad 30,- Kč by bylo zablokováno. Takže audiotext, který má číslo zpoplatněné sazbou 90,- Kč by bylo defaultně zablokované. A podle ceny se to dá i v administraci nastavit, protože výhoda audiotexu, je to že poznáte, jakou sazbu za minutu platíte. Například volání na IVR Meteopressu 900 300 900 ( sazba 30,- Kč/min ) to jest 900 30. Tedy vždy po předvolbě 900 nebo 906 následuje dvoučíslí a podle toho se pozná jakou sazbu platím. Tak si myslím, že by se to dalo nastavit. Všechna čísla která začínají 900 31 xx yyy až 900 99 xx yyy nebo 906 31 xx yyy až 906 99 xx yyy by byla zablokována. :idea:
Odpovědět