VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP
Odpovědět
Uživatelský avatar
Pitomec
Příspěvky: 2580
Registrován: ned 27. lis 2011 21:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Pitomec »

Možná by stačila (volitelná) autorizace přes SMS, tj. při pokusu o přihlášení automatické zaslání SMS s kódem a platnost přihlášení cca 30 minut při nečinnosti.
Obrázek
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

luky píše:už se budu opakovat jako kafemlejnek, ale moc bych se přimlouval o možnost zvýšit si počet číslic u PINu ze čtyř až na šest. Čtyřmístný PIN třeba u platební karty je dostatečný, protože tajné je již samotné 16 místné číslo karty. U gsm telefonního čísla, které není tajné je to trochu jiné. Osobně se divím, že to tak Vodafone nechá. Tady u Odoriku je jedna specifita a to ta, že v případě odhalení PINu, útočník získá nejen kontrolu nad účtem, ale může volat i pod zcizenými identitami = mobilními čísly (CLIP). A v tom vidím oproti Vodafone rozdíl - tam ještě stále máte v ruce SIM kartu a můžete vidět, co se děje. Nebo volat na infolinku.....

Úplně nejlepší je přihlašovací jméno ("náhodně" vygenerované číslo, které vykazuje nějaký kontrolní součet) a pak třeba i ten 4 místný PIN. Nebo, pokud to není složité, tak vytvořit hesla dvě, z nichž jedno bude administrátorské (jak to teď má Vodafone)

Není to o paranoie, ale o reálných věcech, které ještě (asi) nenastaly, ale stát se můžou
Přihlašování přes pin jde vypnout a je možné se přihlašovat se jménem a heslem přičemž heslo bude volitelné, tedy velmi bezpečné.
https://www.odorik.cz/ucet/?login_method=credentials Funguje to už nyní, jen to heslo musíme ručně nastavit. Pin si každý může vypnout už nyní, ale nedělejte to, nešlo by se vám pak přihlásit.

Víte, že když heslo necháte uložit váš prohlížeč, že si je může kdokoli kdo se dostane na chvíli k vašemu počítači zobrazit ? http://forum.odorik.cz/viewtopic.php?f=12&t=376&p=1410
Zvláště "výborná" vlastnost je to u notebooků.
luky
Příspěvky: 635
Registrován: sob 24. bře 2012 20:56:12

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od luky »

xsouku04 píše:Funguje to už nyní, jen to heslo musíme ručně nastavit. Pin si každý může vypnout už nyní, ale nedělejte to, nešlo by se vám pak přihlásit.
pokud budu chtít heslo čas od času změnit, musím vás pokaždé kontaktovat osobně nebo si ho budu už dále moci měnit sám. Je způsob jak můžu heslo bezpečně zaslat (https)? Přes svoji samoobsluhu zadat do formuláře jako dotaz a odeslat?
Díky
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Pokud se vám zdá zasílání hesla emailem nebo sms nebezpečné, raději počkejte.
Moje číslo je 608424631.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Máme zde další prozrazení SIP jména a hesla.
Tentokrát je to zase Well.
Well ATA 171P
Obrázek

Zařízení se u nás hlásí jako CM5K-TA1S1P (810170), CM5K-TA2S (910070) nebo nologo

Konkrétně:
Model Name: GATEWAY-1S1P
Firmware Version: Fri Nov 28 17:31:38 2008(p_107b)
Codec Version: Wed Jul 30 09:48:24 2008.

Uživatel nechal otevřený port 9999 pro web do internetu a defaultní jméno a heslo.

Připomínám, že přihlašovací jména i hesla jsou dvě různá. root a user. Je třeba změnit oboje. Pokud k tomu nemáte důvod, nenechávejte přístup z internetu otevřen vůbec.

Nejspíš chyba a možná i feature je, že pokud se takto dostane útočník na zařízení, je z něj pak schopen zjisti sip jméno a heslo.

Nedělejte si ale iluzi, je pravděpodobné, že v novějším firmware chybu neopravili. Stejnou chybu obsahují i zařízení PAP2T i když ty obvykle na veřejné ip adrese nejsou provozovány.


Vypadá to, že se jedná opět o Palestince (tedy bohužel ne úplně svobodného obyvatele Izraele), specializujícího se zařízení Well.

Jiný poměrně častý případ jiného druhu: Ti co používají asterisk s webovým rozhraním jako třeba freePBX, nechť si dají extra práci se zabezpečením webu. Je běžné že útočník pomocí díry na webu se zmocní sip hesla a jména a vše provolá. On si to freePBX stáhne taky a zkoumá zdrojáky tak dlouho, dokud díru neobjeví a nevyzkouší !!!
Poté prohledává celý internet a hledá veřejné ip adresy co obsahují FreePBX (nebo něco podobného) s objevenou dírou. No a pak už jen volá na cizí účet.
Použijte netradiční port pro SIP i WEB (čím podivnější tím lépe) a webové rozhraní navíc povolte jen ze známých ip adress nebo je zabezpečte ještě navíc pomocí httpacces. Více zde. http://forum.odorik.cz/viewtopic.php?f=10&t=671
Buďte obzvláště obezřetní, pokud vaší freePBX kombinuje VoIP s ISDN nebo GSM bránami. Operátor pevných linek vás na fraud jen tak rychle nemusí upozornit a účty mohou být ohromné. Nejlépe vůbec nedoporučuji kombinovat. Volat na předplacený kredit, nebo mít nějaké limity (tak jak dělá např. Vodafone) je docela rozumná ochrana.
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Náš Palestinec na ip adrese
http://whatismyipaddress.com/ip/37.8.5.41
Pokračuje v hackování přístrojů well.

Obrázek

Tentokrát se mu podařilo zjistit SIP jméno a heslo u zařízení Well T20 hw7.0.0.54 fw9.51.9.4

Provolal cca 80 Kč, 20 kč jsem zachránil díky tomu že jsem si toho náhodou všimnul a změnil sip heslo.

Dotyčný sice nemá telefon na veřejné adrese, zdá se ale, že si forwardoval jak port 80 tak 443. Tedy pokud zadám jeho veřejnou adresu do prohlížeče, hlásí se telefon SIP-T20P a chce po mě User Name a Password.
Zkusil jsem defaultní admin admin není to ono. Takže já se dále nedostanu. Útočník ale zná způsob jak se tam dostat a nebo použil slovníkový útok.

Update 31.1.2013 - mám zde nějaké nové informace. Dotyčného už heknuli celkem dvakrát. Poprvé měl defaultní heslo, takže to pro útočníka bylo ještě jednodušší. Podruhé buď útočník využil bezpečnostní díru výrobce, nebo si tam nahrál svůj upravený firmware s dírou a nebo použil slovníkový útok. Heslo bylo sice poměrně silné, ale ale kdybychom měli zkusit několik miliónů slov z internetu tak by tam bylo.

31.1.2013 - Znovu došlo k prolomení. Ukázalo se, že telefon je opravdu na veřejné adrese a je možné se do něj dostat i bez znalosti hesla. Já si myslel že není, že jsou jen forwardované porty. Je to buď bezpečnostní díra a nebo si tam třeba útočník nahrál svoje klíče když se tam dostal minule.
Doporučujeme nový firmware
http://www.joyce.cz/ovladace-voip-zarizeni/
http://www.joyce.cz/files/technicka-pod ... 70.9.2.zip
a restart do továrního nastavení. (aby došlo ke smazání klíčů)

a též pro jistotu umístit telefon na neveřejnou ip adresu za vlastní router !!!

Jinak ten Palestinec má k dispozici i české ip adresy, takže v jeho případě blokace země ip adres nepomůže.

http://hidemyass.com/vpn/servers/

Český rozsah adres 83.167.240.128 - 83.167.240.255 jsme zablokovali.
5uch
Příspěvky: 453
Registrován: stř 21. lis 2012 4:01:18

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od 5uch »

luky píše:Čtyřmístný PIN .... u gsm telefonního čísla, které není tajné je to trochu jiné. Osobně se divím, že to tak Vodafone nechá.
PIN na SIM kartě i pro přístup do samoobsluhy Vodafone je možné zvolit šestimístný.
VOX 802 -> Odorik byla jasná volba
Kabek
Příspěvky: 644
Registrován: čtv 03. led 2013 19:44:30

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Kabek »

Tak mne tak napadlo, jistě nic nového pod sluncem...

Nešlo by u Odoriku dát možnost výběru pro uživatele - registraci povolit POUZE z jedinné konkrétní (vlastní) IP adresy? Rovněž mít možnost u Odoriku "na tvrdo" zakázat mzn volání a různé "zlodějské" linky atd., tento zákaz by šel snadno zadat, ale odblokovat pouze přes lidi u Odoriku nebo to vázat na odeslání "hesla" z mobilu. Tím by se třeba problém trochu vyřešil (na jak dlouho?!:::) Co na to Odorik?!
Uživatelský avatar
xsouku04
Administrátor
Příspěvky: 8146
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno
Kontaktovat uživatele:

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od xsouku04 »

Kabek píše:Tak mne tak napadlo, jistě nic nového pod sluncem...

Nešlo by u Odoriku dát možnost výběru pro uživatele - registraci povolit POUZE z jediné konkrétní (vlastní) IP adresy? Rovněž mít možnost u Odoriku "na tvrdo" zakázat mzn volání a různé "zlodějské" linky atd., tento zákaz by šel snadno zadat, ale odblokovat pouze přes lidi u Odoriku nebo to vázat na odeslání "hesla" z mobilu. Tím by se třeba problém trochu vyřešil (na jak dlouho?!:::) Co na to Odorik?!
Problém je, že málo kdo má pevnou ip adresu. Kdyby se pak změnila, přestalo by to fungovat.
Pravda je, ale ta, že třeba VoIP ústředny někdy pevnou ip adresu mají. Takže by to mohlo někdy pomoci.

Co se týče blokování volání na podvodné linky. Samozřejmě udržujeme seznamy a prefixy podobných čísel, ale bohužel čísel je velké množství a pořád přibývají další. Aby to bylo opravdu bezpečné, muselo by se blokovat většina destinací. Podvodník prostě zkouší tak dlouho až se někam dovolá. Mohli by jsme jen u nás spustit interní alarm, aby jsme pak mohli zasáhnout a zablokovat celý účet.
U některých linek, kde se nevolá do zahraničí, nebo třeba jen do Německa a na Slovensko by to mohlo být řešení.

V každém případě je ale velmi podstatné dobře si zabezpečit váš VoIP telefon. Žádné bezpečnostní opatření u nás vás nemůže 100% ochránit, pokud útočník zná vaše SIP jméno a heslo z vašeho nezabezpečeného VoIP telefonu.

Není to zas tak časté, všechny známé případy preventivně zveřejňuji v tomto vlákně, aby se mohli poučit i ostatní. Pokud dotyčný přijde o částku jako třeba 150 Kč není to žádná katastrofa a prostě se poučí. Horší by bylo, kdyby nějaký vir vám z vašeho mobilního telefonu s androidem volal na linky co stojí 60 Kč/min a vám pak přišel třeba od O2 nebo T-mobile účet na půl milionu. Byl by to pak řádově úplně jiný problém. Myslím, že je to technicky možné, jen se o tom nemluví ...
Kabek
Příspěvky: 644
Registrován: čtv 03. led 2013 19:44:30

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvek od Kabek »

K té poslední poznámce. Ano! Jsou propracované programy (viry - trojské koně...)), pak se dotyčný umí přihlásit jako Váš mobil třeba na druhé straně zeměkoule. Využívají to při vykrádání bankovních účtů. Pak jsou všechny zpětnovazební hesla a kódy k ničemu. Neumí se ale "dostat" do starých mobilů (blbých), takový podobný používám ke komunikaci s bankou, abych to těm šmejdům co nejvíce ztížil....

Já si myslím, že ti Palestinci a jim podobní především volají na čísla mimo ČR, pak ta možnost tvrdé blokace volání do zahraničí by byla pro mnohé uživatele zajímavá, ale nesmělo by se to dát jen tak snadno zrušit po přihlášení na stránky Odoriku. Pak by to chtělo minimálně potvrzovací kód zpět... Snad mi rozumíte....

Vy máte nejlepší přehled jak o těch číslech a směrech, kam oni volají, tak o počtu úživatelů, kteří prakticky celý rok nevolají do zahraničí....., kteří by možná uvítali blokaci jakéhokoliv volání do zahraničí. Je to jen na Vás, jak to vymyslíte a nastavíte. My se jen přizpůsobíme a budeme opět rádi, že jsme u odoriku, že konkurence zaostává....
Odpovědět