VoIP telefon/adaptér na veřejné adrese = velké nebezpečí.

tls,srtp,zrtp a bezpečnostní potíže VoIP

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod xsouku04 » úte 13. pro 2016 22:50:59

V poslední době jsme zaznamenali nové způsoby, jak někoho připravit o VoIP kredit. Nyní útočníci skenují všechny porty náhodných veřejných ip adres a pokouší se dostat na web VoIP telefonu. Aby to šlo, někdo (uživatel, správce sítě) musí nastavit forwardování portu tak, aby byly webové stránky dostupné internetu, tedy problém se v podstatě netýká začátečníků, kteří forwardování portů nepoužívají.
Pokud se jim podaří dostat se na nezaheslovaný web VoIP telefonu (u některých děravých VoIP zařízení může být zaheslován, nebo je tam ještě druhé přihlašovací jméno např. user o kterém ani nevíte), obvykle nedovedou zjistit SIP jméno a heslo, aby mohli volat běžný způsobem. Leda že by VoIP zařízení mělo nějaký bug, který to umožní. Tento bug už dnes není moc obvyklý. Proto zkouší tyto dva postupy:

  • U některých VoIP telefonů je možné hovor objednat přímo z webu. Např. stolní telefony značky Grandstream. Tedy útočník si počká na večerní či noční hodiny, aby si toho nikdo v kanceláři nevšiml a normálně vám volá z Vašeho telefonu. Telefon je v režimu handsfree, tedy je slyšet namluvené nesmyslné hlášky, které si útočník nachystal a u Vás v kancáláři je jen ticho. Za tohle nesmyslné volání na drahá čísla dostane provizi - proto to dělá. Stalo se to za posledních několik týdnů minimálně ve dvou případech.
  • Zkouší přesměrovat příchozí hovory do drahé destinace na VoIP telefonu nebo adaptéru. Hovor na podvodné číslo pak udělá tak, že zavolají Vám a VoiP zařízení hovor přesměruje do drahé destinace. Tento postup jim ale na Odorik.cz nefunguje, protože standardně je povolené přesměrování z VoIP telefonu jen do ČR a SK (na webu lze povolit i jinam), proto jediný projev je ten, že pokud útočník po sobě neuklidí, tak se vám nikdo nemůže dovolat. Stalo se to několikrát v průběhu asi posledních tří let.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 7152
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod Pitomec » stř 14. pro 2016 17:42:21

To by přece mohl ošetřit Odorik službou blokování hovorů, podobně jako to má např. UPC telefon, ne?
Přílohy
upctel.jpg
upctel.jpg (70.34 KiB) Zobrazeno 6418 krát
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 2109
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod xsouku04 » čtv 15. pro 2016 0:57:46

Už na tom pracujeme, snad to bude do vánoc.
Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.
Také půjde povolovat i zakazovat i celá konkrétní čísla. Jinak UPC tam má chybu, protože 8XY nejsou linky zdarma, ale barevné linky.
Stejně je ale lepší, když útočník nebude znát vaše SIP jméno a heslo nebo na dálku ovládat Váš telefon. Zabezpečit SIP telefon bude potřeba, i když budete mít nastaveno blokování.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 7152
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod Pitomec » čtv 15. pro 2016 14:15:22

Blokování prefixů jde i u některých telefonů, kdysi jsem to měl nastavené v Siemensu A580 IP, takže všechno začínající 0 nešlo vytočit. U audiotexových linek 9xx to pak nebylo ani potřeba, protože na pevné to blokuje UPC a u VoIP to má defaultně blokované i Odorik (jestli se nepletu).
Obrázek
Uživatelský avatar
Pitomec
 
Příspěvky: 2109
Registrován: ned 27. lis 2011 22:26:33
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod xsouku04 » čtv 15. pro 2016 14:55:34

Pitomec píše:Blokování prefixů jde i u některých telefonů, kdysi jsem to měl nastavené v Siemensu A580 IP, takže všechno začínající 0 nešlo vytočit. U audiotexových linek 9xx to pak nebylo ani potřeba, protože na pevné to blokuje UPC a u VoIP to má defaultně blokované i Odorik (jestli se nepletu).


Jo možnost nastavit si blokování hovorů třeba v dialplanu v telefonu zde je. Pokud se vám ale do telefonu dostane útočník, může to vypnout. Navíc je lepší to spravovat z jednoho místa na webu než na různých telefonech, které jsou na různých místech a některé to umět nemusí. Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 7152
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod alfi » čtv 15. pro 2016 23:25:19

xsouku04 píše:Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.

Pokud ústředna dovolí více hovorů, tak to zkoušejí i tak, že jich spojí třeba 20 současně, klidně i po těch 2 Kč/min - když se do toho zapojí přesměrování, nejdou hlasové kanály přímo z telefonu, který by jich tolik nestíhal. Někteří loupežníci jsou fakt vynalézaví :-)
alfi
 
Příspěvky: 475
Registrován: čtv 03. led 2013 16:31:10

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod xsouku04 » čtv 15. pro 2016 23:57:30

alfi píše:
xsouku04 píše:Půjde nastavovat jednotlivé prefixy - zakázat, povolit a povolit podle ceny. Např. půjde povolit všechny hovory do Velké Británie, které jsou levnější než 2 Kč/min.

Pokud ústředna dovolí více hovorů, tak to zkoušejí i tak, že jich spojí třeba 20 současně, klidně i po těch 2 Kč/min - když se do toho zapojí přesměrování, nejdou hlasové kanály přímo z telefonu, který by jich tolik nestíhal. Někteří loupežníci jsou fakt vynalézaví :-)


Vynalézaví jsou, ale u nás je limit na linku 5 hovorů, navíc pokud je volané i volající stejné číslo, je to podezřelé a do problematických destinací takovéto hovory automaticky blokujeme. A útočníci stejně mnohem raději volají dražší destinace než 2 Kč/min, protože jedině tak je tam pro ně slušná provize.
Navíc o tom, když se použije zakazovací pravidlo dostanete mail, tedy bude šance si toho ještě zavčas všimnout. Pravda blokování některých destinací není všelék a úplně nejlepší je útočníky do svého telefonu nepustit.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 7152
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod helmut.niederman » úte 20. pro 2016 17:09:04

xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.


A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea: A nebo byste mohli po zákaznících, kteří by měli o audiotext zájem, vyžadovat složení volací jistiny, řekněme 5000,- Kč tak jak to třeba dělá poslední dobou jeden virtuál v síti GTS/T-mobile, že po zákaznících, kteří chtějí z mobilu volat do zahraničí požaduje složení volací zálohy a to 5000,- Kč v případě volání do zemí EU a 10 000,- Kč v případě volání do zemí typu USA, Austrálie a pak 100 000,- Kč v případě volání do zemí typu Papua Nová Guinea, Kuba, Trinidad a Tobago aj.
Uživatelský avatar
helmut.niederman
 
Příspěvky: 906
Registrován: stř 10. črc 2013 21:40:28

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod xsouku04 » úte 20. pro 2016 17:15:08

helmut.niederman píše:
xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.


A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea:


Audiotextové linky jsou velké bezpečnostní riziko pro všechny. Nejen pro zákazníka ale i pro nás. A hlavně to vypadá, že nikomu nechybí. Za celou dobu to vadilo myslím jen dvěma lidem. Jeden chtěl získat "výhodnou" půjčku a druhý chtěl volat do nějaké soutěže v televizi. Oba nakonec tím, že to nešlo, výrazně ušetřili a na tom, že tam musí volat, netrvali.
Jednou kdosi chtěl volat na USA ambasádu, nevím, jestli to bylo nutné, vypadá to, že patří také do kategorie zloději. Jo a myslím, že podobná čísla mohou použít některé nízkonákladové aerolinky. Ale to jsou naprosto výjimečné situace. Problém trochu je, že voláním přes VoIP nejde v podstatě ušetřit, drahé to prostě je jakýmkoli způsobem.

Tedy když to shrnu, tak za celých téměř 10 let to chtěli využít 4 lidi, o kterých vím.
Uživatelský avatar
xsouku04
Administrátor
 
Příspěvky: 7152
Registrován: pát 15. říj 2010 11:11:44
Bydliště: Brno

Re: VoIP telefon/adaptér na veřejné adrese = velké nebezpeč

Příspěvekod helmut.niederman » úte 20. pro 2016 17:20:49

xsouku04 píše:
helmut.niederman píše:
xsouku04 píše: Ano audiotextové linky 9XX jsou blokovány u Odoriku vždy.


A nešlo by u Odoriku udělat změnu v tom slova smyslu, že byste audiotextové linky odblokovali na žádost zákazníků formou povinné neanonymní registrace účtu Odorik ve smyslu toho, že by ten zákazník, kdo by chtěl Prémiové služby využívat, musel prostě vám svěřit osobní údaje, číslo občanského průkazu, rodné číslo a uzavřít klasickou neanonymní smlouvu. popř. nutnost podepsat dodatek ke smlouvě jako to máte u SIM karet v případě roamingu ? A pak ještě třeba účtovat si nějaký poplatek za použivání audiotextových služeb řekněme sazbu 60,- Kč/měsíčně, za to, že ta služba je povolena a funkční. :idea:


Audiotextové linky jsou velké bezpečnostní riziko pro všechny. Nejen pro zákazníka ale i pro nás. A hlavně to vypadá, že nikomu nechybí. Za celou dobu to vadilo myslím jen dvěma lidem. Jeden chtěl získat "výhodnou" půjčku a druhý chtěl volat do nějaké soutěže v televizi. Oba nakonec tím že to nešlo výrazně ušetřili a na tom, že tam musí volat netrvali.


No právě, že je tam bezpečnostní riziko, by se to dalo "ošéfovat " právě těmi povinnými neanonymními registracemi + složení volací jistiny klidně i 5000,- Kč a nebo nastavit to podle druhu zpoplatnění, řekněme, že by se dalo dovolat na audiotextové linky s cenou od 6,- Kč až po 30,- Kč/min a co je nad 30,- Kč by bylo zablokováno. Takže audiotext, který má číslo zpoplatněné sazbou 90,- Kč by bylo defaultně zablokované. A podle ceny se to dá i v administraci nastavit, protože výhoda audiotexu, je to že poznáte, jakou sazbu za minutu platíte. Například volání na IVR Meteopressu 900 300 900 ( sazba 30,- Kč/min ) to jest 900 30. Tedy vždy po předvolbě 900 nebo 906 následuje dvoučíslí a podle toho se pozná jakou sazbu platím. Tak si myslím, že by se to dalo nastavit. Všechna čísla která začínají 900 31 xx yyy až 900 99 xx yyy nebo 906 31 xx yyy až 906 99 xx yyy by byla zablokována. :idea:
Uživatelský avatar
helmut.niederman
 
Příspěvky: 906
Registrován: stř 10. črc 2013 21:40:28

Předchozí

Zpět na Bezpečnost a šifrování hovorů

Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 1 návštěvník