forum.odorik.cz

Dobry den, chci se zeptat, zda lze u linky (linek) nastavit, aby nemohla vytacet mezinarodni hovory a audatex? Tzn aby mohla volat jen do CR na mobily, pevne, neverejne a nomadicke. Dekuji. JT

Audiotex tuším vůbec nefunguje a nefungoval...

U SIM karet by to mělo jít,ale u VoIP části Odorika nevím.
Možná by se něco dalo nastavit na telefonu,povolená a nepovolená čísla nebo předvolby.

Kristovec píše:U SIM karet by to mělo jít,ale u VoIP části Odorika nevím.
Možná by se něco dalo nastavit na telefonu,povolená a nepovolená čísla nebo předvolby.

Audiotext nejde ani na simkartách ani VoIP. Poctivé použití těchto linek je velmi vzácné, téměř neexistující.
Stejně bychom nemohli dát lepší cenu než ostatní.

U VoIP doporučuji zablokovat jisté směry pomocí dialplanu na telefonu nebo adaptéru.

Ze to jde dial planem vim, ja to chtel blokovat spis kvuli zranitelnosti nekterych aparatu/ustreden, i kdyz by nekdo vycucl z aparatu heslo, stejne by si na cookovy ostrovy na placenou linku za 1000Kc/min nezavolal. Takze u mikrotechu nejde volat ani na zahranicni predrazene zlodejske linky aka audiotex?

U mikrotechu se nam to pred par lety stalo, hacknuli to nekde u nich a provolali kredit do -60000 Mikrotech to vratil, nebyli jsme zrejme jedini, ale stejne poradne nefungoval, takze uz ho nepouzivame, ale nejake volby jsem tam videl, jestli si to tedy nepletu jen s registraci z neceskych ip adres...

Jan Telefonista píše:Ze to jde dial planem vim, ja to chtel blokovat spis kvuli zranitelnosti nekterych aparatu/ustreden, i kdyz by nekdo vycucl z aparatu heslo, stejne by si na cookovy ostrovy na placenou linku za 1000Kc/min nezavolal. Takze u mikrotechu nejde volat ani na zahranicni predrazene zlodejske linky aka audiotex?

U mikrotechu se nam to pred par lety stalo, hacknuli to nekde u nich a provolali kredit do -60000 Mikrotech to vratil, nebyli jsme zrejme jedini, ale stejne poradne nefungoval, takze uz ho nepouzivame, ale nejake volby jsem tam videl, jestli si to tedy nepletu jen s registraci z neceskych ip adres...

Naši zákazníci volají do zahraničí hodně často. A podvodné destinace bohužel není možné jednoznačně poznat. Naši zákazníci opravdu volají i do podivných a drahých destinací a o žádné podvody se nejedná. Leda že bychom zakázali všechny hovory, kde je cena za minutu vyšší než určitá částka. I tak by ale útočník teoreticky mohl najít destinaci, kde sice účtujeme koncovému zákazníkovi nízkou cenu (např. hovor na pevnou), ale ve skutečnosti jej ale spojíme na předražené premium číslo.
Tedy obecné systémové řešení tohoto typu bohužel neexistuje.

Případy, kdy někdo zneužije něčí kredit, se ale dost opakují. Detailně je to popsáno zde
http://forum.odorik.cz/viewtopic.php?f=7&t=480
a zde http://forum.odorik.cz/viewtopic.php?f=10&t=671

Máme své způsoby, jak tyto podvodníky odhalovat, ale nechci jim práci ulehčovat tím, že to zde zveřejním.
Za posledního čtvrt roku myslím nikomu podstatná škoda nevznikla.

Co bychom mohli udělat, že bychom se sami pokoušeli útočit na zařízení našich zákazníků a díru tak objevit dříve než opravdový útočník. I tak to ale dá poměrně dost práce každému vysvětlovat, že není dobré, aby se dalo na web jeho VoIP zařízení Asterisk přihlásit odkudkoli z internetu. Často napsat jeden mail ani nestačí ... musím ty lidi urgovat. Píši jim o tom, že by si měli zabezpečit svoje zařízení a poté změnit SIP heslo, a někdy mám i chuť si za to účtovat poplatek 50 Kč. Bohužel ne každý je tak zdatný jako Jan Telefonista. I kdybychom zablokovali volání do zahraničí (pak si nám ale lidi zase budou stěžovat, že jim nejde volání tam a tam, ne každý je schopný si volané prefixy nastavit korektně), tak fakt, že útočník zná vaše SIP číslo a heslo, není dobrá vyhlídka do budoucnosti. Bude to pravidelně zkoušet tak dlouho, až se mu povede něco provolat, i kdyby na tom měl vydělat jen pár haléřů na minutě.

Systémově lze zvýšit bezpečnost dvěma kroky:

- koncový uživatel si musí ohlídat, že web jeho nezabezpečené VoIP zařízení není přístupný na veřejné IP adrese - tam se kradou sipová přihlašovací jména a hesla a vše potřebné k tomu, aby mohl útočník volat na Váš účet.
- naše proxy se s útočníky, co se snaží přihlašovat a hádat hesla nebo volat na u nás neexistující číslo, vůbec nebaví. Útočník zpravidla ani nepozná, že na sip.odorik.cz běží něco se s protokolem SIP. Na svoje pakety nedostane vůbec žádnou odpověď, jako kdyby je posílal na nepřipojenou ip adresu. Naše SIP proxy též útočníky detekuje díky jejich podezřelému chování a pak mi nezbývá, než dotyčného kontaktovat s tím, ať si ten přístup na web na veřejné adrese odstraní a změní si sip jméno a heslo.

Každý, kdo nastavuje Asterisk musí být zpravidla alespoň jednou hacknut, nebo znát někoho, kdo hacknut byl a utrpěl větší škodu, než začne brát bezpečnost naprosto vážně. Bohužel. Mě také už dvakrát okradli, ale nikdy to nebyla opravdu podstatná částka. Takového člověka pak poznám podle toho, že reaguje na moje varovné maily a udělá, co mu doporučím První a nejednodušší a překvapivě dobře fungující pravidlo je: Používejte nestandardní vysoké náhodné porty - ty náhodní internetoví útočníci neskenují. Skenovat všechny ip adresy světa a ještě navíc všechny porty je pro ně zbytečná námaha, když naprostá většina hacknutelných zařízení používá porty standardní. Pravidlo číslo dva by mohlo být: "Změňte defaultní přihlašovací údaje, nebo onen web vůbec nevystavujte do světa." Za celou dobu nevím o nikom, kdo by byl hacknut a zároveň dodržoval tato dvě pravidla.

Přesně tak! Jsem za!!!

Budu malinko obecný. Zde, když mám na účtě max. třeba 300 Kč, o víc nemohu přijít. Mám pravdu? Víte kolik lidí má u kreditky napsaný PIN?! To je nevzrušuje... Jestli má někdo doma nebo v okolí nějakého, promiňte mi ten výraz, blba, který volá na čísla bez základní znalosti ceny volání, pak si to musí řešit ten někdo doma. To snad Odorik nemusí a myslím, že by ani neměl. Odorik poskytuje nějakou službu, která je nějak ošéfovaná zákonem, a měla by být v souladu s tím zákonem... Možná se pletu, pak to zde třeba někdo vysvětlí. Rád si to pak přečtu.

xsouku04 píše: Leda že bychom zakázali všechny hovory, kde je cena za minutu vyšší než určitá částka.

Podle mě by bylo hodně užitečné, co se týká ochrany proti zneužití/blbosti, kdyby bylo možné si nastavit vlastní limity (nejl. pro každou linku). Před voláním by se vždy zkontrolovalo, jestli je minutová sazba menší nebo rovna limitu, a pokud ne, tak hovor vůbec neuskutečnit (volitelně s upozorňovací hláškou).
Prarodičům by se to limitovalo např. na 5 Kč/min, dětem na 1,49, těm menším (které se mají dovolat pouze rodičům na Odorik) na 0,59.
A něco podobného případně i pro max. cenu hovoru - automatické ukončení při překročení nastavené částky (např. pro ukecané lidi, kteří chtějí ušetřit ).

Nemluvě o pohodlí - když by člověk vůbec nemusel řešit tvar jakýchkoli čísel, na která se chystá volat - zjišťovat na netu, kolik že vlastně zaplatí... když by měl limit třeba těch 5 Kč/min.
Popř. ono navrhované jednodušší řešení - omezit to plošně pro všechny zákazníky, s tím že by to omezení šlo vypnout v nastavení, na vlastní riziko.

Problém ale je, že ani limit 5 Kč ba ani 3 Kč vás neochrání. Jen poskytne falešný pocit bezpečí. A tím to nadělá více škody než užitku.
Útočník má na skladě obrovské množství čísel, na které může volat, a nedá pokoj, dokud nenajde nějaké, na které se dá dovolat.
I kdyby na tom měl vydělávat jen 0,10 Kč/min, nějak Vám ten kredit prostě provolá.

Čísla, o kterých víme, že jsou podvodná, se sami snažíme blokovat. Bohužel to ale není nikdy 100% ochrana, protože vždy mohou být čísla další. Někdy jsou podvodná čísla doslova promíchána s obyčejnými čísly. A útočník může přes vás začít pouštět vždy i obyčejné hovory nicnetušících lidí. V tomto případě zvolí vždy nejdražší funkční destinaci a žádný limit mu v zásadě nevadí.
Pokud si toho nevšimneme my a nezareagujeme, nebo nezareaguje automatika našeho proxy, o kredit prostě přijdete.

Nastavovat jednotlivým linkám kvůli tomu limity, je mnohem pracnější než si zkontrolovat, že vaše VoIP zařízení nevystavujete na veřejné adrese a obvyklém portu do světa s defaultními přihlašovacími údaji.

Jediná ochrana, co opravdu spolehlivě funguje, je neprozradit útočníkovi vaše sip přihlašovací údaje.
Útočníci většinou nejsou opravdu chytří IT experti, ale dostávají detailní obecné návody od provozovatelů podvodných linek, podle kterých postupují. Opravdový IT expert si je totiž schopen vydělat poměrně dobré peníze i poctivou prací, tedy tohle nemá zapotřebí.