Вы Гость ( Вход | Регистрация )

Взломы Астериска часто ли с вашими клиентами такое случается? Оценка: -----
  • (3 Страниц)
  • +
  • 1
  • 2
  • 3
опции темы

Пользователь офлайн Aleck_K
28 июня 2010 - 20:47
Сообщение #1

Звание: Студент
Группа: Активный участник
Сообщений: 492
Регистрация: 15 декабря 09
Город: Санкт-Петербург
Последний месяц количество взломов астерисков у наших клиентов приняло какие-то угрожающие масштабы: по два-три инцидента в неделю. Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме. Клиентам уже разослано письмо с предупреждением и рекомендациями, как защититься, но это мало помогает.

Цитата

Уважаемый клиент,

Компания Телфин предупреждает, что в последнее время участились случаи взлома и несанкционированного использования программных телефонных станций на базе свободно распространяемого продукта Астериск. В большинстве случаев подобный взлом приводит к генерации вызовов по направлениям с высокой стоимостью до момента блокировки по достижению отрицательного баланса на счете. Как правило, вызовы осуществляются в ночное время, что не позволет оперативно обнаружить несанкционированные вызовы.
Мы рекомендуем обратить внимание на настройки безопасности вашей программной станции. Минимальный список действий по предотвращению взлома:
- измените номер порта, на котором происходит взаимодействие Астериск с оборудованием Телфин и вашими внутренними телефонами. Оборудование Телфин поддерживает любой номер порта со стороны клиента
- настройте ваш файрвол на пропуск сигнального SIP трафика до IP адреса оборудования Телфин (sip.telphin.com или voice.telphin.com в зависимости от настроек вашего подключения)
- ограничьте правилами вашего файрвола список адресов и сетей, с которых подключаются ваши ip-телефоны и адаптеры
- используйте авторизацию ваших ip-телефонов и адаптеров с помощью пароля (digest authorization)
- используйте пароли с надлежащим уровнем сложности
- ораничьте количество одновременных исходящих вызовов, поступающих с ваших внутренних телефонов
- ограничьте список доступных для набора телефонных кодов странами и направлениями, которые используются вашими сотрудниками

В большинстве случаев подобных мер будет достаточно для предотвращения несканционированного доступа к вашему программному обеспечению.

С уважением,
Служба технической поддержки компании Телфин
support@telphin.com

Кто-нибудь еще наблюдает всплеск атак на клиентские астериски? Как вы боретесь или могли бы бороться с этой напастью?

Сообщение отредактировал Дятел: 28 июня 2010 - 21:37

 
Пользователь офлайн Diesel
28 июня 2010 - 20:57
Сообщение #2

Звание: Аспирант
Группа: Активный участник
Сообщений: 954
Регистрация: 01 июня 05
Город: Ёбург
Ну если клиент сам настраивает астериск - сам и виноват. Юридически вы чисты.
Если вы настраиваете - капец вам :-)

Сталкивались с таким. Клиент сам дурак. Ничем кроме предупреждений вы им помочь не можете.
Один из инцидентов потянул на 150тыс.руб.
На стороне клиента все решается элементарно, в 2 действия. Было бы желание.

Сообщение отредактировал Diesel: 28 июня 2010 - 21:06

 
Пользователь офлайн Aleck_K
28 июня 2010 - 21:21
Сообщение #3

Звание: Студент
Группа: Активный участник
Сообщений: 492
Регистрация: 15 декабря 09
Город: Санкт-Петербург
Diesel, клиент - он, конечно, "сам дурак", но он деньги платит, а если у него не будет денег (украдут, например) - он платить не будет. Поэтому хуже всего в любом случае в этой ситуации нам как провайдеру: либо клиент просто не оплатит фрод, либо обидится и уйдет к другим (неважно, что его там еще раз кинут, нам денег он уже не принесет). Насколько часто такое у вас встречается и думаете ли вы что-то предпринимать со своей стороны?

Мы планируем в ближайшее время начать блокировать клиента, если его трафик вдруг в 5 раз превышает обычный среднесуточный с уведомлением о блокировке на емейл и смс и возможностью отменить блокировку на сайте. По крайней мере, фрод не будет идти на всю сумму, которая есть на счете или до достижения безусловного лимита для постоплатных клиентов. Что еще можно было бы сделать?

ps. Увы, у нас инциденты измеряются уже даже не сотнями тысяч рублей :(

Сообщение отредактировал Aleck_K: 28 июня 2010 - 21:22

 
Пользователь онлайн Дятел
28 июня 2010 - 21:40
Сообщение #4

Звание: Академик
Группа: VIP
Сообщений: 10 714
Регистрация: 10 января 05
Город: восток Московской обл.

Просмотр сообщенияAleck_K (28 июня 2010 - 20:47) писал:

Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме.
А в каком месте вашей сети это можно сделать?
 
Пользователь офлайн s.lobanov
28 июня 2010 - 21:46
Сообщение #5

Звание: Академик
Группа: VIP
Сообщений: 5 678
Регистрация: 23 февраля 10
Aleck_K
Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...
 
Пользователь офлайн karpa13a
29 июня 2010 - 11:11
Сообщение #6

Звание: Профессор
Группа: VIP
Сообщений: 3 371
Регистрация: 29 июля 08
Город: Замкадск

Просмотр сообщенияs.lobanov (28 июня 2010 - 21:46) писал:

Aleck_K
Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...
и попадаем под небольшой набор статей.
в группе. по предварительному сговору)
 
Пользователь офлайн worker
29 июня 2010 - 12:41
Сообщение #7

Звание: Абитуриент
Группа: Участник
Сообщений: 58
Регистрация: 01 марта 04

Просмотр сообщенияkarpa13a (29 июня 2010 - 11:11) писал:

Просмотр сообщенияs.lobanov (28 июня 2010 - 21:46) писал:

Aleck_K
Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...
и попадаем под небольшой набор статей.
в группе. по предварительному сговору)


Я занимался этой темой пару лет назад, более того автоматизировал процесс до полного безобразия, естесственно для образовательных целей, проводил в своей конторе развлекательно познавательные семинары про VOIP ну и в качестве демонстрации ломал астериски...
Тут вобщем почти всё расписано:)

http://rrabochiy.livejournal.com/28150.html

Выводы просты:
1. В мире полно идиотов!

2. Всегда указывайте указывайте различные значения для authorization username и username для регистрации SIP абонентов.

3. Контролируйте количество сигнальных сообщений приходящих на ваш SIP proxy (неправильно настроенный SBC стоимостью в 100К$ не спасет) , кругом не только идиоты(см.пункт№1) но и негодяи которые только и думают как нажиться за ваш счет.
 
Пользователь офлайн Aleck_K
29 июня 2010 - 12:42
Сообщение #8

Звание: Студент
Группа: Активный участник
Сообщений: 492
Регистрация: 15 декабря 09
Город: Санкт-Петербург

Просмотр сообщенияДятел (28 июня 2010 - 21:40) писал:

А в каком месте вашей сети это можно сделать?
Клиенты в паблик интернете, сканирование можно сделать откуда угодно.

Цитата

сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту
Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности. Большинство будет просто игнорировать такие письма. КМК, люди не совсем понимают вероятность риска попасть на деньги со своим астериском. До сих пор не было ни одного способа настолько легкого отъема денег через интернет. Украсть вирусом данные кредитки и получить наличку не так-то просто, должна совпасть куча разных обстоятельств, а чтобы просканировать адреса в поисках незащищенного астериска и слить через него левый тарфик ничего особого даже делать не надо! Можно считать, что поставив астериск человек просто кладет в открытый доступ данные своего лицевого счета. Когда эти данные кто-нибудь найдет - вопрос времени.
 
Пользователь офлайн ilia_2s
29 июня 2010 - 12:55
Сообщение #9

Звание: Доцент
Группа: VIP
Сообщений: 1 991
Регистрация: 15 февраля 07
Видел я это письмо, так как сам клиент "Телфина" с астериском. Настроено все грамотно, решил что пусть ломают если кому интересно.
 
Пользователь офлайн Stimpy
29 июня 2010 - 13:55
Сообщение #10

Звание: Доцент
Группа: VIP
Сообщений: 2 385
Регистрация: 21 ноября 05
что-то похоже на анти-пиар *
;)
 
Пользователь офлайн ilia_2s
29 июня 2010 - 14:08
Сообщение #11

Звание: Доцент
Группа: VIP
Сообщений: 1 991
Регистрация: 15 февраля 07
может с этим связано?

Уважаемый Пользователь!

В связи с покупкой бизнеса компании ЗАО «Телфин» компанией ООО «ЛайфТелеком» уведомляем Вас о необходимости переоформления договора на новое юридическое лицо.

Все обязательства ЗАО «Телфин» перед клиентами перешли к ООО «ЛайфТелеком»: все услуги будут оказываться в полном объеме, качество услуг будет поддерживаться на прежнем уровне, и уже в ближайшем будущем компания сможет предложить своим пользователям новые продукты и услуги. ООО «ЛайфТелеком» сохраняет бренд «Телфин»: основные услуги будут оказываться по-прежнему под брендом «Телфин».

Необходимые для дальнейшей работы договоры будут доступны на вашей персональной странице в ближайшее время. Стоимость и объем услуг для Вашей компании остались прежними, никаких изменений в тарифах не производилось, и в ближайшее время не планируется.

Позднее подписанные и заверенные печатью организации договора будут направлены в Ваш адрес.
 
Пользователь офлайн s.lobanov
29 июня 2010 - 14:32
Сообщение #12

Звание: Академик
Группа: VIP
Сообщений: 5 678
Регистрация: 23 февраля 10
>Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности.

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации, пусть директор видет, а не только сис. админ, которому на всё пофиг
 
Пользователь офлайн Aleck_K
01 июля 2010 - 12:40
Сообщение #13

Звание: Студент
Группа: Активный участник
Сообщений: 492
Регистрация: 15 декабря 09
Город: Санкт-Петербург

Просмотр сообщенияilia_2s (29 июня 2010 - 14:08) писал:

может с этим связано?
никак не связано

Цитата

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации
Хорошая идея, спасибо. Попробуем отправить бумажные письма вместе со счетами.

PS. Сегодня ночью 2 новых инцидента! :(
 
Пользователь офлайн nuclearcat
01 июля 2010 - 13:23
Сообщение #14

Звание: Академик
Группа: VIP
Сообщений: 8 154
Регистрация: 31 января 04
Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...
 
Пользователь офлайн Дегтярев Илья
02 июля 2010 - 05:20
Сообщение #15

Звание: Аспирант
Группа: Активный участник
Сообщений: 851
Регистрация: 20 февраля 08
А поломайте кто-нибудь меня плиз. Чисто из интереса.

Сообщение отредактировал Дегтярев Илья: 03 июля 2010 - 00:57

 
Пользователь офлайн telematic
02 июля 2010 - 05:39
Сообщение #16

Звание: Академик
Группа: VIP
Сообщений: 5 066
Регистрация: 12 декабря 04
Ага.
Приверженцам SIP телефонии через паблик интернет - ПЛАМЕННЫЙ ПРЕВЕД! :-)
 
Пользователь офлайн AlexBT
02 июля 2010 - 06:09
Сообщение #17

Звание: Профессор
Группа: VIP
Сообщений: 4 694
Регистрация: 27 февраля 05
Город: Владивосток

Просмотр сообщенияДегтярев Илья (02 июля 2010 - 05:20) писал:

Уже несколько десятков живых абонентов через него ходят.
Ну Вы бы сразу заявление об административном правонарушении и явку с повинной в РКН накатали...
 
Пользователь офлайн nuclearcat
02 июля 2010 - 13:28
Сообщение #18

Звание: Академик
Группа: VIP
Сообщений: 8 154
Регистрация: 31 января 04
Те кто умеют ломать - палиться скорее всего не будут, и ломать "на заказ" - тем более :-)
 
Пользователь офлайн Aleck_K
02 июля 2010 - 16:42
Сообщение #19

Звание: Студент
Группа: Активный участник
Сообщений: 492
Регистрация: 15 декабря 09
Город: Санкт-Петербург

Просмотр сообщенияnuclearcat (01 июля 2010 - 13:23) писал:

Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...
К нам приходит обычный клиентский авторизованный трафик, он ничем не отличается от обычного кроме того, что идет на экзотические направления.

Интереса ради прогнал три сотни клиентов с астерисками через стандартную проверку на пустой пароль - нашел двух таких умельцев. Из этих трех сотен только один отписался о том, что заметил атаку с нашего адреса. Вывод: из300 произвольных владельцев астерисков находятся два дятла и только один нормальный админ.
 
Пользователь онлайн Дятел
02 июля 2010 - 16:52
Сообщение #20

Звание: Академик
Группа: VIP
Сообщений: 10 714
Регистрация: 10 января 05
Город: восток Московской обл.
про дятлов - это наезд???

)))
 
  • (3 Страниц)
  • +
  • 1
  • 2
  • 3
  • Вы не можете создать новую тему
  • Вы не можете ответить в тему

1 человек читают эту тему
0 пользователей, 1 гостей, 0 скрытых пользователей