Jump to content
Калькуляторы

Взломы Астериска часто ли с вашими клиентами такое случается?

Последний месяц количество взломов астерисков у наших клиентов приняло какие-то угрожающие масштабы: по два-три инцидента в неделю. Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме. Клиентам уже разослано письмо с предупреждением и рекомендациями, как защититься, но это мало помогает.

 

Уважаемый клиент,

 

Компания Телфин предупреждает, что в последнее время участились случаи взлома и несанкционированного использования программных телефонных станций на базе свободно распространяемого продукта Астериск. В большинстве случаев подобный взлом приводит к генерации вызовов по направлениям с высокой стоимостью до момента блокировки по достижению отрицательного баланса на счете. Как правило, вызовы осуществляются в ночное время, что не позволет оперативно обнаружить несанкционированные вызовы.

Мы рекомендуем обратить внимание на настройки безопасности вашей программной станции. Минимальный список действий по предотвращению взлома:

- измените номер порта, на котором происходит взаимодействие Астериск с оборудованием Телфин и вашими внутренними телефонами. Оборудование Телфин поддерживает любой номер порта со стороны клиента

- настройте ваш файрвол на пропуск сигнального SIP трафика до IP адреса оборудования Телфин (sip.telphin.com или voice.telphin.com в зависимости от настроек вашего подключения)

- ограничьте правилами вашего файрвола список адресов и сетей, с которых подключаются ваши ip-телефоны и адаптеры

- используйте авторизацию ваших ip-телефонов и адаптеров с помощью пароля (digest authorization)

- используйте пароли с надлежащим уровнем сложности

- ораничьте количество одновременных исходящих вызовов, поступающих с ваших внутренних телефонов

- ограничьте список доступных для набора телефонных кодов странами и направлениями, которые используются вашими сотрудниками

 

В большинстве случаев подобных мер будет достаточно для предотвращения несканционированного доступа к вашему программному обеспечению.

 

С уважением,

Служба технической поддержки компании Телфин

support@telphin.com

Кто-нибудь еще наблюдает всплеск атак на клиентские астериски? Как вы боретесь или могли бы бороться с этой напастью?

Edited by Дятел

Share this post


Link to post
Share on other sites

Ну если клиент сам настраивает астериск - сам и виноват. Юридически вы чисты.

Если вы настраиваете - капец вам :-)

 

Сталкивались с таким. Клиент сам дурак. Ничем кроме предупреждений вы им помочь не можете.

Один из инцидентов потянул на 150тыс.руб.

На стороне клиента все решается элементарно, в 2 действия. Было бы желание.

Edited by Diesel

Share this post


Link to post
Share on other sites

Diesel, клиент - он, конечно, "сам дурак", но он деньги платит, а если у него не будет денег (украдут, например) - он платить не будет. Поэтому хуже всего в любом случае в этой ситуации нам как провайдеру: либо клиент просто не оплатит фрод, либо обидится и уйдет к другим (неважно, что его там еще раз кинут, нам денег он уже не принесет). Насколько часто такое у вас встречается и думаете ли вы что-то предпринимать со своей стороны?

 

Мы планируем в ближайшее время начать блокировать клиента, если его трафик вдруг в 5 раз превышает обычный среднесуточный с уведомлением о блокировке на емейл и смс и возможностью отменить блокировку на сайте. По крайней мере, фрод не будет идти на всю сумму, которая есть на счете или до достижения безусловного лимита для постоплатных клиентов. Что еще можно было бы сделать?

 

ps. Увы, у нас инциденты измеряются уже даже не сотнями тысяч рублей :(

Edited by Aleck_K

Share this post


Link to post
Share on other sites

Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме.

А в каком месте вашей сети это можно сделать?

Share this post


Link to post
Share on other sites

Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

Share this post


Link to post
Share on other sites
Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

и попадаем под небольшой набор статей.

в группе. по предварительному сговору)

Share this post


Link to post
Share on other sites
Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

и попадаем под небольшой набор статей.

в группе. по предварительному сговору)

 

Я занимался этой темой пару лет назад, более того автоматизировал процесс до полного безобразия, естесственно для образовательных целей, проводил в своей конторе развлекательно познавательные семинары про VOIP ну и в качестве демонстрации ломал астериски...

Тут вобщем почти всё расписано:)

 

http://rrabochiy.livejournal.com/28150.html

 

Выводы просты:

1. В мире полно идиотов!

 

2. Всегда указывайте указывайте различные значения для authorization username и username для регистрации SIP абонентов.

 

3. Контролируйте количество сигнальных сообщений приходящих на ваш SIP proxy (неправильно настроенный SBC стоимостью в 100К$ не спасет) , кругом не только идиоты(см.пункт№1) но и негодяи которые только и думают как нажиться за ваш счет.

Share this post


Link to post
Share on other sites
А в каком месте вашей сети это можно сделать?
Клиенты в паблик интернете, сканирование можно сделать откуда угодно.
сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту
Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности. Большинство будет просто игнорировать такие письма. КМК, люди не совсем понимают вероятность риска попасть на деньги со своим астериском. До сих пор не было ни одного способа настолько легкого отъема денег через интернет. Украсть вирусом данные кредитки и получить наличку не так-то просто, должна совпасть куча разных обстоятельств, а чтобы просканировать адреса в поисках незащищенного астериска и слить через него левый тарфик ничего особого даже делать не надо! Можно считать, что поставив астериск человек просто кладет в открытый доступ данные своего лицевого счета. Когда эти данные кто-нибудь найдет - вопрос времени.

 

Share this post


Link to post
Share on other sites

Видел я это письмо, так как сам клиент "Телфина" с астериском. Настроено все грамотно, решил что пусть ломают если кому интересно.

Share this post


Link to post
Share on other sites

может с этим связано?

 

Уважаемый Пользователь!

 

В связи с покупкой бизнеса компании ЗАО «Телфин» компанией ООО «ЛайфТелеком» уведомляем Вас о необходимости переоформления договора на новое юридическое лицо.

 

Все обязательства ЗАО «Телфин» перед клиентами перешли к ООО «ЛайфТелеком»: все услуги будут оказываться в полном объеме, качество услуг будет поддерживаться на прежнем уровне, и уже в ближайшем будущем компания сможет предложить своим пользователям новые продукты и услуги. ООО «ЛайфТелеком» сохраняет бренд «Телфин»: основные услуги будут оказываться по-прежнему под брендом «Телфин».

 

Необходимые для дальнейшей работы договоры будут доступны на вашей персональной странице в ближайшее время. Стоимость и объем услуг для Вашей компании остались прежними, никаких изменений в тарифах не производилось, и в ближайшее время не планируется.

 

Позднее подписанные и заверенные печатью организации договора будут направлены в Ваш адрес.

 

Share this post


Link to post
Share on other sites

>Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности.

 

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации, пусть директор видет, а не только сис. админ, которому на всё пофиг

Share this post


Link to post
Share on other sites
может с этим связано?
никак не связано

 

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации
Хорошая идея, спасибо. Попробуем отправить бумажные письма вместе со счетами.

 

PS. Сегодня ночью 2 новых инцидента! :(

Share this post


Link to post
Share on other sites

Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...

Share this post


Link to post
Share on other sites

Ага.

Приверженцам SIP телефонии через паблик интернет - ПЛАМЕННЫЙ ПРЕВЕД! :-)

Share this post


Link to post
Share on other sites
Уже несколько десятков живых абонентов через него ходят.
Ну Вы бы сразу заявление об административном правонарушении и явку с повинной в РКН накатали...

 

Share this post


Link to post
Share on other sites

Те кто умеют ломать - палиться скорее всего не будут, и ломать "на заказ" - тем более :-)

Share this post


Link to post
Share on other sites
Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...
К нам приходит обычный клиентский авторизованный трафик, он ничем не отличается от обычного кроме того, что идет на экзотические направления.

 

Интереса ради прогнал три сотни клиентов с астерисками через стандартную проверку на пустой пароль - нашел двух таких умельцев. Из этих трех сотен только один отписался о том, что заметил атаку с нашего адреса. Вывод: из300 произвольных владельцев астерисков находятся два дятла и только один нормальный админ.

Share this post


Link to post
Share on other sites

про дятлов - это наезд???

у меня дятлы с маленькой буквы ;)

Share this post


Link to post
Share on other sites
про дятлов - это наезд???
Ник меняйте. На Вудпекер, например, и тогда ничего казаться не будет.

 

Share this post


Link to post
Share on other sites

Я лоханулся на этом, подставил свою компанию на очень большую сумму. В системе был тестовый экстеншн с легким паролем. По идее он мог звонить тока на один номер, но видимо я что-то в диалплане менял и забыл про это. Не заходил месяц на машину. Потом, когда зашел и увидел, что с этого экстешна названивали в Сомали практически без перерыва. за 2,5 недели сумма составила шесть нулей. Никогда бы не подумал, что крошка виртуалка со 256мб оперативки такое натворит.

Вина всему моя халатность.

Share this post


Link to post
Share on other sites

В августе нашего абонента ломанули и за выходные пролили на 1144 тыр рэ !

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this