Перейти к содержимому
Калькуляторы

Взломы Астериска часто ли с вашими клиентами такое случается?

Последний месяц количество взломов астерисков у наших клиентов приняло какие-то угрожающие масштабы: по два-три инцидента в неделю. Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме. Клиентам уже разослано письмо с предупреждением и рекомендациями, как защититься, но это мало помогает.

 

Уважаемый клиент,

 

Компания Телфин предупреждает, что в последнее время участились случаи взлома и несанкционированного использования программных телефонных станций на базе свободно распространяемого продукта Астериск. В большинстве случаев подобный взлом приводит к генерации вызовов по направлениям с высокой стоимостью до момента блокировки по достижению отрицательного баланса на счете. Как правило, вызовы осуществляются в ночное время, что не позволет оперативно обнаружить несанкционированные вызовы.

Мы рекомендуем обратить внимание на настройки безопасности вашей программной станции. Минимальный список действий по предотвращению взлома:

- измените номер порта, на котором происходит взаимодействие Астериск с оборудованием Телфин и вашими внутренними телефонами. Оборудование Телфин поддерживает любой номер порта со стороны клиента

- настройте ваш файрвол на пропуск сигнального SIP трафика до IP адреса оборудования Телфин (sip.telphin.com или voice.telphin.com в зависимости от настроек вашего подключения)

- ограничьте правилами вашего файрвола список адресов и сетей, с которых подключаются ваши ip-телефоны и адаптеры

- используйте авторизацию ваших ip-телефонов и адаптеров с помощью пароля (digest authorization)

- используйте пароли с надлежащим уровнем сложности

- ораничьте количество одновременных исходящих вызовов, поступающих с ваших внутренних телефонов

- ограничьте список доступных для набора телефонных кодов странами и направлениями, которые используются вашими сотрудниками

 

В большинстве случаев подобных мер будет достаточно для предотвращения несканционированного доступа к вашему программному обеспечению.

 

С уважением,

Служба технической поддержки компании Телфин

support@telphin.com

Кто-нибудь еще наблюдает всплеск атак на клиентские астериски? Как вы боретесь или могли бы бороться с этой напастью?

Изменено пользователем Дятел

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ну если клиент сам настраивает астериск - сам и виноват. Юридически вы чисты.

Если вы настраиваете - капец вам :-)

 

Сталкивались с таким. Клиент сам дурак. Ничем кроме предупреждений вы им помочь не можете.

Один из инцидентов потянул на 150тыс.руб.

На стороне клиента все решается элементарно, в 2 действия. Было бы желание.

Изменено пользователем Diesel

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Diesel, клиент - он, конечно, "сам дурак", но он деньги платит, а если у него не будет денег (украдут, например) - он платить не будет. Поэтому хуже всего в любом случае в этой ситуации нам как провайдеру: либо клиент просто не оплатит фрод, либо обидится и уйдет к другим (неважно, что его там еще раз кинут, нам денег он уже не принесет). Насколько часто такое у вас встречается и думаете ли вы что-то предпринимать со своей стороны?

 

Мы планируем в ближайшее время начать блокировать клиента, если его трафик вдруг в 5 раз превышает обычный среднесуточный с уведомлением о блокировке на емейл и смс и возможностью отменить блокировку на сайте. По крайней мере, фрод не будет идти на всю сумму, которая есть на счете или до достижения безусловного лимита для постоплатных клиентов. Что еще можно было бы сделать?

 

ps. Увы, у нас инциденты измеряются уже даже не сотнями тысяч рублей :(

Изменено пользователем Aleck_K

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Судя по всем, снифером сканируют порты и подбирают пароли на внутренние экстеншны. По характеру ворованного трафика очень похоже на то, что во всех случаях действуют по одной и той же схеме.

А в каком месте вашей сети это можно сделать?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

и попадаем под небольшой набор статей.

в группе. по предварительному сговору)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Aleck_K

Кроме блокировки клиентов с подозрительно большим трафиком, вы сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту, главное чтоб было куда слать...

и попадаем под небольшой набор статей.

в группе. по предварительному сговору)

 

Я занимался этой темой пару лет назад, более того автоматизировал процесс до полного безобразия, естесственно для образовательных целей, проводил в своей конторе развлекательно познавательные семинары про VOIP ну и в качестве демонстрации ломал астериски...

Тут вобщем почти всё расписано:)

 

http://rrabochiy.livejournal.com/28150.html

 

Выводы просты:

1. В мире полно идиотов!

 

2. Всегда указывайте указывайте различные значения для authorization username и username для регистрации SIP абонентов.

 

3. Контролируйте количество сигнальных сообщений приходящих на ваш SIP proxy (неправильно настроенный SBC стоимостью в 100К$ не спасет) , кругом не только идиоты(см.пункт№1) но и негодяи которые только и думают как нажиться за ваш счет.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А в каком месте вашей сети это можно сделать?
Клиенты в паблик интернете, сканирование можно сделать откуда угодно.
сделайте какой-нибудь скрипт, который будет по максимуму сканировать ваших клиентов на уязвимости и в случае нахождения уязвимости или подозрение на неё, шлите email клиенту
Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности. Большинство будет просто игнорировать такие письма. КМК, люди не совсем понимают вероятность риска попасть на деньги со своим астериском. До сих пор не было ни одного способа настолько легкого отъема денег через интернет. Украсть вирусом данные кредитки и получить наличку не так-то просто, должна совпасть куча разных обстоятельств, а чтобы просканировать адреса в поисках незащищенного астериска и слить через него левый тарфик ничего особого даже делать не надо! Можно считать, что поставив астериск человек просто кладет в открытый доступ данные своего лицевого счета. Когда эти данные кто-нибудь найдет - вопрос времени.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Видел я это письмо, так как сам клиент "Телфина" с астериском. Настроено все грамотно, решил что пусть ломают если кому интересно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может с этим связано?

 

Уважаемый Пользователь!

 

В связи с покупкой бизнеса компании ЗАО «Телфин» компанией ООО «ЛайфТелеком» уведомляем Вас о необходимости переоформления договора на новое юридическое лицо.

 

Все обязательства ЗАО «Телфин» перед клиентами перешли к ООО «ЛайфТелеком»: все услуги будут оказываться в полном объеме, качество услуг будет поддерживаться на прежнем уровне, и уже в ближайшем будущем компания сможет предложить своим пользователям новые продукты и услуги. ООО «ЛайфТелеком» сохраняет бренд «Телфин»: основные услуги будут оказываться по-прежнему под брендом «Телфин».

 

Необходимые для дальнейшей работы договоры будут доступны на вашей персональной странице в ближайшее время. Стоимость и объем услуг для Вашей компании остались прежними, никаких изменений в тарифах не производилось, и в ближайшее время не планируется.

 

Позднее подписанные и заверенные печатью организации договора будут направлены в Ваш адрес.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>Я думал об этом. Проблема в том, что засылая кучу писем я все равно не могу не заставить клиента заняться настройками безопасности.

 

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации, пусть директор видет, а не только сис. админ, которому на всё пофиг

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

может с этим связано?
никак не связано

 

Тогда рассылайте не только емейлы, но и обычные письма на адрес орагнизации
Хорошая идея, спасибо. Попробуем отправить бумажные письма вместе со счетами.

 

PS. Сегодня ночью 2 новых инцидента! :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А поломайте кто-нибудь меня плиз. Чисто из интереса.

Изменено пользователем Дегтярев Илья

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ага.

Приверженцам SIP телефонии через паблик интернет - ПЛАМЕННЫЙ ПРЕВЕД! :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Уже несколько десятков живых абонентов через него ходят.
Ну Вы бы сразу заявление об административном правонарушении и явку с повинной в РКН накатали...

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Те кто умеют ломать - палиться скорее всего не будут, и ломать "на заказ" - тем более :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Половите классические пакеты на SIP порты, и попробуйте найти паттерны которые используют хакеры. Именно SIP пакеты (а не RTP) занимают немного места, можно и хранить, сразу отсеять "рабочий" траффик. Ну а потом сделать просто автоматическую блокировку для клиентов, кто скомпрометирован...
К нам приходит обычный клиентский авторизованный трафик, он ничем не отличается от обычного кроме того, что идет на экзотические направления.

 

Интереса ради прогнал три сотни клиентов с астерисками через стандартную проверку на пустой пароль - нашел двух таких умельцев. Из этих трех сотен только один отписался о том, что заметил атаку с нашего адреса. Вывод: из300 произвольных владельцев астерисков находятся два дятла и только один нормальный админ.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про дятлов - это наезд???

 

)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про дятлов - это наезд???

у меня дятлы с маленькой буквы ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

про дятлов - это наезд???
Ник меняйте. На Вудпекер, например, и тогда ничего казаться не будет.

 

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Я лоханулся на этом, подставил свою компанию на очень большую сумму. В системе был тестовый экстеншн с легким паролем. По идее он мог звонить тока на один номер, но видимо я что-то в диалплане менял и забыл про это. Не заходил месяц на машину. Потом, когда зашел и увидел, что с этого экстешна названивали в Сомали практически без перерыва. за 2,5 недели сумма составила шесть нулей. Никогда бы не подумал, что крошка виртуалка со 256мб оперативки такое натворит.

Вина всему моя халатность.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

В августе нашего абонента ломанули и за выходные пролили на 1144 тыр рэ !

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.