Noční útok
Útočník se v nočních hodinách pokoušel uskutečnit drahé hovory do Tuniska, Etiopie, Abcházie, Afghánistánu, Makedonie, Běloruska, Albánie i několika ostrovních území. Jako volající figurovala skupina devíti moravských telefonních čísel.
Z úrovně tranzitního operátora se nejdřív zdálo, že došlo k napadení ústředny VoIP operátora. Věděli jsme, že příslušný operátor zákazníkům přiděluje pro ústředny i koncová zařízení neveřejné IP. Nasvědčovala tomu i skupina čísel volajícího, která neměla charakter série čísel pobočkové ústředny.
Celkem od VoIP operátora přišlo za necelé dvě hodiny přes 200 žádostí o hovor. Malá skupina nejprve směřovala na běžná evropská čísla. Ta útočníkovi asi posloužila ke zjištění nepotřebnosti prefixu pro volání do veřejné sítě a pro určení prefixu zahraničních hovorů. Zároveň si na nich útočník ověřil možnost volat do zahraničí. Tyto hovory byly krátké a levné, celková škoda byla v řádu korun.
Většina dalších volání už směřovala na různá čísla ve výše uvedených zemích. Převážnou většinu takových žádostí SIP anti-fraud ihned vyhodnotil jako pokus o VoIP podvod a odmítl je tranzitovat do zahraničí. Prošla pouze skupina hovorů na relativně levná čísla v uvedených zemích. Jejich celková délka byla několik málo desítek minut a škoda stovky korun. Ty po nějaké době SIP anti-fraud taky zablokoval.
Souhrnná škoda daného podvodu nepřekročila 1 000 Kč. V minulosti byly publikovány případy, kdy jiné podobné podvody způsobily škody v řádu stovek tisíc korun.
Reakce operátora
Neprodleně jsme informovali VoIP operátora. Ten velmi rychle zjistil, že podvodné hovory přicházejí od zákazníka provozujícího skupinu koncových zařízení užívajících neveřejné IP adresy. Zároveň pohotově zjistil, že útok na VoIP zařízení zprostředkoval napadený router MikroTik, přes který došlo ke zneužití IP telefonů typu Grandstream GXP 1610, Well T20 a Well T22p.
Slabým místem se ukázalo být nekvalitně zabezpečené CTI rozhraní těchto telefonů. Ta umožňují ovládat IP telefony ze SW call center nebo z jiných aplikací. Typicky přijímat příchozí hovory (funkce Accept-Call) nebo uskutečňovat odchozí hovory (funkce Click-To-Dial).
Jde o HTTP rozhraní, které někteří výrobci nepřesně označují za RESP API. Zdaleka ne každé VoIP zařízení má ve své výbavě CTI funkce. Pokud už je má, pak jejich ovládání je specifické pro skupiny VoIP zařízení daného výrobce. Mezi „pikantní“ vlastnosti CTI funkcí někdy může patřit i to, že jsou implicitně zapnuty nebo že CTI funkce „spolehlivě“ fungují i při nezadání hesla.
Např. SIP telefon typu Grandstream GXP 1610 (resp. asi celá rodina těchto telefonů) má implicitně své CTI funkce povoleny a na testovací dotaz bez hesla:
http://X.X.X.X/cgi-bin/api-get_line_status?pasword=
Přístroj „ochotně“ vrátil odpověď obsahující stav obou jeho linek:
{"response":"success", "body": [{"line": 1, "state": "idle", "acct": "1", "remotename": "", "remotenumber": "", "active": 0}, {"line": 2, "state": "idle", "acct": "1", "remotename": "", "remotenumber": "", "active": 0}]}
Podobně tomu je u telefonů typu Well T20 nebo T22p. A přesně taková slabá místa byla zneužita v případě výše popsaného VoIP podvodu. Ke zpřístupnění telefonů na privátních IP adresách napomohl napadený router MikroTik, který útočníkovi umožnil přenos CTI pokynů na privátní IP adresy.
Elegantní napadení
Klasické napadení SIP účtu pobočkové nebo operátorské ústředny je otázkou prolomení SIP hesla nebo dálkového přístupu na daný server. Nikdy jsem však dosud neslyšel o konkrétním principu napadení koncového zařízení. Polemické se zdají být úvahy o zadních vrátkách výrobců nebo programátorů. Zde popsaný případ je neočekávaným příkladem „elegantního“ útoku na IP telefon či VoIP bránu.
Klasická doporučení pro všechna VoIP zařízení je používání dostatečně silného hesla pro SIP registraci. K tomu lze přidat další doporučení. Nejprve upgrade telefonu či brány na poslední verzi jeho firmware, který by snad mohl mít opraveny bezpečnostní chyby starších verzí. Pak kontrolu, zda telefon či brána nemá zabudovány CTI funkce a tyto nejlépe zablokovat. Pokud snad mají být CTI funkce někde využívány, pak musí být kvalitně zabezpečeny. A samozřejmě nezapomenout na bezpečnost webového rozhraní pro konfiguraci zařízení.
Znovu se navíc potvrdilo, že žádné opatření proti VoIP podvodům není samospasitelné. Ani zdánlivě bezpečné neveřejné IP nejsou nepřekonatelné. Vždy má být kombinována skupina více technických i organizačních opatření. Inspirativní výčet více možností lze najít v článku o VoIP podvodech na české Wikipedii.