Názory k článku VoIP podvody: úvod do anatomie útoků, které vás můžou stát stovky tisíc korun
-
DD a děkuji za zájem. Ten článek jsem slíbil v listopadu a dodal ho až teď. Zkušenosti s vyhledáváním SIP zařízení zamýšlím připravit v únoru. Bude to náročnější na zpracování údajů i na jejich správnou interpretaci. Tlačí na mne ale i redakce. Pokusím se mezitím připravit něco jednoduššího. Např. popis nějakého podvodu.
-
Jojo, to znam.
Takhle jsem prisel asi o 50 euro. Proste najednou byl credit prazdny. Tak jsem kontroloval co se deje a zjistil jsem, ze nase ustredna volala asi 50 kanalama soucasne na tisice ruznych cisel s ruznymi prefixy a stejnym koncem. Nektere z tech cisel se skutecne spojilo a 50 euro bylo pryc. 50 euro nam bezne vystaci na rok,
Pri analyze jsem zjistil, ze to byl nekdo z Ciny, pripojil se celkem bez problemu na port 5060, ktery nebyl blokovany vuci spojeni z jinych adres nez z povolenych a nejakym zpusobem i po nekompletni autentikaci se dostal na default cestu v dialplanu a bylo po vsem.
Reseni:
firewall ktery dovoli spojeni na 5060 jenom z adres ktere na to maji pravo
default path v dialplanu nesmi mit moznost volat ven.
Je to uz peknych par let, takze detaily si pamatuju jenom zhruba, takze nechtejte po me podrobnosti. -
Pryc od Mikrotechu (neregistrovaný)
Mne Mikrotech slohl 50 euro, ani nikam nezavolal.
Mel jsem na kreditu jeste 500,- Kc a doplnil jsem si dalsi 1000,- Kc pro jistotu... . Kdyz jsem chtel zavolat, tak to proste neslo, mel jsem vybileny kredit i kdyz nikdo nikam nevolal.
Staci mu tvrzeni, ze mel nejakou poruchu na systemu a ted asi 3 roky dava dohromady prichozi platby s odchozimi hovory.
Policie se zabyva jen zlodeji nad 5.000,- Kc, tak si beztrestne dale provozuje sve telefonni sluzby.Asi nejsem vyjimka, drzte daleko od Mikrotechu, jsou to zlodeji.
-
brk (neregistrovaný)
Podobná zkušenost, jen operátor je jiný. Asi ho nechci ani jmenovat, protože jsem s ním jinak víceméně spokojen. Klasický garážový ISP, který se časem vypracoval na pár obcí v okresu, kde ho situace donutila krom internetu nabízet i VoIP, IPTV a čert ví co ještě. Takových je všude plno a problémy mají jak přes kopírák. 5-10 zaměstnanců a co funguje, to je ok. Opravdové odborníky nemají šanci zaplatit.
VoIP bylo taky na kreditní bázi a jednoho dne bylo pár stovek zbylého kreditu fuč. Škoda nepodstatná, ale celkem by mě zajímalo, co se s největší pravděpodobností stalo? Útočník napadl jeho ústřednu a nás jako koncáka to stalo ten kredit, nebo jsou i útoky, kdy třeba nějaký záškodnický software napadne počítač v síti, který se pak snaží nabourat SIP telefony někde za NATem v dané sítu a ty pak buď přímo zneužít, nebo přístupové údaje v nich uložené?
-
j (neregistrovaný)
Napadnout se da klidne VoIP telefon, jenom takovej utok bude rekneme mene efektivni nez napadnout ustrednu.
Me na tomhle spis fascinuje, ze ackoli ty prachy nekomu realne doputujou (klidne i primo zakaznikovy ceskych OPu), tak se vsichni tvarej, ze je vlastne vsechno OK, a nikdo nevi o koho jde. Pricemz na zapad od nasich hranic je to prevazne pojato tak, ze za "nadmerny" odber sluzeb zodpovida jejich poskytovatel (operator) a proto se v pripade ze dojde k nejakemu vyraznemu prekroceni bezne utraty snazi klienta kontaktovat (trebas i vstoupenim do probihajiciho hovoru) a pripadne tu sluzbu proste vypne.
Jednoduse proto, ze prece nikdo nemuze chtit po zakaznikovi, aby resil bezpecnost naprosto cehokoli. To je zodpovednost toho, kdo sluzbu dodava.
-
na druhou stranu je skoda ze misto aby vse jiz v minulosti vedlo k unifikaci - jediny protokol, klienti pro vsechny mozne i nemozne platformy a zarizeni stale ma nekdo pocit ze musi znovuvynalezat kolo. nejbliz tomu v jistou dobu v minulosti byl icq, jenze byl proprietarni a mel dasi omezeni, pak asi to skype jenze tech protokolu a klientu co se mezi sebou nedomluvi je mraky .. nekdo ma whatsapp, jiny viber, jiny fb messenger, jiny wechat, neco jineho apple useri a milion dalsich, nekdo ma kombinace nekterych z nich, neco jen na necem, neco jen text, neco i voice, neco i video ... ve finale clovek musi nejdriv zjistit co protistrana pouziva a pokud to ma byt jednorazova nebo ridka komunikace nema smysl to resit a je lepsi radeji zaplatit vypalny nasim operatorum nebo aspon trochu usetrit pres voip
-
Ne Skype je něco jiného. Pro některá použití není vhodný nebo dostatečně bezpečný. Co jej dostal do parády Microsoft tak neroste tak jak by měl a mohl a je možné že se Microsoftu jej podaří i pohřbít. Jestli se Skype přesune na web, tam mu bude moci konkurovat úplně kdokoli se svým webem.
SIP VoIP má budoucnost, protože SIP je používán i ve VoLTE, tedy za 5 až 10 let se přes VoIP bude volat z mobilních telefonů. SIP se také používá na propojích velkých operátorů. Co se týče VoLTE ta SIP je to poněkud přiohnuto a propritálně zaděláno aby jste nemohli využít většinu výhod, je to pořád ten stejný SIP. -
SIP už používají nejenom VoIP operátoři a mobilní operátoři v rámci VoLTE. SIP už se prosazuje dokonce i jako základ velkých fixních hlasových sítí. V současné době na SIP migruje např. fixní síť českého CETINu a dtto T-Mobile (= exGTS). SIP tak postupně nahrazuje klasickou SS7 a slouží k mezinárodnímu propojení většiny velkých operátorů. Už nejmíň před rokem jsem "zaslechl", že 80 % mezinárodních hlasových propojů jede v SIPu.
-
Na to neumím odpovědět. CETIN údajně zkracuje účastnická vedení aby zvýšil rychlost VDSL. Z pohledu účastníka se zdánlivě nic nemění. Metalika zůstavá metalikou i analog zůstává analogem. Operátor jenom přibližuje své DSLAMy k účastníkům. Na jejich úrovni ale nově dochází ke konverzi na VoIP/SIP. A tím budou účastníci přepojeni z digitálních ústředen na softswitche. Stejně jako byly voličové a křížákové ústředny před 25 lety nahrazeny digitály, tak nyní budou digitály nahrazeny SIPem.
-
pb. (neregistrovaný)
SIP rozhodně není technologie minulého tisíciletí. To je jen s minimem nadsázky podobné, jako argumentace, že elektronická pošta je zbytečná, protože dnes už se dají posílat zprávy přes Facebook.
SIP je protokol pro vytvoření komunikačního kanálu. Co se v tom kanálu bude přenášet, je SIP protokolu srdečně jedno, ten s tím nemá nic společného. SIP je u VoIP obdobou HTTP - přenáší se nejen text (HTML), ale i obrázky, video...
-
Podle mne hlavní chyba je už v návrhu SIP a její implementace. Není dobré odpovídat útočníkovi na options a jiné SIP nesmysly, aby si tak snadno mohl najít kořist na celém internetu. Když už ví, že na vaší IP běží něco se SIPem, tak pak už proskenuje úplně vše. Správně aby SIP ústředna odpověděla na dotaz k hovoru nebo registraci, je třeba znát správné existující jméno na onom serveru. Jinak je lepší se vůbec nebavit.
Volání na SIP uri téměř žádný VoIP operátor nepodporuje a pokud ano, může se bavit jen s tím, kdo zná správně číslo/id volaného. Takže také to není problém.
Stejně tak nemá žádný smysl, aby bylo dovoleno hádat hesla hrubou silou. Omezení počtu pokusů kdy se zkouší různá hesla mělo být už v samotném protokolu. Pravda když si zvolím hodně náročné heslo, nikdy jej nejspíš neuhádne, ale i tak mne zatíží, zaplní logy a nadělá zbytečný síťový provoz do zahraničí.Vždy mne udivuje jak experti radí si volit hodně obskurní hesla (která ještě vyžadují často měnit), ale to že je mnohem efektivnější omezit počet pokusů tyto experty nenapadne.
Dále je potřeba ještě zabezpečit webové stránky ústředny a VoIP telefonu. To je v posledních letech největší zdroj hesel pro útočníky. Pokud nejdou SIP hesla přímo vytáhnout z webových stránek, telefon je možné na drahá čísla pomocí webu přesměrovat.
Jo a úplně nejvíc nebezpečné bývá kombinovat VoIP s GSM bránami nebo ISDN. Tam se na to přijde později a ceny jsou ještě vyšší. U všech SIM co dáte do brány zakažte volání do zahraničí u operátora. Premium SMS a podobně jsou také bezpečnostní nesmysl i když zneužití není moc.
-
Počet pokusů se dá držet v paměti a není třeba ho nutně ukládat do DB. Docela dobře taky funguje vložení časové prodlevy už mezi žádost a odpověď. Po překročení limitu neúspěšných pokusů se pak vloží přiměřeně dlouhá mrtvá doba. Při dobré implementaci je to nenáročný na výkon a téměř dokonalý.
Poněkud drastická ale pro útočníka neočekávaná finta je odpovídat na všechny pokusy o SIP registraci jejích schválením (= 200 OK). Je to asi za hranicí rozumné implementace SIPu. Někdy ale účel (= dobrá ochrana proti podvodům) světí prostředky.
-
No on DOS a DDOS je trochu něco jiného (hlavně jiné cíle) než hádání hesla, případně jména i hesla. Útočník chce být nenápadný, abychom jej nezařízli firewallem nebo lepším nastavením ústředny a v klidu si zkoušet.
Ale hlavně, server který se na vše snaží odpovědět přetížíte snadněji než ten, který se po třetím pokusu přestane bavit a pokud to nepřestane ještě přidá pravidlo pro firewall. -
daemon (neregistrovaný)
VoIP, mimochodem, zcela postrádá nouzové vlastnosti. Při výpadku napájení klasická analogová linka stále funguje, protože účastnická smyčka je napájená z ústředny. I na ISDN zůstane nouzové napájení pro jedno koncové zařízení.
V případě VoIP jsou zapotřebí nějaké aktivní prvky - modem, router, wifi bazmek na střeše nebo alespoň switch. Napájení všech takových zařízení, včetně vlastního VoIP telefonu, ale zpravidla není nijak zálohované. Napájecí adaptér je prostě strčený "do zdi", do běžné zásuvky 230VAC. Takže při výpadku napájení můžete např. policajty, hasiče nebo záchranku volat leda tak z okna.
Ale zase je to děsně levné, že... -
daemon (neregistrovaný)
A to nemluvím o tom, že VoIP naprosto zbytečně zatahuje notoricky známé a rozšířené technické (Zkuste VoIPovat přes NAT, že... Při tom se v plné kráse ukáže naprostá bída a nedomyšlenost SIPu.) a bezpečnostní problémy Internetu do telefonie. Takže až se něco opravdu pořádně podělá, nejen že nepotečou data, ale ani nezavoláme na druhou stranu, abysme se domluvili, že se to podělalo.
-
daemon (neregistrovaný)
To, že na IPv6 se ten problém většinou neprojeví, neznamená, že tam není - adresy síťové vrstvy v aplikačním protokolu. Naproti tomu H.323 takovým problémem netrpí. Na síťové vrstvě se vyřeší, aby ten paket došel z bodu A do bodu B a je celkem jedno, jestli prochází NATem nebo jinou prasárnou. Q.931 na vyšších vrstvách potom nezávisle vyřeší věci spojené s telefonováním. Bohužel, z obtížně pochopitelných důvodů, se prosadil nesmyslný SIP.
-
Cek (neregistrovaný)
To je snad jasny, zajima ho, jak se to na sitove vrstve vyresi skrz ty NATy kdyz tam nebude SIP ale H.323
"Naproti tomu H.323 takovým problémem netrpí. Na síťové vrstvě se vyřeší, aby ten paket došel z bodu A do bodu B a je celkem jedno, jestli prochází NATem nebo jinou prasárnou. "
-
Petr M (neregistrovaný)
To je jasný. Bez ohledu na protokol je zařízení za NATem vidět jenom:
1) Skrz tunel, který si zařízení otevře na zařízení s veřejnou IP adresou (třeba TCP socket), ale tam musí navázat spojení právě to zařízení. Nejde to zvenčí a někdo jiný se připojí jenom v případě, že použije fake source IP adresu.
2) Namapováním na port na straně WAN routeru a nastavením protistrany.
3) Otevřením portu pomocí UPnP - pak musí pro legitimní užití aplikace propagovat IP adresu a port na NATu (= nejde to použít univerzálně, musí pro to být podpora na routeru i v aplikaci), při očuchání portů by pak bylo vidět, co za službu tam běží.
4) Otevřením přístupu za NAT na firewallu, ale komunikovat v síti před NATem s prefixem 10.x.x.x nebo 192.168.x.x je, no slušně se to říct nedá.
5) Pomocí VPN, ale představ si, že VoIP ústředna dostane klíče k VPNku každýho zákazníka...A tohle není vlastnost aplikačního protokolu, tohle je dáno právě síťovou vrstvou, na kterou se pak jakýkoliv vyšší protokol (TCP, UDP a to nad nima) musí spolehnout. Když pod to strčíš IPv6 místo IPv4, hodně věcí se zjednoduší.
-
Yokotashi (neregistrovaný)
Dve stare autobaterka (nebo vyrazene podobne velke gelovky) utahnou wifi AP, switch a server s celeronem N3050 hodiny a hodiny. Nabijeni obstara menic z ebaye s omezenim proudu (klicove slovo CC-CV) za 150Kc a napajeni pristroju dalsi 1-3 menice (staci 1, pokud maji pristroje stejne napeti) + pikoPSU v pocitaci (vyzaduje 12V+-5%, proto 24V baterky, aby nebyl potreba buck-boost menic).
Alternativne je mozne pouzit jednu 12V baterku, menic na 5V pro AP a pripadny switch a menic na 19V pro notebook. Celkove naklady cca 500kc + stara baterka, ktera kamaradovi predloni nezvladla nastartovat auto. V pripade pouziti gelovky to muze byt o neco drazsi, ale zase ji lze hodit v panelakovem byte pod postel a nic se z ni neuvolnuje.
V pripade velke urovne paranoii se to da navic zkombinovat se solarnim panelem v okne / na balkone / na strese.
-
Petr M (neregistrovaný)
Pokud nefunguje GSM, tak buďto chcípla BTSka/síť (a máme tady 2-3 sítě, 112 není vázaná na operátora, takže se dovolám přes konkurenci), nebo pokud nejede ani jedna BTS v okolí, je asi někde přerušená páteřní lajna a pravděpodobně by to postihlo i tu analogovou linku.
Pevná lajna je ti zase nanic v případě, že sesuv půdy s sebou vezme nejenom vedení NN, ale i tydlifón. GSM v tom případě normálně valí.
Btw, záloha modemu, routeru, switche a AP na jednu hodinu výpadku mě vyšla na necelý 2kKč (ani ne 1/6 minimálního platu v ČR), takže to není nic, co by bylo v praxi nedosažitelný.
-
daemon (neregistrovaný)
Ach jo, zase jeden "mladý mudrlant"... Promiň, že to tak píšu.
ad nejde ani jedna BTS - nebo vládní establishment poručil vypnout GSM... Ano, vím, DNES je to naprosto nepředstavitelné... ad přerušená páteřní lajna - takto to ale v PSTN nefunguje. ad sesuv - nejsme v jižní Americe. U nás nevedou tranzitní tel. kabely přes sesuvová území. My tady žejeme na žulovém plutonu. ad záloha - jasně, MY co se kolem toho motáme, si pořídíme UPSky, baterky, solární panely. Mnozí z nás u sebe mají i několik GSM telefonů. To už ale neplatí pro tetu Bětu z Horní Dolní.
Prostě VoIP je jeden velký omyl. Sítě založené na TDM zatím nic nepřekonalo. -
TP25 (neregistrovaný)
Myslis TP25 z vojny ?
http://www.army-surplus.cz/upload/2281300/pic1_full.jpg
Co si pamatuji tak dokazal bezet i s jednim dratem a druhy banan se pichnul do zeme, par stovek metru to dalo :) Akorat byl vopruz s tema baterkama.
http://www.armatex.cz/Galery/spojarina-radiostanice/product98/polni-telefon-tp-25-84-3.jpg
-
Peter (neregistrovaný)
Hlavny problem je, ze spravidla dodavatelia VOIP telefonnej sluzby nemaju zaujem zaujem podvodne telefonaty riesit. Namiesto toho, aby dodavatelia odmietli zaplatit poplatky dalej v retazci, na ktoreho konci je pachatel (lebo ten musi nakoniec telefonat monetizovat, inak by to cele nerobil), radsej sa vyhrazaju klientovi, ze ho odpoja, ked nezaplati. Keby dodavatelia za taketo ocividne podvodne hovory (napr. 40 hovorom z jedneho cisla sucasne) neplatili, bolo by po vtakoch.
-
Velké tele firmy jsou hrozně hloupé a arogantní. Co je práce na hodinu, oni z toho zvládnout udělat projekt na měsíc. A hodinu zvládnou dělat to co je na minutu. Hovory jdou v podstatě vždy přes několik prostředníků. A také není vůle.
A navíc mezinárodně je právo v podstatě nevymahatelné. V podstatě nehrozí, že by byl pachatel vypátrán a dostal by nějaký trest.A teď si představte, že stejné fraudy jde dělat i z hacknutého android telefonu. Vlastně nemusí být vůbec hacknutý, stačí k uživateli dostat přes google play nějakou aplikaci co obsahuje trojského koně a má právo vytáčet hovory. Jen se to ještě jaksi nerozmohlo. Podobně lze velmi často vykrást i bankovní účet díky bankovním aplikacím, tam to sice nebude tak jednoduché, o to více je však možné nakrást proto je to zajímavější. Pachatel by nejspíše počkal až se nakazí desetisíce telefonů a pak během jedné víkendové noci vybílí tisícům lidí jejich bankovní účty. Než si toho bankéři všimnou, bude mít peníze někde v zahraničí. Já jen čekám kdy to začne.
Z pohledu uživatele je lepší mít dobrovolně nastaveny vždy nějaké limity. Předplacený kredit je ideální, jen jej nemají rádi operátoři, protože z postpaid smluvama lidé více utrácí.
-
Předplacený kredit je ideální, jen jej nemají rádi operátoři, protože z postpaid smluvama lidé více utrácí.'
Rekl bych ze ho taky nemaj radi prave proto ze velikost scamu je prave zastropovana vysi kreditu+ nasrany zakaznik si pak dalsi kredit uz koupi u konkurence.....
Jinak to drancovani telefonu je presne to o cem mluvil nedavno JohnMcAfee v souvislosti s eventuelnim rozsirenim cryptomen a jejich skladovanim v 'penezenkach' na mobilu..... Android je pro takovy zlodejiny primo stvorenej.
-
U SIPu bych videl jako nejvetsi problem, ze ty nejlepsi kodeky jsou proprietarni a tudiz nemuzou bejt v gratis opensource SIP klientech, nacez 'profesionalni' HW se prave na ty proprietarni nejvic spoleha, takze je nekdy problem aby se 2 konce domluvily ikdyz se treba proboxujou pres vsechny NATy....
Doufam ze v pokracovani bude i neco malo o kompatibilite ruznych zarizeni....?
-
ktere kodeky mate na mysli ?
g.729 patenty uz vyprsely takze jej muze pouzit kazdej
jinak mne zaujal
https://en.wikipedia.org/wiki/Codec_2
jen co lze vykouzlit i s velmi malym bitrate
-
Rád bych zde využil příležitost a zeptal se na názor, proč nepoužívat pouze standardní kodek
ITU typu G.711 ? Někdy bývá označován jako PCM kodek.Dříve mohla být důvodem úspora kapacity internetu. Na 1 hovor v G.711 je třeba 2 x 100 kb/s.
Dnes se mi úspora kapacity zdá zbytečná. 99 % fixních i mobilních přípojek internetu už má
kapacity, kde se i několik hovorů v G.711 zcela ztratí.Převážná většina hovorů navíc jde do/z veřejných sítí a na přechodu mezi nimi a VoIP sítí je pak
stejně nutný dělat konverzi na G.711. Konverze mívá negativní vliv na kvalitu hovoru.Co mi tedy uniká ?
-
Podle mne jediný důvod proč nepoužívat G.711=ALAW=PCMA je pokud máte měřená omezená data na mobilním internetu. Pak třeba G729 ale s větší než obvyklou paketizací 20, tedy např. 60.
Vhodnou paketizací lze dosáhnout hovoru i s datovým tokem něco málo nad 10 kb/s.
To ale tvůrci softwarových telefonů nechápou, tedy většinou je nutné se smířit s nevhodnou paketizací 20.
Jakýkoli komprimovaný kodek je ale výrazná úspora.
