Hlavní navigace

Špatně zabezpečené VoIP stálo hoteliérku miliony. A nejenom ji!

 Autor: 29
Patrick Zandl

Česko oblétly dojemné snímky hoteliérky, které nabouráním do její VoIP ústředny odtekly během pár dní téměř dva miliony korun. Jenže to není zdaleka první případ. Amatérsky zabezpečené software ústředny jsou vážným problémem, který stojí peníze. Už dlouho.

První případy se začaly v Česku objevovat v průběhu letošního roku. A pod pojmem „první případy“ nerozumíme banální klukoviny, kdy kamarád provolá kamarádovi jeho kredit, protože zná jeho heslo od SIP telefonu, nebo když zhrzený zaměstnanec na poslední chvíli „trošku pošteloval“ firemní ústřednu. Na mysli máme organizovanou kriminalitu zaměřenou na podvody s internetovou telefonií.

Případ, který vynesla na světlo světa Česká televize v reportáži, kde jsme se i k problému vyjadřovali, je vlastně banální. Paní Blanka Přibylová, provozující malý hotýlek ve Valašeském Meziříčí, se rozhodla využívat internetovou telefonii. Mělo jí to přinést zajímavé úspory a nějakou dobu také přineslo. Až jí přišel účet za 1,4 milionu Kč a s jeho reklamací neuspěla. Za tři dny tuto částku protelefonovala na lichtenštejnské číslo. Tedy, zřejmě ne ona sama, ale někdo, kdo se naboural do její softwarové ústředny.

VoIP ústředna

VoIP ústředna B. Přibylové. Autor fotografie: Česká televize

Vlna kritiky se snesla především na společnost WIA, která dotyčné paní službu dodávala. Jak prý může zjevně podvodnou částku vymáhat, jak to, že nic neudělala atd. Šéf WIA Filip Malina se snažil v televizi bránit, v očích laické veřejnosti, která nemá náladu na zákoutí IP přenosu hlasu, mu to ale pravděpodobně moc nepomohlo.

Tak jednoduché to není. Podnikatelka si ústřednu sice zakoupila, ale nenechala si ji profesionálně spravovat. Pouze si ji napojila na SIP rozhraní WIA. Jenže software Asterisk je proslulý svou problematickou bezpečností a děr, kterými mohou útočníci do systému proniknout a ovládnout jej, je celá řada, v závislosti na verzi. A o záplatování těchto děr a přechod na novější verze se paní Přibylová nestarala, ani si na to někoho nezjednala. V tom byla první potíž.

Vyhledávání děravých Asterisků (i jiných SW ústředen) je dnes na internetovém undergroundu slušně bující business. Převzít vládu nad něčí ústřednou totiž prakticky ihned znamená peníze. Pak už stačí někam zavolat a zinkasovat podíl z ukončení hovoru. Že je procentuální výnos nepříznivý? Když to neplatíte ze svého, můžete být velkorysí … a do takové pasti paní Přibylová spadla, když scanner našel její děravý Asterisk. Pak už se začalo telefonovat do Lichtenstejnska.

Jak se okrádá přes VoIP

Proč tam? Má to svůj dobrý důvod. Jsou zde jedny z nejvyšších terminačních poplatků na mobilní vůči linkám fixním, to za prvé. Za minutu hovoru na lichtenštejnská mobilní čísla zaplatíte cca 12–20 Kč dle svého tarifu, za volání na místní pevnou linku stěží tři koruny. Kromě toho země není součástí EU, ale přitom je v Evropě a ještě ke všemu zde panuje bankovní tajemství. To všechno se útočníkům hodí.

Útočník nyní sestaví telefonní hovor na předem dojednané číslo. To si v daném případě objednali u IP-Communications GmbH, rakouské firmy zaměřené na německy hovořící trhy a na přeprodeje IP telefonie pod značkou Ahooly. Firmy, která je mimo jiné známá „prozváněcím scamem“ – tedy tím, že z jejího číselného rozsahu +423 662’700‘000 – 662’799‘999 vám někdo zavolá, ale „nedovolá se“, ihned zavěsí. Když mu zavoláte zpět, dostanete se k nějakému automatu, ale to už je vysoká částka hovorného pryč.

Od těchto obvinění dává firma samozřejmě ruce pryč s tím, že takové služby si prostě někdo objednal. Pravdou je, že zahraniční drahá čísla se někdy používají místo místních prémiových čísel, protože místní prémiová čísla bývají na řadě telefonů blokována, zatímco zahraniční hovory jsou povolené. I proto se lichtenštejnský telefonní scam s takovou oblibou používá.

V případě podvodu na paní Přibylovou si útočník s nějaký prozváněním hlavu nelámal, jednoduše se nabořil do její ústředny a celou její kapacitu zaměřil na telefonování na dojednaná lichtenštejnská čísla. Jelikož na obou stranách šlo o VoIP ústřednu, nebyl problém realizovat několik hovorů simultánně a tím také danou částku provolat podstatně rychleji. Jinak by totiž potřebovali více než dva měsíce, ale dvacet simultánně běžících hovorů nebylo nic, co by ústředna nezvládla.

Problémem v daném případě bylo, že si dotyčná zákaznice nenastavila limit a službu měla placenou fakturou. Kdyby používala limity, vyčerpal by se limit, poskytovatel služby by službu zastavil a až by se paní nemohla dovolat, zjistila by, že jí chybí jen ten limit. Takhle má smůlu, protože její poskytovatel VoIP služby bude muset s největší pravděpodobností protelefonované objemy proplatit svému dodavateli, a tak je bude také logicky požadovat.

Šance, že policie vymůže z lichtenštejnské pobočky IP-Communications GmbH nějaké kontakty na nájemce čísla, nebo vymůže neproplácení výnosů z příchozích hovorů na toto číslo, není příliš velká.

Podvody na VoIP zařízeních se množí

S podvody účastníků VoIP provozu se budeme setkávat stále více. Jen do naší redakce se letos dostala zhruba desítka těchto podvodů, několik z nich mělo dohry ve statisícových částkách. V jednom případů měli útočníci dokonce tu drzost, že si z hacknuté Asterisk ústředny udělali svou tranzitní ústřednu pro mezinárodní hovory, které odbavovali pro jiné firmy. Samozřejmě mohli konkurovat slušnou cenou, tu platil český uživatel do doby, než si za měsíc všiml statisícového účtu. I tady byl na vině špatně zabezpečený Asterisk.

Pro VoIP poskytovatele je navíc nepříjemný fakt, že podobné problémy ohrožují jejich business. Zatímco šetření za telefonování přes VoIP už dnes představuje spíš korunky a haléře za minutu, jeden úspěšný útok vás zbaví úspor na léta dopředu. Obrana je přitom dvojí: nechat si zabezpečit kvalitně svou software ústřednu, nejlépe od dodavatele VoIP služby, na němž se pak můžete hojit, když jeho zabezpečením útočníci projdou. A nastavením limitů, díky čemuž nepříjemné překvapení bude mít ještě únosný strop.

Anketa

Používáte VoIP ústřednu?

Našli jste v článku chybu?

4. 11. 2009 9:30

Michal Kubeček (neregistrovaný)
Amatérsky zabezpečené software ústředny jsou vážným problémem, který stojí peníze.

Ono je v češtině slovo amatérsky synonymem pro špatně? Realita je taková, že řada amatérů odvádí perfektní práci a naopak spousta profesionálů je schopna zakázku zmršit tak, že nad tím zůstává rozum stát. Problémem není amatérsky zabezpečený systém, ale špatně zabezpečený systém; a je úplně jedno, jestli ho špatně zabezpečil amatér nebo profesionál.

4. 11. 2009 10:27

Petr Benda (neregistrovaný)
Rád bych se zastal projektu Asterisk, protože se v článku několikrát zmiňuje, že Asterisk má "notorické" problémy s bezpečností. Není to pravda viz seznam bezpečnostních problémů na www.asterisk.org.

Problémy jsou ve špatně zabezpečených(neaktualizovane, spatna bezp.politika) OPERAČNÍCH SYSTÉMECH na kterých je Asterisk provozován!

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

120na80.cz: 5 nejčastějších mýtů o kondomech

5 nejčastějších mýtů o kondomech

Vitalia.cz: Test na HIV je zdarma i za pět set

Test na HIV je zdarma i za pět set

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

DigiZone.cz: Česká televize mění schéma ČT :D

Česká televize mění schéma ČT :D

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Co všechno ovlivňuje ženskou plodnost?

Co všechno ovlivňuje ženskou plodnost?

Root.cz: 250 Mbit/s po telefonní lince, když máte štěstí

250 Mbit/s po telefonní lince, když máte štěstí

Vitalia.cz: Pravda o přibírání na zimu

Pravda o přibírání na zimu

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: NG natáčí v Praze seriál o Einsteinovi

NG natáčí v Praze seriál o Einsteinovi

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka