Comments 42
На андройд устройствах было прямое подключение или через STUN-сервер?
Прямое
Epic fail
На что влияет STUN?
В данном случае он вообще был бы бесполезен. Последняя из записей вообще запускалась из офиса, между клиентом и сервером никакой трансляции адресов. Да и вообще-то у сервера телефонии белый IP-адрес, именно для того, чтобы не заморачиваться со STUNом.
Возможно взлом Вашей АТС?
Спёрли все учётки, настроенные в зойпере, и только их. И да, мы сменили на этих учётках пароли — никакого взлома больше не видно. И левых подключений по ssh или к веб-интерфейсу тоже не видно, что неудивительно — доступ к ним ограничен файерволлом.
Не похоже на взлом АТС.
Не похоже на взлом АТС.
А вариант трояна на Android-телефоне проверялся?
Левых не видно, а как насчет доверенных? Ведь может быть троянец-инсайдер…
И потом, взлома не видно, а попытки взлома? не ведется учет попыток использования старого пароля? Может это уязвимость какую-то нашли, проверяли…
И потом, взлома не видно, а попытки взлома? не ведется учет попыток использования старого пароля? Может это уязвимость какую-то нашли, проверяли…
Вообще логируются фейлы. Я, правда, уже не смотрел. Меня интересовало, сразу ли пароли были верные — да, были сразу. То есть, связка (сервер, логин, пароль) была подключавшимся сразу известна.
Троянец-инсайдер — это как-то тоже маловероятно. Доверенные — это две машины на линуксе в непосредственной близости к серверу, и одна макось через ssh.
В любом случае, подозрительно, если это уязвимость и т.п. — почему именно зойпер и только зойпер, причём все учётки с зойпером какие были?
Троянец-инсайдер — это как-то тоже маловероятно. Доверенные — это две машины на линуксе в непосредственной близости к серверу, и одна макось через ssh.
В любом случае, подозрительно, если это уязвимость и т.п. — почему именно зойпер и только зойпер, причём все учётки с зойпером какие были?
Хороший был SIP-клиент для android-a. Придется снова менять.
Нам тоже в субботу сипнет прислал:
Здравствуйте,
Наблюдается опасная активность по международным направлениям. С огорчением должны сообщить, что Ваше оборудование взломано, пароли украдены.
Мы постарались максимально снизить риск немедленного обнуления баланса, список заблокированных вызовов прилагается. Однако применяемая мошенниками схема довольно гибкая. Ликвидация утечки исключительно средствами SIPNET невозможна. Только Вы можете обезопасить свое оборудование и прекратить неправомерное использование счета.
Пожалуйста, проверьте журналы вызовов, систему контроля доступа и замените пароли. Прочитайте статью bit.ly/voipfraud
SIP ID: 00********
IP: 206.222.164.204 (USCA Los Angeles)
Фрод лог за последний день
MSK (UTC+04:00) E.164 Direction IP User-Agent Code
07.12.2013 03:43:02 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:42:55 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:42:52 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:41:07 48185210940 Poland Proper 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:40:59 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:40:53 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:40:47 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:40:41 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
SIPNET
Но я настолько уверен что с атс всё ок, что даже подумал на какие-то ошибки со стороны Сипнета. Эта статья добавила плюсов в эту версию.
Здравствуйте,
Наблюдается опасная активность по международным направлениям. С огорчением должны сообщить, что Ваше оборудование взломано, пароли украдены.
Мы постарались максимально снизить риск немедленного обнуления баланса, список заблокированных вызовов прилагается. Однако применяемая мошенниками схема довольно гибкая. Ликвидация утечки исключительно средствами SIPNET невозможна. Только Вы можете обезопасить свое оборудование и прекратить неправомерное использование счета.
Пожалуйста, проверьте журналы вызовов, систему контроля доступа и замените пароли. Прочитайте статью bit.ly/voipfraud
SIP ID: 00********
IP: 206.222.164.204 (USCA Los Angeles)
Фрод лог за последний день
MSK (UTC+04:00) E.164 Direction IP User-Agent Code
07.12.2013 03:43:02 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:42:55 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:42:52 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:41:07 48185210940 Poland Proper 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:40:59 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
07.12.2013 03:40:53 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:40:47 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
07.12.2013 03:40:41 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
SIPNET
Но я настолько уверен что с атс всё ок, что даже подумал на какие-то ошибки со стороны Сипнета. Эта статья добавила плюсов в эту версию.
Мне кажется, что это голословно сразу обвинять в случившимся программные продукты zoiper. Исходя из написанного zoiper использовался для звонков через ваш asterisk через учётные записи сотрудников используя технологию sip. Скорее всего, в таком случае ваш сервер имеет ip-адрес в глобальной сети, к которому подключаются клиенты. Используются ли дополнительные средства защиты (vpn, шифрование) не указано. Варианты, которые можно проверить:
— версия asterisk, которая подвержена взлому и использование zoiper всего лишь совпадение,
— клиенты использовали подключение к серверу в незащищённых сетях, возможно, контролируемых 3й стороной, пароль был украден во время аутентификации на сервере,
— возможно, вредоносное ПО на телефонах, которое «крадёт» пароль, который zoiper хранит для подключения,
— злоумышленники использовали «человеческий фактор» и ваши клиенты сами выдали им пароль.
— версия asterisk, которая подвержена взлому и использование zoiper всего лишь совпадение,
— клиенты использовали подключение к серверу в незащищённых сетях, возможно, контролируемых 3й стороной, пароль был украден во время аутентификации на сервере,
— возможно, вредоносное ПО на телефонах, которое «крадёт» пароль, который zoiper хранит для подключения,
— злоумышленники использовали «человеческий фактор» и ваши клиенты сами выдали им пароль.
Как-то так, наговорили на $3.5.
Андройдовские приложения не использовались, был клиент на Mac OS X и клиенты на iOS. За несколько лет было перепробовано много клиентов для iPhone. Так что не только андройдоводы пострадали.
У нас как раз есть клиент, который пользуется зойпером на маках. Спросил у него, было ли что-то интересное, жду вот ответа.
Немного уточню, чтобы не вводить в заблуждение. На Mac OS X никогда не было Zoiper клиента. На iOS в процессе поисков, возможно, и ставился Zoiper, но вместе с ним так же ставилось с десяток других приложений.
Как это не было?
А это? www.zoiper.com/en/voip-softphone/download/zoiper3#mac
А это? www.zoiper.com/en/voip-softphone/download/zoiper3#mac
У себя подобных проблем не наблюдал — «левых» звонков за всё время пока не было, но от греха подальше на смарте вернулся с ZoiPer на CSipSimple.
Кстати, у кого были левые списания: кто каким VoIP-провайдером пользуется?
Кстати, у кого были левые списания: кто каким VoIP-провайдером пользуется?
Так раз звонили через ваш Asterisk — посмотрите в логах, с каких IP были звонки.
(не туда)
Считаю, что имеет место какая-то атака по типу man in the middle, и Zoiper может быть не при чем.
Уже полтора месяца отбиваюсь от атаки нехорошего человека, который территориально окопался в Палестине и ведет оттуда боевые действия (в вашем случае звонки на номера, которые начинаются с 972599 идут как раз туда). Человек хорошо разбирается в телефонии и технологиях. Проверки, что звонки проходят, могут идти через номера в Египте, но трафик предпочитают слать в основном на Сомали и Мадагаскар.
Атаки на телефонную часть идут в основном с дедиков в США и Великобритании, вебтрафик на вебморду часто идет через анонимайзеры, причем я обратил внимание, что эти анонимайзеры приватные.
Сегодня совершенно случайно в логах заметил, что часть (один HTTP-запрос) моего собственного веб-трафика к моему же сайту прошли через анонимайзер, который я отловил при отражении атаки этих умельцев. Факт компрометации собственной рабочей станции яростно отрицаю, т.к. надо слишком много усилий потратить, чтобы заразить чем-то именно этот компьютер.
Уже полтора месяца отбиваюсь от атаки нехорошего человека, который территориально окопался в Палестине и ведет оттуда боевые действия (в вашем случае звонки на номера, которые начинаются с 972599 идут как раз туда). Человек хорошо разбирается в телефонии и технологиях. Проверки, что звонки проходят, могут идти через номера в Египте, но трафик предпочитают слать в основном на Сомали и Мадагаскар.
Атаки на телефонную часть идут в основном с дедиков в США и Великобритании, вебтрафик на вебморду часто идет через анонимайзеры, причем я обратил внимание, что эти анонимайзеры приватные.
Сегодня совершенно случайно в логах заметил, что часть (один HTTP-запрос) моего собственного веб-трафика к моему же сайту прошли через анонимайзер, который я отловил при отражении атаки этих умельцев. Факт компрометации собственной рабочей станции яростно отрицаю, т.к. надо слишком много усилий потратить, чтобы заразить чем-то именно этот компьютер.
Возможно. Только очень удивительно. Я ещё раз повторю, применялся DIGEST для аутентификации, тупо подслушивая трафик пароль было невозможно слить. Тут можно вмешаться в него, «вырезав» поддержку DIGEST AUTH и таким образом заставить клиентов использовать пароль открытым текстом, но это уже гораздо сложнее, и исключено для одной из трёх компроментированных учётных записей.
Поэтому, к моему домашнему астериску можно подключиться только из локальной сети/vpn. Благо клиент openvpn есть под любую платформу. И пусть лопнут со своими паролями :)
У вас нет отдельностоящих далеко расположенных точек типа «IP-телефон+компьютер»? У наших клиентов есть. VPN там устраивать — приблизительно +3К рублей на точку (роутер а-ля TP-Link 3600, на который прошивается OpenWRT), +дополнительное место отказа.
Ваши клиенты не ездят случайно во всякие страны отдыхать, типа турцию? У нас есть такой вот директор, который ездит, и связь ему там нужно обеспечить. А там, как назло, режут бесстыдно всякие VPNы. Однажды так у него корпоративная почта не заработала — выяснилось, что как только почтовый клиент на его компе давал команду STARTTLS, сессия тут же обрывалась (не нами).
И тут не особенно позашифруешь, как бы это ни хотелось.
Кроме того, это же телефония. Тут самое важное — минимальная задержка. Поэтому — по возможности, никаких VPNов!
Ваши клиенты не ездят случайно во всякие страны отдыхать, типа турцию? У нас есть такой вот директор, который ездит, и связь ему там нужно обеспечить. А там, как назло, режут бесстыдно всякие VPNы. Однажды так у него корпоративная почта не заработала — выяснилось, что как только почтовый клиент на его компе давал команду STARTTLS, сессия тут же обрывалась (не нами).
И тут не особенно позашифруешь, как бы это ни хотелось.
Кроме того, это же телефония. Тут самое важное — минимальная задержка. Поэтому — по возможности, никаких VPNов!
Клиенты у меня — родные и друзья. :) Как написал asterisk домашний и используется в личных целях. С Вашими доводами согласен на 100%. Спасибо за информацию, Zoiper поставил на карандаш!
А оно того стоит, что б не использовать шифрование в корпоративном сегменте?
А информация, которую директор принимает через не зашифрованные соединения важная или нет? Есть ли там ком. тайна, или другая информация, потенциально опасная для бизнеса?
Тут самое главное понимать, важная информация передается, или так: просто поболтать.
Для второго варианта существует схема с «несекьюрным» вторым сервером почты или телефонии, который видит только «публичные» письма, или письма помеченые как «открытые».
А информация, которую директор принимает через не зашифрованные соединения важная или нет? Есть ли там ком. тайна, или другая информация, потенциально опасная для бизнеса?
Тут самое главное понимать, важная информация передается, или так: просто поболтать.
Для второго варианта существует схема с «несекьюрным» вторым сервером почты или телефонии, который видит только «публичные» письма, или письма помеченые как «открытые».
А оно того стоит, что б не использовать шифрование в корпоративном сегменте?
Вот езжайте вы в турцию или куда там, в египет, там вам покажут шифрование. А я на вас посмотрю. Конечно, бизнесу важнее продать, чем шифровать, а уж если шифрование мешает продать (например, в конкретной стране из-за него вообще не работает почта) — то стоит его не использовать. Разумеется, тут есть оговорки, но в целом так.
Кроме того, в случае с телефонией я говорил про проблемы именно с VPN, а с шифрованием. Какой-нибудь IPSEC или шифрование уровня преставляения а-ля TLS здесь применимо, но нужно понимать, что такое RTP и как его шифровать (тонкостей куча — например, мы должны легко выдерживать потерю части пакетов).
А информация, которую директор принимает через не зашифрованные соединения важная или нет? Есть ли там ком. тайна, или другая информация, потенциально опасная для бизнеса?
Ну корпоративная почта директора. Наверное, есть. Я не знаю, что там, ни разу не заглядывал.
(Пароль бы, кстати, всё равно не утёк, потому как схема аутентификации CRAM).
Вы наверное нечасто сталкиваетесь с директорами. Человек, не особенно понимающий проблемы информационных технологий, но которому вечно нужно прямовотсейчаслюбойценой отправить письмо, совершить звонок, и тому подобное. Я со своей стороны обязан предупредить, какие могут быть проблемы, а вот оценивать эти риски — дело его.
Для второго варианта существует схема с «несекьюрным» вторым сервером почты или телефонии, который видит только «публичные» письма, или письма помеченые как «открытые».
Кто бы знал, что оно там будет так?
Кто будет платить за такую, в общем, не очень-то тривиальную конфигурацию? Особенно, заранее, не будучи уверенным, что это хоть когда-нибудь кому-нибудь пригодится. Особенно если учитывать, что платить придётся постоянно снижением удобства пользования и обучением каждого сотрудника, что куда положено присылать.
Возможно, это выйдет настолько дорого, что дешевле просто не шифровать.
Главный тезис тут: безопасность ради безопасности не стоит ни гроша и должна изгоняться из бизнеса. Защищаться нужно только в том случае, когда защита экономически оправдана.
Еще раз повторюсь — главное понимать, важная информация передается, или так: просто поболтать.
По своей специфике работы, директор — второй или третий человек по к-во разговоров за неделю, но он очень близок к ИТ.
Если взять сферического директора да поместить его, если директор говорит что ему нужно, то он должен знать риски на которые он идет, в т.ч. финансовые — то о чем вы писали выше.
Кто будет платить за любое решение? — тот кому оно нужно. Не нужно обезопасить себя — не нужно и платить. Вы полностью открытая контора — еще меньше проблем.
С другой стороны, если вы построили супер-мега надежный и безопасный канал связи, а директор говорит по нем исключительно в публичных местах — то это тоже не панацея.
Так что всё зависит от конкретной политики фирмы в отношении безопасности, и есть ли такая политика и комплекс мер по ее поддержания.
По своей специфике работы, директор — второй или третий человек по к-во разговоров за неделю, но он очень близок к ИТ.
Если взять сферического директора да поместить его, если директор говорит что ему нужно, то он должен знать риски на которые он идет, в т.ч. финансовые — то о чем вы писали выше.
Кто будет платить за любое решение? — тот кому оно нужно. Не нужно обезопасить себя — не нужно и платить. Вы полностью открытая контора — еще меньше проблем.
С другой стороны, если вы построили супер-мега надежный и безопасный канал связи, а директор говорит по нем исключительно в публичных местах — то это тоже не панацея.
Так что всё зависит от конкретной политики фирмы в отношении безопасности, и есть ли такая политика и комплекс мер по ее поддержания.
что как только почтовый клиент на его компе давал команду STARTTLS
Вы знаете но таким интернетом я бы побоялся пользоваться.
Тоже были проблемы с почтой у директора в Турции. =) Режут бессовестно, сцуки.
проверил свой аккаунт — никаких левых звонков за последнюю неделю не обнаружил. но спасибо за информацию! пароль сменил и zopier удалил от греха подальше.
У меня наблюдалась та же самая активность на своем сервер. Но что самое странное, у меня в логах показывало, что и звонок исходил с телефона. Если бы не письмо от sipnet'а я бы долго еще не замечал утечки. Сообщил разработчикам, но пишут, что проблема не в клиенте. 
Пару дней назад снова перешел на zoiper, но уже на десктопную версию, немного подправил политики безопасности. Вроде пока утечек нет.
Пару дней назад снова перешел на zoiper, но уже на десктопную версию, немного подправил политики безопасности. Вроде пока утечек нет.
Sign up to leave a comment.
Zoiper сохраняет наши пароли от SIP на своих серверах — и потерял эту базу?