Nepodceňujme rizika spojená s provozem VOIP ústředny

od Zveřejněno dne
VOIP ústřednami se zabývám již delší dobu a jako na většině moderních zařízení na nich oceňuji flexibilitu a schopnost nabídnout uživatelům pokročilé integrační služby, které dříve nebyly možné. Když jsem konfiguroval svůj první Asterisk a pročítal dokumentaci, zdálo se vše snadné a dostupné pro běžného správce systému.

Postupem času jsem se však se softwarovými VOIP ústřednami začal setkávat z jiného pohledu a na praktických případech, kde jsem byl přizván ke zkoumání jako soudní znalec, jsem zjistil, že konfigurovatelnost a flexibilita, které jsem dříve vnímal jako velmi pozitivní jev, mají i své stinné stránky, které mohou mít fatální dopad na ekonomiku zákazníka.

Můj první případ.

Když jsem byl poprvé dotázán, zda jsem jako soudní znalec schopen prozkoumat a sepsat posudek na zneužitou telefonní ústřednu a v následující komunikaci jsem se dozvěděl, že jde o Asterisk, považoval jsem to za novou oblast, v které uplatním své znalosti a přidanou hodnotu. S vervou jsem si zkopíroval harddisk ústředny do laboratorního počítače, udělal potřebné procedurální kroky a zahájil jsem zkoumání. Okamžitě se mi podařilo potvrdit hypotézu, že ústředna byla opravdu napadená a hned následně jsem v systémových záznamech potvrdil veškerá volání, která byla při zneužití realizována. Dále jsem pokračoval s prohlídkou konfigurace a tam se zdálo vše v pořádku. Ještě jsem ověřoval, zda nápravou původního stavu nedošlo k zametení stop, ale i tuto hypotézu jsem mohl vyloučit. A tak jsem začal řádek po řádku číst jednotlivé hovory a teprve v tom okamžiku jsem zjistil princip zneužití. Člověk si zvykne na to, že telefon je jen telefon a nehledá v něm chybu, ale poté, kdy jsem zjistil, že zneužití probíhalo nejdříve přes jednu linku, pak útočník vyzkoušel další a pak je začal libovolně střídat, zkusil jsem si ověřit heslo. Nepotřeboval jsem ani slovníkový útok, abych přišel na to, že heslo bylo totožné s číslem linky. Zkoumání bylo skoro u konce a mohl bych mít dobrý pocit z odvedené práce, ale já spíše cítil pocit zklamání, jak se takhle hloupá věc může stát. Od té doby jsem zkoumal množství dalších ústředen a kromě Asterisku šlo i o profesionální zařízení konfigurovaná renomovanými systémovými integrátory, ale nakonec vždy celé zkoumání vedlo k odhalení hloupé chyby v nastavení. A to byl i jeden z hlavních důvodů, proč jsem se rozhodl napsat tento článek.

Jak k tomu mohlo dojít?

Abychom zjistili původ těchto problémů, musíme se vrátit trochu do minulosti. Do doby, kdy existovaly telefonní a počítačové sítě jako dvě oddělené oblasti, které časem začaly sdílet tzv. strukturované kabeláže. Počítačové firmy spravovaly počítačové sítě a telefonní ústředny obsluhovali telekomunikační technici. Po strukturované kabeláži přišly další logické kroky, které vedly až ke konvergenci sítí, kdy se do stejných kabelů pod stejným protokolem dostaly společně počítačové sítě a digitalizovaný hlas telefonních hovorů a telefonní přístroje dostaly přidělenou svou IP adresu. Odtud vedl již jen malý krůček k softwarovým ústřednám, které pod sebou měly počítačový operační systém, a tím došlo ke kompletnímu propojení obou světů. Celý tento trend byl tažen potenciálem úspor a nabízel dříve nečekanou flexibilitu a možnosti nových služeb a tak začal ústup nejdříve analogových, ale později i digitálních ústředen ve prospěch VOIP. V tento okamžik však začala narůstat rizika, která takové spojení přináší, jelikož ústředny se staly mnohem snadněji napadnutelné, než když fungovaly zcela odděleně od Internetu. A celý tento článek je v podstatě o podceňování nebo ignorování těchto rizik.

Chybu hledej v člověku!

Jakmile se ústředny přestěhovaly do počítačů a staly se z nich softwarové aplikace, objevila se příležitost pro telekomunikační techniky, aby se přeškolili na správce Linuxových zařízení a podobně pro správce počítačových sítí, aby do své nabídky přidali i konfiguraci a podporu softwarových ústředen. Každému zasvěcenému čtenáři začíná být jasné, že ani jedna z těchto cest není jednoduchá a muselo nevyhnutně dojít k tomu, že určitá část nově etablovaných profesionálů svůj úkol zákonitě nezvládla, jelikož konvergence síti ještě neznamená konvergenci znalostí s tím svázaných. Hlavním tahounem rozvoje této oblasti bylo lákadlo telekomunikačních operátorů na výrazně levnější volání přes internetové linky, v mnoha případech dokonce zdarma mezi jednotlivými VOIP zařízeními. Zákazníci rychle pochopili hlavní výhodu, a když navíc k tomu zjistili, že namísto staré ústředny jim postačuje trochu výkonnější PC, které zastane práci s přepojováním a přidá k tomu množství moderních funkcí, které dříve neměli, a vše poběží ven z firmy po stejné lince, za kterou již stejně platí poplatky za internet, bylo rozhodnuto. Poptávka po instalaci softwarových ústředen byla a je obrovská a všichni, kdo k této oblasti měli jakkoliv blízko, se chytili příležitosti. Instalace se stala na první pohled jednoduchou záležitostí, na kterou existuje několika krokový průvodce, a vše začalo fungovat. Vlastní konfigurace už byla jen drobnou operací na závěr, při které byla klientovi předána ústředna do užívání. Pečlivější správci ještě nastavili firewall, který oddělil softwaru ústřednu od veřejného internetu. Stačila však krátká doba a objevily se první napadené ústředny. Ruku v ruce s nimi přicházely telefonní účty, které až 700x převýšily průměrně provolané částky za předchozí měsíce a snadno se pro malou firmu mohly stát likvidačními.

Takový nesmysl platit nebudu, není to moje chyba . . .

Způsobené škody jsou ohromující, obvykle nejméně o řád až dva vyšší telefonní účet, než obvykle provolaná částka, často ve statisících až miliónech Kč. Klient nejdříve překvapeně vracel vyúčtování svému telekomunikačnímu operátorovi, došlo na trestní oznámení a podněty ke správnímu řízeni u Českého telekomunikačního úřadu (ČTU). Operátor oprávněně argumentoval, že telekomunikační provoz skutečně proběhl a proto byl naúčtován a ve většině případů se zatím ČTU k tomuto názoru přiklonil také. Další pozornost tedy byla zaměřena na dodavatele, který dodával, instaloval, konfiguroval nebo nastavoval ústřednu. Ani tady však nelze očekávat ochotu přijmout zodpovědnost za způsobenou škodu. Nejčastějšími argumenty, které zaznívaly, jsou: „nabízeli jsme pravidelnou údržbu, kterou si zákazník ale neobjednal“, „ústředna byla nastavena dle pokynů zákazníka a při testování žádnou chybu neobsahovala“ nebo „kromě správného nastavení ústředny jsme správně nastavili i firewall a dokumentaci jsme předali, za chybu může pravděpodobně lidský faktor na straně zákazníka“. Zde bych si dovolil krátkou vysvětlivku: zákazník přešel na VOIP z toho důvodu, že očekával snížení nákladů na telekomunikace a pokud se např. jeho účet pohyboval ve výši 10 000 Kč, z kterých po zavedení VOIP ušetřil 20%, neměl zájem tyto peníze jen přesměrovat ke správci za to, že mu ústřednu „udržuje“. Z minulosti byl zvyklý na to, že se ústředna pověsila na zeď a tam byla až do dalšího stěhování firmy. A když jej obchodník lákal na moderní VOIP, patrně se vůbec nezmiňoval o tom, že připojením ústředny k internetu existuje potenciální riziko jejího napadení. Tím neříkám, že analogové ústředny se nedaly zneužít, ale určitě to nešlo tak snadno, jelikož jedinou možností k ústředně přistoupit byla telefonní linka. Nakonec zákazník nepochodil nikde a fakturu zaplatil. Někteří se pokusili s operátorem dohodnout na slevě, nebo postupných splátkách, nic z toho však neřeší původní problém.

Typy útoků

Ti z Vás, kteří dočetli až sem, jsou pravděpodobně zvědaví, jak takový útok probíhá a jaké jsou nejčastěji využívané chyby. Přestože jsem se setkal s několika typy útoků, dají se v podstatě rozdělit do dvou kategorií:

  • útoky, vedené po telekomunikační lince, využívající chybné nastavení ústředny
  • útoky, vedené po internetu, sloužící k ovládnutí nejméně jedné linky, celé ústředny, případně i operačního systému, nad kterým ústředna běží.

Většina společností používá hlasové schránky, tzv. „voice mail“, případně umožňuje různá přepojování z volajícího telefonu s pomocí znaků „*“ nebo „#”, které naleznete na každé klávesnici telefonu. Uživatel znalý technologických postupů dokáže při dovolání se do hlasové schránky zadat několik příkazů, kterými ústřednu donutí, aby prováděla příkazy, které jí dává. Tento typ útoku často vyžaduje znalost přesného typu ústředny, případně jejího nastavení, ale pokud je takový útok jednou otestován, postará se o jeho další pokračování automatizovaný skript, který tyto příkazy odesílá v přesném sledu a časovém rozmezí.

Útoky z internetu jsou většinou mnohem rozmanitější. Vše začíná tím, že nějaká automatická internetová služba postupně kontaktuje jednotlivé servery připojené k internetu a pokouší se zjistit jejich konfiguraci, způsob komunikace a další informace. Pokud najde server, který vykazuje známky toho, že obsahuje softwarovou ústřednu, přejde do další fáze, v níž zahájí útok na ústřednu. Případně předá další vykonávání útoku přímo útočníkovi, který doladí další kroky. Takový přímý útok je složen z několika fází a postupně hledá způsoby, kterými by bylo možné ústřednu ovládnout. Pokud se to podaří, přichází další fáze, kterou je ověření funkčnosti. Toto ověření funkčnosti udělá člověk, pravděpodobně strůjce celého útoku. Přes ovládnutou ústřednu provede nejméně jedno volání, kterým ověří, že vše funguje. V poslední fázi pak nastaví automatizovaný systém tak, aby používal ústřednu k volání. V rámci tohoto nastavení zajistí, že neoprávněné hovory probíhají v době, kdy nikdo není v kanceláři, čímž minimalizuje riziko náhodného odhalení. Nastaví okamžité obnovení hovoru, při jeho výpadku, definuje počet souběžných hovorů tak, aby linku nepřetížil, a celý útok může začít.

Častými chybami, které vedou k napadení ústředny, je špatné nastavení pravidel pro přepojování hovorů, totožné heslo s číslem linky, případně v konfiguraci zapomenutý řádek, sloužící původně k otestování nějaké vlastnosti, který se omylem dostane do ostrého provozu. Kromě těchto chyb jsem se však setkal i s ústřednami, které neobsahovaly základní bezpečnostní nastavení, jelikož byly zprovozněny pouhým proklikáváním obrazovek v základním průvodci bez hlubší znalosti problematiky. Ukazuje se tak, že nezávisle na používané technologii je hlavní příčinou vzniku problému vždy nekvalifikovaně odvedená práce správce takové ústředny, nezkušenost, nebo spolehnutí se na fakt, že vše funguje. Vzhledem k výši škod, které mohou tímto přístupem vzniknout, jde jednoznačně od podceňované riziko a uživatelé by měli jeho nebezpečí zahrnout do svého rozhodování o telekomunikační platformě.

Dělají to útočníci jen pro radost?

Nikoliv a je to vždy nejčastější dotaz. Odpověď je prostá: napadená ústředna obvykle volá na zahraniční čísla a s vysokou pravděpodobností dostává příjemce těchto hovorů nějakou provizi z každého přijatého hovoru. Princip funguje podobně, jako prémiové linky používané k televiznímu hlasování. Zavoláním na tuto linku mi operátor odečte např. 38 Kč, z nichž následně nějakou část poukáže na účet majitele této linky. U zahraničních hovorů je hovorné mnohem dražší a domnívám se, že provize naopak mnohem menší, proto jsou útoky vedeny tak, aby během krátké doby vygenerovaly tisíce, až desítky tisíc hovorů a získaná provize byla dostatečně zajímavá. Speciálním a také vzácnějším typem útoku může být přesměrování zahraničních hovorů přes napadenou ústřednu tak, že majitel ústředny zaplatí zahraniční hovory a útočník inkasuje příjmy od volajících a to se rovná jeho zisku.

Opravdu za všechno může zákazník?

Zákazník si nese svůj díl viny na celém problému, protože podcenil rizika spojená s podobným zařízením a plně se spolehl na to, že jeho dodavatel ústředny a operátor se chovají zodpovědně a chrání jeho zájmy. Pod slibem levnějšího volání zcela ignoroval stále častěji publikované varující informace o dané problematice. Ale na druhé straně mi nepřijde jeho vina zcela spravedlivá.

Dodavatel ústředny hraje často klíčovou roli kvůli tomu, že nechá v ústředně chybu, která je později zneužita. A také je od něj nezodpovědné to, že nesleduje veřejné zdroje, které podobné útoky pravidelně popisují a uvádějí příklady, jak jim předcházet. Často se také setkávám s firmami, které se nastavení softwarové ústředny naučí až u prvního zákazníka a instalaci projdou pouze základním přednastaveným procesem bez hlubší znalosti dané problematiky. A výmluva typu: „zákazník si neobjednal měsíční údržbu“ u mne v případě shody čísla linky a přístupového hesla k SIP účtu také neobstojí, jelikož to by tam zůstalo i v případě placené a „prováděné“ měsíční údržby. Nechci nikomu sahat do svědomí, ale je to tak.

Bohužel nemohu vyloučit ani operátory, kteří nechají zákazníka během několika dní provolat deseti, ale i stonásobné částky ve srovnání s běžným měsíčním účtem, aniž by jej na to jakkoliv upozornili. Vzhledem ke komplikovanosti všech jejich systémů, zajišťujících běžný chod telekomunikační sítě, je takováto základní ochrana zákazníka opravdu maličkostí. Stejně tak je diskutabilní, zda by operátor měl přijmout hovor z čísla, které má neexistující mezinárodní předvolbu nebo zda by měl považovat za zcela běžné, pokud celou noc nepřetržitě běží 30 paralelních hovorů na stejné zahraniční (africké, asijské apod.) číslo a pokaždé, když se po stejné době přeruší, je vytočeno okamžitě znova. A takto to běží celou noc a ráno tento provoz jako mávnutí kouzelným proutkem zmizí, aby se večer objevil znova. Pokud by se operátor ke svému zákazníkovi chtěl chovat jako správný hospodář, nabídl by mu nějakou ochranu typu maximální provolané částky za měsíc, případně jej upozornit, pokud účet překročí např. třínásobek průměrné provolané částky. Otázkou je však motivace, jelikož z každého hovoru dostane operátor svou marži, takže musí citlivě vážit mezi vlastním ziskem a loajalitou ke svému zákazníkovi. A všichni tušíme, jak jsou nastaveny motivační faktory obchodníků.

A poslední, kdo by měl být v této oblasti aktivnější je i stát, reprezentovaný Českým telekomunikačním úřadem, který by měl na podobná rizika upozorňovat, případně zpracovat rámec, který by řešil problematiku ochrany zákazníků před podobnými podvody. To vše samozřejmě v součinnosti s médii, která by tuto problematiku měla publikovat nejen v odborných médiích, ale všeobecnou informovanost by měla přenést i do běžného denního tisku.

Závěrem

Problematika, kterou jsem se pokusil shrnout v tomto článku, se týká jak malých a středních firem, tak velkých mezinárodních. Stejně tak jsem se setkal s napadenými ústřednami, jejichž konfiguraci prováděla samostatně výdělečná osoba stejně tak, jako s komplexem napadených ústředen, konfigurovaných renomovanou specializovanou společností. A operátorem, který neobvyklé hovory z napadených ústředen několik dní nechal běžet, byl jak malý lokální hráč, tak jeden z největších telekomunikačních operátorů na českém trhu. Z tohoto důvodu se domnívám, že neexistuje jednoduchý vzorec, který by určil rizikovou skupinu, problém se může týkat kohokoliv, kdo používá tzv. VOIP ústřednu. Přesto existuje několik jednoduchých pravidel, která mohou riziko zneužití významně snížit.

  • Dodavatel by se měl prokázat několika referencemi podobného rozsahu
  • Trvejte na používání složitých hesel
  • Požádejte operátora, aby nastavil nějakou částku, při jejímž dosažení Vás bude varovat, nebo přímo zakáže odchozí hovory, případně si nechte nastavit zákaz nebo omezení limitu na mezinárodní hovory.
  • Po instalaci si nechte předvést výsledky testovacích scénářů, které vyloučí známé způsoby zneužití ústředny.

-jb

Publikoval Jiří Berger