Spousta peněz za telefon? To se nikomu nelíbí

Problém s přemrštěnými náklady na telefonování vznikl poté, kdy konzultant změnil konfiguraci a otevřel řídicí porty do internetu bez vyžadované autentizace.

Spousta peněz za telefon? To se nikomu nelíbí


Jako manažer bezpečnosti očekávám, že na naši společnost bude útočit záplava malwaru, bude docházet k pokusům o krádeže dat, útokům DoS a k pokusům o neoprávněný přístup. Všechny případy řeším při jejich výskytu, díky čemuž je moje práce pořád zajímavá.

Některé události však upoutají nejen pozornost moji, ale také našeho vedení. Bývají to incidenty vedoucí k přímé ztrátě buď peněz, nebo velmi citlivých dat. Samozřejmě že to jsou případy, kterým chci zabránit v největší míře nehledě na to, zda jsou pracovně zajímavé nebo ne.

Když dojde několikrát do roka k podobnému typu bezpečnostní události s finanční ztrátou, změní se zajímavost velmi rychle ve frustraci.

Minulý týden mi finanční analytička zpracovávající platby pro IT oddělení řekla, že dostala upozornění od našeho poskytovatele telekomunikačních služeb, že nám za méně než jeden den naskočily poplatky v řádu desítek tisíc korun za telefonní hovory do Kostariky, Bolívie a Kolumbie.

Protože v žádné z těchto zemí nepodnikáme a ani nemíváme mezinárodní hovory v takovéto výši během necelých 12 hodin, vypadalo to jako nějaký druh napadení.

Ale jak? Jen před několika měsíci byl náš telefonní systém napadený a můj tým společně s interním oddělením telekomunikací strávil několik týdnů implementací bezpečné konfigurace našich bran pro IP telefonii. V bezpečnost našich bran jsem tedy dodnes měl naprostou důvěru. Co se tedy stalo?

Když jsem mluvil s naším manažerem telekomunikačních služeb o poslední faktuře za mezinárodní hovory, začal mít podezření, co se mohlo stát. Trochu jsme zapátrali a zjistilo se, že jeho podezření bylo správné.

Náš smluvní dodavatel totiž pracoval na nové infrastruktuře pro videokonference včetně serveru umístěného v naší demilitarizované zóně pro zpracování videohovorů mezi námi a vzdálenými místy. Dohled přitom ale měli naši lidé.

S oním dodavatelem se několikrát sešla naše komise pro kontrolu ICT architektury, abychom zajistili, že se použijí dostatečně bezpečné zásady a konfigurace. I během implementace došlo několikrát k ověření, že náš partner dodržuje vše potřebné.

Přezkum současné konfigurace videokonferenčního serveru (VCS) však ukázal, že jejich konzultant změnil konfiguraci, otevřel port 5060 a povolil protokol SIP a další řídicí porty do internetu, aniž byla nutná nějaká autentizace.

 

Poplatky nezaplatíme ze svého

Konzultant tedy okamžitě musel tuto zranitelnost odstranit, aby se předešlo dalším neautorizovaným hovorům. Potom jsme začali sledovat síťová připojení k VCS a pozorovali jsme tabulku připojení. A co myslíte, že jsme zjistili? Objevili jsme stovky pokusů o připojení ze serverů v Kostarice, Bolívii a Kolumbii.

Je zřejmé, že v čase, kdy byly naše telefonní brány vůči internetu otevřené, někdo proskenoval náš prostor IP adres (zjistili jsme, že se to děje stále) a objevil otevřený port. Tato osoba potom jednoduše nasměrovala svou vlastní IP bránu do naší infrastruktury a směrovala své hovory přes nás.

Tyto aktivity mohou být ziskové. Lze je zvládnout pomocí bezplatného open source softwaru pro pobočkové ústředny, jako jsou například Asterisk a SIP Witch. Jakmile našli otevřený port bez autentizace, mohli tito zlí chlapíci informace o tom prodat někomu dalšímu, který také mohl využívat bezplatné spojení, nebo dokonce i přeprodávat levnější hovorné.

Dokázali jsme tedy zacelit díru, která nás stála spoustu peněz, ale management nebude spokojený, dokud se nám nepovede tyto ztráty kompenzovat.

Reakce našeho poskytovatele telekomunikačních služeb ale nebyla povzbudivá. Naše ztráty podle nich nelze u nich uplatnit. Na druhou stranu konzultant zmíněného dodavatele uznal svou chybu a slíbil, že nám jejich firma škody uhradí.

Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.

Úvodní foto: © vgstudio - Fotolia.com



Vyšlo v Computerworldu 2/2015








Komentáře