Chraňte se před VoIP podvody

Podvody s dálkovými hovory jsou snad stejně staré jako tyto hovory samy. Mezi podvodníky patří nejen ti, kdo se napojují na cizí telefonní linky, ale také nemorální interní zaměstnanci a samozřejmě externí hackeři. Do popředí se však znovu dostávají tři trendy této staré kriminální činnosti a podnikové manažery z toho začíná bolet hlava.

Za prvé – je stále očividnější, že jsou pachatelé podvodů s dálkovými hovory velmi dobře organizovaní, operují v rámci vícenárodních syndikátů a dosahují podvodů v řádu mnoha milionů.  Za druhé – široké nasazení technologie VoIP a systémů UC (Unified Communications) přináší nové způsoby a cesty pro útoky. A za třetí – oběti podvodů s dálkovými hovory již nejsou primárně jen poskytovatelé služeb, ale podniky všech druhů a velikostí.

Nedávno oznámila vláda USA, že rozbila mezinárodní gang mající na svědomí podvody ve výši až 55 milionů dolarů, který se zaměřoval na podnikové telefonní ústředny. Údajní vůdci platili hackery na Filipínách, aby se zaměřovali na podniky v USA a nabourávali podnikové telefonní ústředny, a to často s využitím technik prosté hrubé síly k prolomení hesel. Podvodníci je pomocí různých metod využívali k provádění dálkových hovorů.

Americké orgány uvádějí, že podvodníci využili 12 milionů minut telefonních hovorů. Odhadovaná finanční škoda způsobená podvodnými poplatky různým podnikům a poskytovatelům služeb, kteří byli postiženi tímto zločineckým projektem, činí přibližně 55 milionů dolarů.

Je jasné, že technicky vzdělané skupiny pozvedají snadnost a četnost těchto kriminálních aktivit díky všudypřítomné telefonii a datovým infrastrukturám na novou úroveň. Při zneužívání svých obětí také nacházejí stále kreativnější způsoby získání hotovosti.

Nová síť a nové cíle
I když se zdá, že okruh související s podvody ve výši 55 milionů dolarů byl zaměřen na tradiční telefonní ústředny, zneužití nedostatečně silných hesel vystavuje nový svět telefonie VoIP novým rizikům podvodů zcela identicky.

Ve skutečnosti může síť VoIP využívající spoje s protokolem SIP (Session Initiation Protocol) pro připojení k veřejné telefonní síti vytvořit větší potenciál pro ztráty u dálkových hovorů než tradiční konektivita linek TDM. Například kompromitovaná brána se dvěma linkami E1 by mohla potenciálně umožnit zneužití dvou a půl tisíce hovorových minut za hodinu. Oproti tomu připojení přes spoj SIP se zhruba stejnou šířkou pásma by při použití běžných kompresních algoritmů poskytlo až 6 tisíc minut za hodinu. Spoj SIP tedy umožňuje zneužít minimálně dvojnásobné množství minut a možná i několikrát více, může-li být využití šířky pásma zvýšeno během hodin mimo špičku.

Chyby v zabezpečení
V nejběžnější situaci zneužívá VoIP podvodník zranitelnosti k získání přístupu k telefonní ústředně s protokolem IP nebo ke službě pro velké vzdálenosti nebo k obojímu. Existují čtyři časté chyby v konfiguraci zabezpečení architektur VoIP a UC, které mohou zvýšit riziko tohoto typu zneužití:

1. Slabé ověřování uživatele a řízení přístupu. Mnoho podniků, které nasazují robustnější podoby ověřování uživatelů pro datovou konektivitu jako například dvoufaktorovou autentizaci pomocí tokenů, nepoužije tuto metodu i pro své telefonní koncové body využívající stejnou konvergovanou infrastrukturu.

2. Spoléhání výhradně na hraniční řadiče relace (session border controllers ) nebo na media gatewaye při zajištění zabezpečení. Zmíněné řadiče poskytují důležitou síťovou interoperabilitu a související funkce. Pomáhají spravovat vazby mezi sítěmi ohledně spojů SIP. Pokud však jde o ochranu vůči problémům zabezpečení aplikační vrstvy, postrádají oba typy zařízení funkce pro ověřování, řízení přístupu, šifrování a omezení hrozeb. Tyto problémy umožní podvodníkovi provést průzkum a zmapovat interní systémy, aby se dozvěděl o zneužitelných linkách, mohl se sám přihlašovat pomocí podvržených identit a aby získal přístup do veřejné telefonní sítě.

3. Nedostatečné oddělení a kontrola pro virtuální sítě LAN. Běžná a potřebná praxe pro zvýšení zabezpečení v síti VoIP spočívá ve vytvoření sítě VLAN a v logickém oddělení hlasových a datových přenosů. Zabezpečovací mechanizmus VLAN však dokáže snadno prolomit průměrně vzdělaný útočník. Navíc byly zjištěny záškodnické kódy, které umožňují útočníkovi získat nadvládu nad počítačem se softwarovým telefonem VoIP, a zkompromitovat tak celou datovou i VoIP síť včetně přístupu ke všem telefonním funkcím, které lze zneužít pro podvody s dálkovými hovory. Separaci do VLAN, i když je potřebná, nelze považovat za dostatečné zabezpečení a musí být doplněna o další bezpečnostní mechanizmy.

4. Nedostatečné použití šifrování. Špatné nebo nekonzistentní použití šifrování je hlavním problémem v mnoha zabezpečovacích architekturách. Přestože je kódování často používáno při komunikaci procházející podnikovou demilitarizovanou zónou a přes nedůvěryhodné sítě, jako je internet, podniky často šifrování vypínají při interní komunikaci z důvodů odstraňování chyb nebo kvůli problémům s výkonem. Mnoho nedávných významných prolomení zabezpečení a úniků dat pramenilo z toho, že útočníci získali přístup do interních sítí a odposlechli nešifrované přenosy. Pro takového útočníka je potom velmi snadné ukrást informace umožňující realizaci dálkových hovorů.

Co dělat?
Žádná z těchto zranitelností neznamená, že by technologie VoIP a UC byly svou podstatou nějak méně bezpečné než tradiční telefonie TDM. Spíše lze říci, že vhodná architektura zabezpečení VoIP je založena na poznatku, že klasické přístupy k zabezpečení dat a zabezpečení sítě musí být doplněny i o ochranu aplikační vrstvy, která řeší potřebu rozvíjejících se komunikačních aplikací.

Tato obrana obvykle zahrnuje vytvoření standardního mechanizmu sledování veškeré signalizace a médií pro přenosy VoIP a UC, které vstupují do podniku nebo přistupují k libovolným důležitým systémům. Typická nasazení systémů zabezpečení aplikační vrstvy budou zahrnovat funkce, jako jsou detekce a omezení hrozeb na základě signatur, vynucení zásad zabezpečení podle uživatelů a podle aplikací, řízení přístupu, ověřování a podobné funkce.

Podniky také proaktivně řeší hrozbu podvodů s dálkovými hovory prováděním pravidelných kontrol ochrany struktury VoIP a UC, a to včetně testování infiltrace, kde je to vhodné. Tyto testy jsou velmi podobné obdobným úkonům v datové oblasti, které korporace používají k zajištění shody se standardy pro utajení například v sektoru platebních karet a při zpracování transakcí kreditních karet. Posudek implementace VoIP a UC může odhalit bezpečnostní díry, které mohou využít podvodníci s dálkovými hovory k provozování svých obchodů.