Trouble Ticket
Co řešit: Malá menší pobočka zjistila, že se někdo naboural do jejího směrovače pro IP telefonii.
Akční plán: Zaktualizovat operační systém, aby se zabránilo telefonním podvodům, a posoudit konfiguraci IP telefonie v kancelářích po celém světě.
Je to již docela dlouho, co jsme u nás měli narušení bezpečnosti, které by stálo za výraznější zmínku (tedy alespoň o takovém, o němž víme). Minulý týden se však objevilo jedno, které bylo poučné i pro ostatní pobočky.
Naši malou vývojovou kancelář v jednom regionu Evropy informovala místní telekomunikační společnost, že z telefonní IP ústředny této kanceláře se aktivuje vysoký počet hovorů do země z Blízkého východu. Když jsme se na to podívali, zjistili jsme, že za pouhých 15 dnů se uskutečnily hovory v hodnotě více než půl milionu korun, a to nejen do několika zemí zmíněného regionu, ale i do Ruska, Číny a střední Ameriky.
Okamžitě jsem požádal zaměstnance naší evropské kanceláře, aby u telekomunikačního operátora zablokovali všechny podezřelé lokality, podali trestní oznámení a poslali mi kompletní konfiguraci z IP směrovače.
Ona evropská kancelář se stala součástí naší společnosti během akvizičního procesu před zhruba čtyřmi lety, tedy ještě před mým příchodem. Převzatá firma tehdy právě zakoupila nové vybavení, včetně směrovače Cisco, který dnes používá jako hlasovou bránu pro komunikaci s několika dalšími kancelářemi po celém světě. Po akvizici jsme směrovače Cisco zachovali, protože IP telefonii ve firmě využíváme opravdu intenzivně.
Když dorazila zpráva s konfigurací, předal jsem ji našim analytikům a několika kolegům, kteří jsou obeznámeni s bezpečnostním nastavením telefonních bran Cisco.
Na vině zastaralý IOS
Jak se dalo čekat, v napadeném směrovači byla zastaralá verze operačního systému Cisco IOS a navíc produkt nebyl nijak konfigurován, aby se chránil před telefonními podvody. Protože směrovač nebyl ani řádně uzamčen, mohl se vnější uživatel připojit k naší telefonní bráně přes port TCP 5060, získat oznamovací tón a telefonovat.
Bohužel to nebyl jen osamocený hacker, kdo z našeho systému volal. Protokoly hovorů zachytily IP adresy z celého světa, což znamená, že „muž v pozadí“ sdělil informace o naší zranitelnosti dalším stovkám lidí. Přestože to nevíme jistě, zdá se, že naše konfigurace byla buď prodána, nebo čile obchodována na černém trhu.
Po zjištění příčin problému jsme začali pracovat na nápravě. Naplánovali jsme proces řízení změn, aby byl směrovač upgradován na nejnovější verzi IOS, která už v sobě obsahuje podporu ochrany proti telefonním podvodům, a poté jsme směrovač nakonfigurovali, aby tento ani jiné druhy telefonních podvodů dále neumožňoval.
Poučeni z událostí v této kanceláři jsme totéž udělali ve všech našich lokalitách.. Provedli jsme kontrolu veškerých telefonních bran Cisco, abychom zjistili, zda některé z nich nejsou zranitelné. Zcela očekávaně se zranitelná verze IOS zjistila u tří dalších poboček v Evropě a v jedné v USA (shodou okolností jsme všechny získali při různých akvizicích v posledních třech až čtyřech letech).
Určitá úleva
Plně spolupracujeme s policií i telekomunikačním operátorem a díky tomu možná získáme zpět část z oněch mnoha set tisíc korun.
Tento incident mne však podnítil k další akci. Mám v plánu použít část svého rozpočtu na posuzování zranitelnosti a penetrační testy -- hodlám najmout renomovanou firmu na provedení kompletního vyhodnocení zranitelností našeho globálního prostředí IP telefonie -- vše od telefonů a správců volání až po zasílání zpráv či základní síťové vybavení umožňující IP telefonii.
Protože jsme v poslední době zjistili spoustu zranitelností, budu svůj scénář, který platí pro fúze a akvizice, aktualizovat, aby obsahoval důraz na posudek získávané infrastruktury IP telefonie.
Jedno z bezpečnostních opatření, které jsme okamžitě udělali, je vyhodnocení našich možností korelovat data logů volání z produktů Cisco s dalšími relevantními protokoly v rámci našeho nedávno pořízeného nástroje pro správu událostí a incidentů zabezpečení (SIEM).
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.
Tento příspěvek do Zápisníku manažera pro bezpečnost napsal skutečný manažer bezpečnosti, který zde vystupuje jako Mathias Thurman. Jeho pravé jméno ani jméno zaměstnavatele z pochopitelných důvodů neuvádíme.
PŘEDPLATNÉ
ČLÁNKY DO MAILU