בלעדי: אריק קליין במפגש VoIP On Tap חושף איך מערכות הטלפוניה שלנו פרוצות לכל וסובלות מהונאות, גנבת שיחות והתקפות סייבר מגוונות. כל בעל עסק ומרכזיה סובל מהתופעה. בישראל, מידי חודש, נגנבים מיליוני ש"ח ממרכזיות מכל סוג. אז מה עושים? לאריק פתרונות ועצות לרוב.
מאת:
אבי וייס, 7.12.13, 17:15
פורום
VoIP On Tap התכנס ביום 4.12.13 בהרצליה למפגש בנושא "מניעת הונאות במרכזיות" ביוזמת
ניר סמיונוביץ, מנכ"ל
גרינפילדטק. במפגש חשף
אריק קליין (בתמונה), יועץ בכיר, גרינפילדטק, את הידוע לו בעולם האבטחה של מערכות טלפוניה בעולם ובישראל.
אריק קליין: "היום נדבר על בעיית האבטחה של מערכות VoIP. חשוב להדגיש בתחילת דברי: בעיות האבטחה על הקול לא השתנו הרבה ב-30 השנים האחרונות. האקרים על רשתות טלפוניה אנלוגיות של AT&T היו כבר לפני עשרות רבות של שנים. היום, כשאנו מדברים על רשתות IP, על מערכות אסטריסק, הבעיות הועצמו, אבל הן דומות באופיין.
כיום אנו רואים כמה מגמות עולמיות בתחום אבטחת רשתות תקשורת וטלפוניה:
א. פשע מאורגן. יש במערכות הטלפוניה סיכון נמוך ורווח גבוה אם מצליחים לגנוב כסף מהבעלים. לכן, כנופיות רבות נכנסו לתחום.
ב. טרוריסטים. זו תופעה מעט יותר חדשה. למשל ארגון אל-קעידה ממן את עצמו, בין היתר, באמצעות הונאות וגנבות במערכות הטלפוניה.
ג. פורצים והאקרים "רגילים". יש הרבה.
ניסיונות פריצה, לפי מה שאנו מודדים במערכות הפיתוי שלנו, יש כל יום בהיקפים של מאות אלפי ניסיונות.
לפני כ- 25 שנה הוקם ארגון
CFCA, שנועד להילחם בהונאות טלפוניה בעיקר ברמה של ספקי התקשורת. הארגון עוסק בהדרכות ויצירת כלים ושיטות למניעת הונאות. אולם, זה מכסה רק את 'קצה הקרחון'. ההערכה במחקרים היא, שהיקף הרמאויות והגנבות בטלפוניה מגיעות לכ-40 מילארד דולרים לשנה, מתוך זה 4.96 מיליארד דולרים לשנה הם גנבות והונאות ממרכזיות עסקיות פרטיות. בישראל, נגנבים מיליוני ש"ח לחודש בכל המערכות, הפרטיות והציבוריות (לרבות מספקי התקשורת). מדובר בנתונים מזעזעים. זה כסף קל המפתה רבים לחמוד אותו.
יש שיטות מרמה וגנבה רבות, כשהדבר הקל ביותר זה מכירת כרטיסי חיוג בפרי-פייד בקיוסקים ודוכנים, שהחיוג למעשה נעשה דרך מרכזיות פרטיות או ציבוריות, שלא יודעות ולא מרגישות, שהשיחות הגנובות עוברות דרכן. יש מגוון רחב של שיטות אחרות, כשבשנה האחרונה תחום ה-TDoS, שזו המקבילה הטלפונית של ה-DDoS (תקיפה לחסימת רשתות למניעת שירות), הפך להיות פופולרי כחלק מתופעת הסייבר. הדרך היותר מתוחכמת היא לחדור למערכות הגבייה ולהוסיף לחשבון התקשורת סכום ממש קטן עבור שירות טלפוני, שלא ניתן, תשלום שהלקוחות לא מרגישים בו או לא אכפת להם ממנו כי הוא קטן. כשיש מיליוני חשבונות כאלו עם סכום חיוב קטן בכל חשבון, זה מביא לרווח עצום ללא כל מאמץ.
במדידות של מערכות הגנה לטלפוניה דוגמת Humbug נמצא, שרוב הפגיעות של הונאות טלפוניה בינלאומית (שיטה מאוד נפוצה לגנבות והונאות) באות ממדינות, שבד"כ לא מתקשרים אליהן, בשעות שלא נהוג להתקשר אליהן. בישראל, יש תופעה של התקשרויות דרך מספרי טלפון של הרשות הפלסטינאית, שהם חיוגים די יקרים, בשעות לא רגילות, למשל בחגים ובשבתות.
בשנים האחרונות אנו רואים עלייה של תופעות הונאה יותר מתוחכמות בתחום, למשל 'הנדסה חברתית', שבה מוציאים מידע על אדם ע"י התחזות, למשל בהתקשרות למוקדי תמיכה ושירות, ותופעות של ספאם טלפוני.
התופעה הכי חמורה, שהתפתחה לאחרונה, היא אתרים המספקים שירותי הונאה ופריצה בגישת ה-SaaS. השירות הכי מבוקש שם הוא שירותי DDoS, שהרחיבו אותם גם לשירותי TDoS, שבהם במחיר של 20 דולרים לשעת חסימה של מספר, אתה רוכש התקפה על מספר\ים, ככל שאתה מזמין את השירות הזה שם באתר. כך, התקפות והונאות טלפוניה הפכו מעסק של יחידים או קבוצות לעסק ממוסד על הרשת, שניתן כ'שירות בענן' בצורה מסודרת ומאורגנת עם תשלומים ודיווחים מסודרים... אין כל בעיה להזמין שירותים כאלו באינטרנט והמזמין לא חייב להבין דבר וחצי דבר בפריצות והונאות בטלפוניה. יש ספקים, שפשטו את הרגל חיש מהר מכיוון שלא היו זהירים, דוגמה טרייה:
SIPWISE, ספק שהשתמש במערכת שלה, נעקץ במאות אלפי דולרים, מייד כשעלה עם השירות לאוויר. הסכנות הן מיידיות וברורות למי שאינו זהיר.
איך בכלל חודרים למרכזיות?
חודרים בקלי קלות, לכל סוגי המרכזיות, כי אנו בעולם ה- IP. רוב הסיסמאות לא מוגנות, או שגונבים אותן בשיטות התרמית של 'הנדסה חברתית', או בכלי פיצוח של סיסמאות. כיום, יש זיהוי די פשוט של כל מרכזיה בעולם בזכות כלי סריקה הפועלים כל הזמן, למשל בשימוש בכלי:
Internet Census.
לא חייבים לדעת להפעיל כלים כאלו, משום שיש חברה הנותנת את הנתונים הללו מפולחים לפי כל חתך, סוג של 'חיפוש גוגל' לאיתור כל מכשירי הטלפוניה ב-SIP שיש בעולם, כולל כל מכשירי הטלפון, שיש לכל אחד על השולחן. זו חברת
Shodan, וכל אחד יכול בקלות לחפש בה כל דבר. ממש כל דבר: החל ממכשירי טלפון פוליקום בתורכיה, דרך מצלמות רשת ביפן, וכך הלאה והלאה. הכל בפירוט מלא ומדויק. רק על מרכזיות SIP יש במערכת הזו נתונים על 3.6 מיליון מרכזיות. כל מוצר IP בעולם, ברגע שהוא עולה לרשת, הוא נסרק ומקוטלג שם.
לאחר שאתה יודע את מספר ה-IP, שם הרשת, מערכת ההפעלה ומספר הפורט של כל מכשיר הקצה, זה לוקח בין דקה ל- 3 דקות להיכנס ולהשתלט על כל מכשיר קצה. מעטים מצפינים את הפרטים של הטלפון שלהם במשרד או של הסמארטפון שלהם, שיש בו Client SIP. לכן, קל מאוד לחדור ולהשתלט מרחוק וללא כל מאמץ לכל טלפוני ה-IP הנייחים או הניידים וכמובן למרכזיות מכל סוג.
איך פורצים? למתחילים: יש סט כלים שנקראים
SIPVicious, כלים בקוד פתוח הזמינים לכל. הכלים הללו נבנו במטרה לעזור למפתחים ולבודקים של עולם ה-SIP, אך חיש מהר הפכו הכלים הללו לכלים בסיסיים לפורצים ולרמאים. יש כמובן כלים יותר מתוחכמים, שמפתחים אותם מומחים לפריצות.
בנוסף לסכנות החיצוניות, יש גם סכנות פנימיות. יש גניבות והונאות בתוך עסקים וארגונים. זאת, מצד עובדים או ספקי שירו, שיש להם גישה לטלפוניה בתוך הארגון. ההתמודדות עם תופעות אלו לא יותר קלה מההתמודדות עם איומים חיצוניים.
מה ניתן לעשות כדי להתגונן?
אני ממליץ על סט של פעולות וכלים, שחובה לעשות אותם, כדי להתגונן ולהוריד עד לאפס, עד כמה שניתן, את האפשרות להונאות וגניבות פנימיות וחיצוניות:
- "הקשחת" מערכות הטלפוניה.
- קביעת מדיניות ארגונית לשימוש בטלפוניה ולאכוף אותה.
- לסגור כל מה שלא צריך להיות פתוח, כולל באמצעים פיזיים ואלקטרוניים.
- לבצע ניטור מתמיד עם יכולת סגירה של תופעות שלא תואמות את הרגלי השימוש והמדיניות הארגונית.
- סגירת אפשרות החיוג למספרי פרמיום וסגירת החיוג לארצות לא מורשות (כרגע בראש הרשימה מככבות המדינות: קובה, סומליה, סיירה ליאונה, זימבאווה, הרשות הפלסטינאית ועוד). הרשימה המעודכנת של הארצות המסוכנות לחיוג מצויה ומעודכנת באתר CFCA.
- למנוע שימוש בסיסמאות פשוטות. גם בטלפונים הפרטיים, השולחניים או הניידים וגם במרכזיות.
- לעדכן את מערכות ההפעלה כל הזמן עם כל תיקוני האבטחה האחרונים.
- לעקוב בצורה הדוקה וככל הניתן בצורה ממוחשבת אחרי עלויות התקשורת בכל ערוצי התקשורת.
- הדבר הטוב ביותר: להתקין מערכות או שירותי אבטחה מקצועיים. למשל: SBC ("חומת אש" לטלפוניה). כרגע זה יחסית יקר, אבל בקרוב יגיעו לשוק מוצרי SBC לעסקים קטנים עד בינוניים במחירים שפויים ואטרקטיביים.
- להשתמש ב- Fail2BAN בכל המערכות, כדי למנוע שגיאות חוזרות בהקשת שם או סיסמה, מה שיכול להעיד על סריקה לגילוי שם וסיסמה.
- לבצע בדיקות תקופתיות לקונפיגורציות של מערכות התקשורת, כולל בדיקות של חלוקה נכונה של VLAN.
- להימנע ככל הניתן מחיבור ישיר של מרכזיות לאינטרנט. המינימום: להתחבר מאחורי NAT. רצוי: מאחורי Firewall התומך בטלפוניה והכי טוב אחרי SBC.
- רצוי לא להשתמש בפרמטרים t או T בחייגן שיש בכל מערכת טלפוניה.
- לבדוק אם מכשיר קצה כלשהו של העסק רשום ב- Shodan, אם כן, לנתק אותו מהרשת ולחבר אותו מחדש בצורה מאובטחת ומוסתרת ב- IP ופורט אחר, כך שלא יימצא בסריקה הבאה של הרשת.
- להגביל את הגישה למערכות התקשורת, גם מבחינת הרשאות לאנשים וגם מבחינת מיקום, שעות ושימושים.
התפתחויות עתידיות
אנו כעת בתחילת המעבר לעולם ה-WebRTC. זה עדיין עולם האינטרנט ויהיו בו אותן בעיות אבטחה, כי זה מבוסס IP ו- SIP.
חשוב להדגיש, הבעיות אינן נחלת המוצרים, שנבנו סביב האסטריסק או כל קוד פתוח אחר דוגמת ה- WebRTC. גם המערכות של סיסקו, אוויה, LG וכיו"ב, יש בהן בדיוק אותן בעיות אבטחה הקיימות באסטריסק. כמעט כל יצרני המרכזיות והטלפוניה בעולם משתמשים בלינוקס ברמה התחתונה, שמתחת למערכת ההפעלה, כך שהבעיות הבסיסיות הן זהות לכולם.
למערכות הקנייניות יש בעיות אבטחה נוספות המגיעות מכוונים שונים. למשל: לרוב המערכות הקנייניות מחברים מערכות CRM ומערכות נוספות, שהן לרוב לא מוגנות או לא מוגנות נכון. זו פרצת אבטחה גדולה, גם במערכות הקנייניות והיקרות ביותר הקיימות בשוק.
את ההרצאות שלי בתחום האבטחה (וגם של אחרים), שניתנו ב- Astricon 2013 ניתן למצא
כאן. הרצאת המבוא שלי נמצאת למטה".
ניר סמיונוביץ: "אנו נמשיך בהדרכות בתחום הזה, כי אבטחת הטלפוניה הוא תחום 'חם' ונוגע לכל אחד העוסק בעולם הטלפוניה בישראל. ההגנה הרגולטורית ממשרד התקשורת בתחום זה מאוד עמומה ולמעשה כל אחד נדרש להתמודד
לבד מול הבעיה. אני שמח לחשוף שיש לנו תכנון למגוון רחב של פעילויות, כולל הדרכות מקצועיות, שאנו פותחים בחודש הבא. בנוסף, ב- 27.2.14 אנו מתכוונים לבצע 'האקתון' ראשון בישראל לעולם הטלפוניה. ההרשמה להאקתון כמו לשאר האירועים וההדרכות נעשית
כאן".
