Hekkerek harmincmilliós számlát csináltak a hevesi önkormányzatnak

VoIP

"Több mint harmincmillió forintos kárt okozó hekkertámadás érte május 28-án a Heves Megyei Önkormányzat IP-telefon alközpontjának szerverét – közölte pénteken az önkormányzat elnöki kabinetjének vezetője."

"Feltételezhető, hogy az önkormányzatban a voip rendszer telepítésénél nem jártak el elég körültekintően, és nyiltva maradt egy olyan kapu, amin keresztül a hekkerek – akár saját melléket létrehozva – kimenő hívásokat tudtak indítani."

http://index.hu/tech/2012/06/01/30_millios_szamlat_csinaltak_a_hekkerek…

Best practice-ek a hasonlók elkerülésére? ;)

  • 13156 megtekintés

( Mcsiv v | 2012. 06. 01., p – 13:58 )

hozzáértőket alkalmazol, akik meg majd szép riasztásokat állítanak be bizonyos esetekre.
Sajnos pont az önkormányzatok azok a helyek, ahol a windows telepítő pistikékből lesznek rendszergazdák.

Én a - mostmár - kormányhivatalnál tudok egy ürgét, akinek én állítottam be a SOHO routert az egyik irodában, amiért ő felel :) Illetve úgy 2-3 hónapja hallottam, hogy körbeküldött egy levelet, amiben arra kéri a dolgozókat, hogy legyenek szívesek újra felvinni az utóbbi negyedéves munkát papírról az XY programba, mert elvesztek az adatok :D

( bazso | 2012. 06. 01., p – 13:59 )

ima. Vagy analóg központ :-)
De mindenképpen dedikált agyonvédett hálózat a telefóniának, mert ha kevered a pécékkel, akkor bármilyen "egyéb" kiskapu kihasználásával máris nyitva a világ. Na jó nem ennyire fekete-fehér, de ez a legegyszerűbb módja.

( wolf | 2012. 06. 01., p – 14:00 )

Feltöltőkártyás telefon :)

De most komolyan, ha én túlhasználom a céges mobil előfizetésünket kb 50%-kal, rögtön hívnak a Vodától, hogy ugye én vagyok és minden okés és tudok-e róla. Náluk ez hogyhogy nem jött ki időben?

Amúgy meg a szokásos:
-emelt díjas számokat, külföldi számokat letiltani
-a telepítőt default jelszó miatt seggberúgni
-tűzfal, IDS
-kimenő hívások csak pin kóddal, per user (ha user szinten férnek hozzá akkor itt elakadnak)

Ez egy dolog, de nem erről van szó:

Nekik mennyi a havi telefonszámlájuk? 30 millió?

-szerintem nem, vidéki önkormányzat, lakosságszám 10 595 fő (http://hu.wikipedia.org/wiki/Heves), az ökormányzatnál dolgozhat 20 ember, becsült havi telefonköltség 400.000 Ft. Ergó brutális túlhasználat 24 óra alatt.
-ha mégis 30 milliós a havi számlájuk, akkor is kevésbé brutális túlhasználaztól beszélünk (1 nap alatt összejött).

Ez nem tünt fel a VOIP szolgáltatójuknak?

Én elképzelhetőnek tartom azt ahogy fentebb is írták, hogy párhuzamosan több számot hívva nem 20 hanem 2-4 óra alatt sikerült ekkora számlát csinálni. És ha éjszaka csinálták akkor esetleg nem volt aki észrevegye és beavatkozzon. Illetve ha automatikusan történik a forgalom figyelés akkor is kérdéses, hogy mi a teendő? Ha az ügyfél nem érhető el hajnali 3 órakor akkor letiltsák a szolgáltatást vagy hagyják tovább futni?

--
maszili

A legtöbb telefon szolgáltató arra apellál, hogy túlléped a limitjeidet, leszarják, hogy a te nevedben más, vírus, user hiba, stb. Pl. nem okostelefonon fő helyen internet gomb, ami előfizetés nélkül 10kbyteonként számlázós netre kapcsolódik értelmetlenül... A user meg a számlánál szívbajt kap. Stb.stb. Maximális havi limitet kérésre se állítanak be t-fosnál, ezért voltam nagyon sokáig feltöltő kártyás (prepaid), mert sokkal kultúráltabb, kiszámíhatóbb megoldás, viszont arany áron van hozzá Internet, és a hívások is drágák... Gusztustalan maffia mind.

Szerencsére ez nem így működik. A legtöbb szolgáltatónál van fraud rendszer. Nekik sem céluk, hogy kiszámlázzanak az ügyfélnek behajthatatlan összeget.

"Maximális havi limitet kérésre se állítanak be t-fosnál"
Lehetőség van rá, az már kérdés, hogy miért nem teszik meg...

Nekem a Vodafone írt egyszer SMS-t, hogy túlléptem az előző havi számlám összegét x százalékkal és fizessem be az összeget, mert különben csak hívni tudnak a számon. A legjobb, nem kértem ezt a szolgáltatást, de praktikus a túlszámlázás ellen. Mondjuk bantu külsőn bármilyen befizetési lehetőség nélkül szopacs, ez tény.

Ez akkor szopó, amikor külföldön vagy, mivel ezt a befizetést legutolsó, 2010-es infóim szerint csak t-pontban teheted meg...SZEMÉLYESEN. (nyilván T-sek esetében, gondolom V is hasonló) Érted, roaming bekapcs, kimész, majd miután hazatelefonáltál anyádnak, hogy túlélted a leszállást a Heathrow-n, jön egy ilyen sms, hogy szoptál.

( gyko v | 2012. 06. 01., p – 14:04 )

Jól beállított tűzfal + biztonsági frissítések a gépen + forgalomfigyelés és riasztás.
Van olyan szolgáltató, aki alapból tiltja az ilyen esetekben felmerült számok hívását blacklist alapján.

Több helytol elerni egy _privat_ központot?
Ebben azért érzek némi ellentmondást.

Amúgy igenis tudsz. Erre van az SBC, amire felregisztrálsz, viszont onnan csak limitált dolgokat tudsz elérni.
Például nem hiszem, hogy az önkormányzatnak annyi road warrior usere lenne, hogy egy privát telefonközpontot ki kell engedni a zinternetre, észnélkül.

mindamellett, erre van a second dialtone service, hogy azt csak adott MSN -ről tudd elérni. MSN -t "hamisitani" pedig elvileg ugye nem tudsz, ezt garantálja az összes szolgáltató Magyarországon ( meg szerintem az EU -ban )

ezt hivják ugy, hogy el lett baszva a konfig és kész...

( uid_6201 v | 2012. 06. 01., p – 14:56 )

A VoIP szolgáltatónál limitet lehet beállíttatni, például célszerű az átlagos havi számla 2-szeresére.
És persze ennek 90 %-ánál figyelmeztető emailt küldenek és a limitet lehet módosítani.

Ezzel megakadályozható egy ilyen jellegű, 20-szoros számla.

( vl v | 2012. 06. 01., p – 23:03 )


Pl. intézményi vonalakon alap az emeltdíjas hívások tiltása. Nem is értem, hogy ebbe a hibába hogy eshettek bele...

( csuhi | 2012. 06. 01., p – 23:09 )

Én annak is utána néznék hogy kiket rúgtak ki azóta, hogy üzemel a központ. Volt ott pár balhé az utóbbi években.

Az viszont érthetetlen számomra, hogy ma sem lehetett HMIK-es (ex HMÖ-s gondolom ugyanaz a központ) vezetékes telefonokat hívni. Remélem nem az van, mint a 90es évek végén amikor egy warez razzia miatt még a lapszkennereket is lefoglalták a rendőrök "meg kell vizsgálnunk milyen adatokat tartalmaz" felkiáltással.

Ja, és a Rendszergazda Urat látatlanban ne bántsuk, magasan az intézményi átlag fölötti tudású és hozzáállású arc. Persze mindenhez ő sem ért. Ráadásul nem tudjuk milyen központ, lehet valami jóféle vendorlockos, külsős karbantartós Panaszkodik is, például.

--
http://csuhai.hu

Hat ugye kinek mi az atlag. En pl. egy teszt szerverrel szoptam meg hasonlot (lasd lentebb), de egy eles rendszernel akkor is oda kell figyelni a telkora, ha nem fersz hozza a gephez. Megfelelo halozati szabalyokkal kezelheto a dolog.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

Én abban sem lennék biztos, hogy magát a HMÖ-t törték meg, nem pedig a szolgáltatójukat. (Az, hogy a sajtó ezt sugallja, semmit nem jelent, ott nem az igazság a lényeg hanem az hogy nagybetűvel címlapra ki lehessen írni a hekker szót.) Jártam már én így, mondjuk a szolgáltató korrekt volt és visszafizette a pénzemet.

Aztán ha megvan a tunkhöz a hozzáférése a telefonbetyárnak, telefonálhatott akár Kínából is közvetlenül a trunkon keresztül úgy, hogy a jel Heves megye környékén sem járt. Ekkor pedig írhatsz olyan hálózati szabályt, meg korlátozhatsz olyan számokat amiket akarsz, tökmind1.

Egyébként, amennyit én tudok, ez egy hozzáértők által jól összerakott rendszer volt. Annyi információnk meg nincs hogy eldönthessük hogy hol volt a hiba és ki a felelős.

Remélem idővel többet megtudhatunk.

--
http://csuhai.hu

( hrgy84 | 2012. 06. 02., szo – 10:55 )

Nem akarok reklamozni, de telefonalo.hu. Volt egy teszt gepem, es ugyan le volt rajta allitva az asterisk, de egy reboot soran elindult ugy, hogy nem vettem eszre. Egyszer jott egy telefon az ugyintezotol, hogy vajon tudok-e rola, hogy Iran-t meg egyebeket probalnak (sikertelenul) hivni a szamomrol, es eddig nem ez volt a tipikus. Megkoszontem, az asterisk meg leroppent a geprol.
-- 

Ki oda vagyik, hol szall a galamb, elszalasztja a kincset itt alant. | Gentoo Portal

( zsirmo v | 2012. 06. 02., szo – 16:12 )

ha asterisk, akkor egy fail2ban elengedhetetlen!

( balintdavid | 2012. 06. 02., szo – 16:35 )

Hol van ilyenkor az Infrastruktúra Védelmi Osztag? :P

( Zahy v | 2012. 06. 03., v – 09:48 )

(Akkor egy ilyen feliratkozás jellegű, de annál remélem több értelemmel bíró kérdés.)
Jó doksikat keresek ebben a témakben. Mondjuk önmagukat ebben a témában szakértőnek tartó *szerény* :-) szakemberek által jónak minősítettet.

Nem vagyok valami hihetetlen nagy szakember, de én ezekből tájékozódtam, lehet már ismered is némelyiket:

Web:
http://www.voip-info.org/
http://www.asteriskdocs.org/

Szabad könyvek (pdf):
Asterisk: The Future of Telephony
Elastix Without Tears

Fizetős könyvek:
Building Telephony Systems With Asterisk
Asterisk Hacking

--
http://csuhai.hu

( mickeyratt | 2012. 06. 03., v – 14:38 )

Egy kicsit megijesztett a hír. Magam is egy önkormányzatnál vagyok gazda, és eléggé korán váltottunk Vendor lock-in központról asteriskre, ami remekül működik, szerencsére még primer ISDN-n jön be a vonal PSTN felől.
Tűzfal-routernek pfsense-t használok. Eddig szerencsére nem volt gond, de eléggé nagy pusztítást tudnának tenni, ha a primer vonalunkhoz betöréssel hozzáférnének. Most hétvége van és esténként ránézek a logokra, hogy mi történik, aztán hétfőn röppen a fail2ban az asterisk szerverre, hogy még LAN-ról se tudjanak próbálkozni.
Főleg nagy gond lenne, hogyha open source megoldással történne egy ilyen káreset, a sok nyikhaj médium egyből lecsapna egy ilyen esetre.

Igen, csak annyi gond van, hogy a VoIP telefonok a meglévő munkaállomások mellé lettek rakva, de nem volt dupla végpont kiépítve, így a telefonokban lévő 2 portos kis switch-et használom mindenütt. Azt hiszem, hogy csak VLAN szinten lehetne szétválasztani a VoIP és szokásos LAN-t, annak meg túl sok értelme talán nincs :(