Bezpečné používání VoIP

kokoska.rokoska · Zaslal: so březen 07, 2009 5:18 pm Předmět: Bezpečné používání VoIP

Jelikož VoIP již dávno není jen doménou geeků a v současné době masivně nastupuje mezi „běžné uživatele“, myslím, že je záhodno shrnout základní bezpečnostní pravidla (která samozřejmě platí nejen pro VoIP). Protože při získání přístupu k cizímu VoIP účtu může dojít k přímé finanční újmě postiženého (přinejmenším k protelefonování kreditu u pre-paid účtu; u post-paid účtu se může jednat o skutečnou katastrofu).
O tom, že je hrozba opravdu reálná, svědčí i zde publikované úspěšné útoky proti systémům uživatelů.

Ty, jimž vše níže řečené bude připadat samozřejmé a triviální, prosím o shovívavost a také o šíření osvěty mezi méně poučenými uživateli. A to samé platí i pro operátory zde ve fóru se vyskytující: Vychovávejte své uživatele, vštěpujte jim základní návyky bezpečného chování a – pokud možno – usměrňujte je v tom i nastavením svých systémů.
Byla by velká škoda, kdyby se VoIP telefonie dočkala „nálepky“ nebezpečné technologie.

Základní bezpečnostní pravidla VoIP

1. Přístup k veškerým zařízením chraňte heslem.
U jakéhokoliv zařízení okamžitě po uvedení do provozu nastavte hesla pro přístup. Jsou-li přednastavena nějaká hesla od výrobce, změňte je. Všechna!

2. Používejte kvalitní hesla.
Dobré heslo má nejméně 8 znaků (lépe 10 a více), není založeno na žádném skutečném slově a je složeno z malých a velkých písmenek a čísel. Uvědomte si prosím, že výkonné stroje jsou schopny vyzkoušet mnoho set tisíc kombinací za sekundu, takže prohledání celého českého národního korpusu a k tomu všech čísel do – řekněme – délky osmi, devíti znaků je dílem okamžiku.
Taktéž je záhodno nepoužívat jedno univerzální heslo – při jeho vyzrazení by útočník automaticky získal přístup ke všem službám tímto heslem chráněným.

3. Uchovávejte hesla v tajnosti.
Hesla zásadně nikomu nesdělujte a nikam je nepište. Zejména si dávejte pozor, abyste hesla omylem nevyzradili při žádosti o pomoc v nějakém diskusním fóru, či mailing-listu. Také si dávejte pozor na různé „vykuky“ vydávající se za pracovníky operátorů, kteří po vás e-mailem či dokonce telefonicky budou požadovat jméno a heslo pro identifikaci. Uvědomte si, prosím, že skutečný pracovník operátora vaše heslo zná a nemusí se vás na něj ptát a navíc má mnoho jiných způsobů, jak ověřit vaši identitu.
Pokud už je omylem či záměrně někomu sdělíte, okamžitě je změňte.

4. Pro zasílání/změnu hesel používejte jen a pouze zabezpečené komunikační kanály.
Zásadně nepoužívejte k přenosu/nastavování hesel nešifrované kanály dostupné každému jako je veřejný internet či (byť domácí) WiFi sítě. Pro „webový“ přístup vždy používejte https protokol a e-maily šifrujte pomocí s/mime či PGP/GPG. Pokud vaše zařízení neumožňuje přístup pomocí https protokolu, nastavujte/měňte hesla jen a pouze z vnitřní „kabelové“ sítě (ethernet atp.).

5. Hesla skladujte „bezpečně“.
Zásadně si hesla nepište na papírky, které si nalepíte na monitor :-)
A také nepoužívejte různé „skladovače hesel“ pochybného původu. Lépe řečeno, nepoužívejte – pokud možno – žádné „skladovače hesel“. A když už nějaký takový nástroj používat chcete, vyberte si nástroj důvěryhodný – nejlépe s otevřeným zdrojovým kódem (aby mohl každý zkontrolovat, co to opravdu dělá) a dobrými referencemi.

Pokud si s některým doporučením nevíte rady zkuste najít ve svém okolí nějakého odborníka jemuž 100% důvěřujete, ať vám poradí...

To je, pro začátek, vše – jakékoliv další náměty pro zvýšení bezpečnosti jsou vítány :-)

Hezký den!

Petr22 · Anonymní 89.102.213.x

Máte nějaké tipy na vlastní systém hesel? Kdysi jsem používal asi 4 zapamatovatelná hesla, abych alespoň trochu diverzifikoval (pro jeden okruh služeb jedno heslo: 1. emaily, 2. banky, 3. weby-hostingy a 4. ostatní-vč.diskuzních fór).

Před pár lety ve všeobecné panice krádeží hesel na internetu jsem pro každou službu vytvořil originální 12 místné heslo. Celkem se jedná o stovky hesel, přesně nevím. Mám je napsané v sešitu A5 o 40 stranách.

Nyní o tom přemýšlím a druhý systém je neudržitelný. Jednak se musím pokaždé dívat do toho sešítku, jednak, když mi vyhoří byt, přijdu o sešit a už nikdy se do některých služeb nedostanu (ne všude lze heslo ze systému vydolovat např. zasláním na email). Navíc, když by se hacker vlámal do mých emailů (používám víc emailů pro diverzifikaci), tak si ta hesla může nechat zaslat sám.

Čili, jak z toho ven?

Jak systém hesel řešíte vy?

Egon · Založen: 14. 03. 2006 Příspěvky: 114

Protože jsem "sklerotickej lenoch", tak ač porušuji 5. přikázání kolegy kokosky.rokosky, používám "univerzální sklad" t.č. SPBWallet (1x v PC a 1x ve founu). Mám jedno "silné" heslo pro přístup do "skladu", které si (už) pamatuju a v něm pravidelně měním jeho část, třeba podle roku/měsíce.
Není to úplně košer, ale lepší než jednoduchá hesla (typu 1234, Venca a pod.) nebo si to psát na papírek (pro mne určitě, už jsem jich poztrácel až hamba).
Asi tak.

kokoska.rokoska · Zaslal: so květen 16, 2009 1:13 pm Předmět: Re: Bezpečné používání VoIP

Egon · Založen: 14. 03. 2006 Příspěvky: 114

Tak tak, opatrnosti není nikdy dost, neb: "Nepřítel naslouchá." Wink

AdSense · Reklama

vpe · Založen: 20. 10. 2005 Příspěvky: 2174

Jiří Pavlíček · Anonymní 77.104.242.x

Na flashce nosim disk sifrovany TrueCryptem - jev se to jako jeden velky soubor. Obcas si soubor zalohuji a obcas menim heslo.

MichalK · Založen: 01. 09. 2009 Příspěvky: 36 Bydliště: Třinec

Tak dneska v hlavních zprávách na ČT byla reportáž o české majitelce hotelu, která přišla kvůli nezabezpečené VOIP ústředně během 3 dní o 1,5 mil. korun. Upřímně tu paní lituji...

http://www.ct24.cz/domaci/71247-pozor-na-hackery-za-tri-dny-muzete-provolat-pres-milion-korun/

Majklík · Založen: 21. 09. 2006 Příspěvky: 94

Dokonce ČTU vydalo k dané problematice na konci listopadu své doporučení formou tiskové zprávy (včetně toho, co dělat, když se už stane):
http://www.lupa.cz/tiskove-zpravy/zabezpeceni-voip-ustreden-a-telefonu/

ViR · Moderátor Založen: 30. 01. 2005 Příspěvky: 5705

Peter Pauer · Založen: 15. 12. 2009 Příspěvky: 17

Ano - taketo spravy vzdy vyvolaju vlnu znepokojenia. Ci uz sa jedna o VoIP sluzby, ukradnutie vzacneho obrazu, alebo vylupenie banky - vsetky taketo udalosti maju spolocnych viacero faktov.

1) Ziadna pevnost nie je nedobytna, ziadne heslo neprekonatelne. Ak nejaky expert vymysli perfektny zabezpecovaci system - existuje druhy expert ktory ho dokaze prekonat.

2) Vo vacsine takychto pripadov, dopomoze vysokym skodam samotny majitel/uzivatel svojim laxnym pristupom k zabezpeceniu. Hovori sa: Tak dlho sa chodi s poharom na vodu, az sa pohar nerozbije.

3) Uroven zabezpecenia by mala byt priamo umerna hodnote zabezpeceneho predmetu/informacii. Ak vlastnite Ferrarri asi s nim nebudete parkovat v tmavej ulicke v mestskom gete s otovrenym oknom. Ak jazdite na skode Fabii, tak instalovanie startovania hlasom + GPS vysielac bude asi premrstena investicia.

Nechcem byt v ziadnom pripade cynicky a je mi uprimne luto skody, ktoru dotknuta pani utrpela, ale na druhej strane je to dobre pre ostatnych ludi aby si uvedomili rizika nielen pouzivania VoIP sluzieb, ale aj napr. internet bankingu.

Dobry VoIP operator by sa mal postarat o to aby bolo poskytovanie sluzieb maximalne bezpecne z jeho strany a mal by uzivatelom oporucit spravne a bezpecne spravanie pri vyuzivani sluzieb.

vpe · Založen: 20. 10. 2005 Příspěvky: 2174

GPS vysílač, tak to má sofistikovaný zloděj, co chce ukrást tvé auto, jmenuje se to jammer a GPS přijímač to zblbne, nebudu říkat, kde to za pár kaček seženeš. A družice obsahuje také GPS vysílač..

Sorry za OT Smile

Obousměrný pager, který dovoloval startovat, zhasínat auto dálkově a detekoval poplach (do pár stovek metrů), jsem viděl už před 10 lety a za relativně pár korun (vzhledem k ceně Fabie).

Prob. byl jednoznačně v postpaidu.

a1bert · Založen: 15. 11. 2009 Příspěvky: 4

Jirak · Založen: 04. 08. 2005 Příspěvky: 328

Podle tvrzení VoIP operátorů je nejčastějším terčem útoků hackerů nezabezpečená soukromá telefonní ústředna, kdy hacker získá přístup buď přímo k její administraci, nebo mnohem častěji přímo k některému konkrétnímu uživatelskému účtu.

Mohu Vás ujistit, že ve většině případů, s nimiž jsem se setkal, šlo o prolomení nedostatečně bezpečných hesel. Ale ani nastavení silného hesla neochrání provozovatele ústředny před útoky.
Jsou zcela běžné případy, kdy útočník pokusy o prolomení hesel způsobí v ústředně doslova útok DOS - totálně zahltí konektivitu (dokonce až do desítek Mbps!), nebo zatíží CPU tak, že počítač následně nezvládá odbavovat probíhající hovory.

Rozumná ochrana proti útočníkům spočívá v použití sofistikovaného řešení - patřičně nastavený inteligentní externí firewall - umožňující detekci začínajícího útoku VoIP hackera.
Toto řešení nejenže mnohdy již od prvního UDP paketu detekuje, že jde o hackerský útok, ale pro příště si i pamatuje IP adresu ze které je útok veden a hackerovi znemožní veškerou další komunikaci s ústřednou.
Toto řešení může zajistit ochranu soukromé ústředny i do budoucna - ochranu i před dnes dosud neznámými formami útoků na VoIP. Investice do 2000 Kč za kompletní řešení je nesrovnatelně nižší, než úhrada mnohatisícových častek za hovory z prolomené ústředny.

Zájemci o nápovědu, případně o podrobnější návod, se mi mohou ozvat zasláním SZ.
Záměrně zde nechci způsoby ochrany podrobně veřejně popisovat, protože bych dával útočníkům avízo "odkud vítr vane" a naváděl je k obcházení některých prvků ochrany.

kokoska.rokoska