Zoiper сохраняет наши пароли от SIP на своих серверах — и потерял эту базу?

    Zoiper logo
    Странный на первый взгляд заголовок, но сделать другой вывод мне не удаётся.

    В субботу SIPNET прислал уведомление, что наш аккаунт взломали и была активность «на международном направлении». Всё дело в том, что пароль от учётной записи на SIPNET у нас собственно знает только система телефонии на Asterisk, и он такой, что угадать его невозможно. Но, как выяснилось, угадали не его.


    Исследование показало, что действительно в ночь с пятницы на субботу были звонки, общей стоимостью не более $2. Что характерно, все эти звонки были сделаны с использованием учётных записей, когда-либо настраивавшихся на Android-устройствах сотрудников в программе Zoiper. Были испробована каждая учётная запись, которая когда-либо настраивалась в программе Zoiper. Последняя такая учётная запись была создана примерно две-три недели назад, Zoiper поставили, попробовали и забыли, никакой работы через бесплатный wifi в кафе и тому подобного.
    Пароли на этих учётны записях не предполагались для запоминания человеком (они были сохранены в программе), и были сгенерированы случайным образом, то есть, подбор их по словарю исключается.
    Это произошло в промежуток с 1 до 3 часов по Московскому времени, в это время сотрудники спали.

    Таким образом, единственное, что остаётся предположить — это что Zoiper собирал пароли от наших учётных записей на свои серверы, хранил их там в открытом (или обратимо зашифрованном) виде, и потерял эту базу.

    Спасибо, SIPNET!
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 42

      0
      На андройд устройствах было прямое подключение или через STUN-сервер?
        0
        Прямое
          –1
          Epic fail
            0
            На что влияет STUN?
              0
              В данном случае он вообще был бы бесполезен. Последняя из записей вообще запускалась из офиса, между клиентом и сервером никакой трансляции адресов. Да и вообще-то у сервера телефонии белый IP-адрес, именно для того, чтобы не заморачиваться со STUNом.
                +1
                И я о том же.
                STUN — это вспомогательный механизм для определения своего внешнего адреса. На безопасность он никак не влияет.
                  +1
                  Ну почему же. STUN-серверы тоже бывают с аутентификацией, то есть, вполне может быть пароль и проблемы с его безопасностью.

                  Другое дело, что SIP-сессия по очевидным причинам не идёт через STUN. Она на то и нужна, чтобы договориться, как идти.
        0
        Возможно взлом Вашей АТС?
          0
          Спёрли все учётки, настроенные в зойпере, и только их. И да, мы сменили на этих учётках пароли — никакого взлома больше не видно. И левых подключений по ssh или к веб-интерфейсу тоже не видно, что неудивительно — доступ к ним ограничен файерволлом.
          Не похоже на взлом АТС.
            0
            А вариант трояна на Android-телефоне проверялся?
              0
              UPD: Проверяли. И удивительно — неужели троян на всех (минимум трёх) устройствах сразу, причём на одном из них ещё стоит DrWeb?

              Я к тому клоню, что Zoiper и есть сам этот троян :)
              • UFO just landed and posted this here
                0
                Левых не видно, а как насчет доверенных? Ведь может быть троянец-инсайдер…

                И потом, взлома не видно, а попытки взлома? не ведется учет попыток использования старого пароля? Может это уязвимость какую-то нашли, проверяли…
                  0
                  Вообще логируются фейлы. Я, правда, уже не смотрел. Меня интересовало, сразу ли пароли были верные — да, были сразу. То есть, связка (сервер, логин, пароль) была подключавшимся сразу известна.

                  Троянец-инсайдер — это как-то тоже маловероятно. Доверенные — это две машины на линуксе в непосредственной близости к серверу, и одна макось через ssh.

                  В любом случае, подозрительно, если это уязвимость и т.п. — почему именно зойпер и только зойпер, причём все учётки с зойпером какие были?
              0
              Хороший был SIP-клиент для android-a. Придется снова менять.
                +5
                Нам тоже в субботу сипнет прислал:

                Здравствуйте,
                Наблюдается опасная активность по международным направлениям. С огорчением должны сообщить, что Ваше оборудование взломано, пароли украдены.
                Мы постарались максимально снизить риск немедленного обнуления баланса, список заблокированных вызовов прилагается. Однако применяемая мошенниками схема довольно гибкая. Ликвидация утечки исключительно средствами SIPNET невозможна. Только Вы можете обезопасить свое оборудование и прекратить неправомерное использование счета.
                Пожалуйста, проверьте журналы вызовов, систему контроля доступа и замените пароли. Прочитайте статью bit.ly/voipfraud

                SIP ID: 00********
                IP: 206.222.164.204 (USCA Los Angeles)
                Фрод лог за последний день
                MSK (UTC+04:00) E.164 Direction IP User-Agent Code
                07.12.2013 03:43:02 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
                07.12.2013 03:42:55 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
                07.12.2013 03:42:52 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
                07.12.2013 03:41:07 48185210940 Poland Proper 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
                07.12.2013 03:40:59 448009879077 United Kingdom Shared Cost 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Blacklisted
                07.12.2013 03:40:53 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
                07.12.2013 03:40:47 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent
                07.12.2013 03:40:41 972599451641 Israel Mobile — Jawall 206.222.164.204 (USCA Los Angeles) eyeBeam release 3007n stamp 17816 Direction,Provider,User agent

                SIPNET

                Но я настолько уверен что с атс всё ок, что даже подумал на какие-то ошибки со стороны Сипнета. Эта статья добавила плюсов в эту версию.
                  0
                  О. У нас тоже в Лос-Анжелес звонили.
                  • UFO just landed and posted this here
                    –3
                    Мне кажется, что это голословно сразу обвинять в случившимся программные продукты zoiper. Исходя из написанного zoiper использовался для звонков через ваш asterisk через учётные записи сотрудников используя технологию sip. Скорее всего, в таком случае ваш сервер имеет ip-адрес в глобальной сети, к которому подключаются клиенты. Используются ли дополнительные средства защиты (vpn, шифрование) не указано. Варианты, которые можно проверить:
                    — версия asterisk, которая подвержена взлому и использование zoiper всего лишь совпадение,
                    — клиенты использовали подключение к серверу в незащищённых сетях, возможно, контролируемых 3й стороной, пароль был украден во время аутентификации на сервере,
                    — возможно, вредоносное ПО на телефонах, которое «крадёт» пароль, который zoiper хранит для подключения,
                    — злоумышленники использовали «человеческий фактор» и ваши клиенты сами выдали им пароль.
                      0
                      Используется DIGEST аутентификация. То есть, пароли в открытом виде по сети не пересылаются, перехватывать нечего.

                      Пользователи не знали пароли друг друга и даже свои собственные (в духе: записан — и ладно, сам пароль незапоминаемый), вариант социальной инженерии исключен.
                      0


                      Как-то так, наговорили на $3.5.

                      Андройдовские приложения не использовались, был клиент на Mac OS X и клиенты на iOS. За несколько лет было перепробовано много клиентов для iPhone. Так что не только андройдоводы пострадали.
                        0
                        У нас как раз есть клиент, который пользуется зойпером на маках. Спросил у него, было ли что-то интересное, жду вот ответа.
                          0
                          Немного уточню, чтобы не вводить в заблуждение. На Mac OS X никогда не было Zoiper клиента. На iOS в процессе поисков, возможно, и ставился Zoiper, но вместе с ним так же ставилось с десяток других приложений.
                      0
                      У себя подобных проблем не наблюдал — «левых» звонков за всё время пока не было, но от греха подальше на смарте вернулся с ZoiPer на CSipSimple.
                      Кстати, у кого были левые списания: кто каким VoIP-провайдером пользуется?
                        0
                        Так раз звонили через ваш Asterisk — посмотрите в логах, с каких IP были звонки.
                          0
                          Американцы звонили. И что нам с этих адресов? Интересно-то, откуда они пароли узнали.
                          +1
                          (не туда)
                            0
                            Считаю, что имеет место какая-то атака по типу man in the middle, и Zoiper может быть не при чем.

                            Уже полтора месяца отбиваюсь от атаки нехорошего человека, который территориально окопался в Палестине и ведет оттуда боевые действия (в вашем случае звонки на номера, которые начинаются с 972599 идут как раз туда). Человек хорошо разбирается в телефонии и технологиях. Проверки, что звонки проходят, могут идти через номера в Египте, но трафик предпочитают слать в основном на Сомали и Мадагаскар.

                            Атаки на телефонную часть идут в основном с дедиков в США и Великобритании, вебтрафик на вебморду часто идет через анонимайзеры, причем я обратил внимание, что эти анонимайзеры приватные.

                            Сегодня совершенно случайно в логах заметил, что часть (один HTTP-запрос) моего собственного веб-трафика к моему же сайту прошли через анонимайзер, который я отловил при отражении атаки этих умельцев. Факт компрометации собственной рабочей станции яростно отрицаю, т.к. надо слишком много усилий потратить, чтобы заразить чем-то именно этот компьютер.
                              0
                              Возможно. Только очень удивительно. Я ещё раз повторю, применялся DIGEST для аутентификации, тупо подслушивая трафик пароль было невозможно слить. Тут можно вмешаться в него, «вырезав» поддержку DIGEST AUTH и таким образом заставить клиентов использовать пароль открытым текстом, но это уже гораздо сложнее, и исключено для одной из трёх компроментированных учётных записей.
                              0
                              Поэтому, к моему домашнему астериску можно подключиться только из локальной сети/vpn. Благо клиент openvpn есть под любую платформу. И пусть лопнут со своими паролями :)
                                0
                                У вас нет отдельностоящих далеко расположенных точек типа «IP-телефон+компьютер»? У наших клиентов есть. VPN там устраивать — приблизительно +3К рублей на точку (роутер а-ля TP-Link 3600, на который прошивается OpenWRT), +дополнительное место отказа.

                                Ваши клиенты не ездят случайно во всякие страны отдыхать, типа турцию? У нас есть такой вот директор, который ездит, и связь ему там нужно обеспечить. А там, как назло, режут бесстыдно всякие VPNы. Однажды так у него корпоративная почта не заработала — выяснилось, что как только почтовый клиент на его компе давал команду STARTTLS, сессия тут же обрывалась (не нами).

                                И тут не особенно позашифруешь, как бы это ни хотелось.

                                Кроме того, это же телефония. Тут самое важное — минимальная задержка. Поэтому — по возможности, никаких VPNов!
                                  0
                                  Клиенты у меня — родные и друзья. :) Как написал asterisk домашний и используется в личных целях. С Вашими доводами согласен на 100%. Спасибо за информацию, Zoiper поставил на карандаш!
                                    0
                                    А оно того стоит, что б не использовать шифрование в корпоративном сегменте?
                                    А информация, которую директор принимает через не зашифрованные соединения важная или нет? Есть ли там ком. тайна, или другая информация, потенциально опасная для бизнеса?

                                    Тут самое главное понимать, важная информация передается, или так: просто поболтать.
                                    Для второго варианта существует схема с «несекьюрным» вторым сервером почты или телефонии, который видит только «публичные» письма, или письма помеченые как «открытые».
                                      –1
                                      А оно того стоит, что б не использовать шифрование в корпоративном сегменте?

                                      Вот езжайте вы в турцию или куда там, в египет, там вам покажут шифрование. А я на вас посмотрю. Конечно, бизнесу важнее продать, чем шифровать, а уж если шифрование мешает продать (например, в конкретной стране из-за него вообще не работает почта) — то стоит его не использовать. Разумеется, тут есть оговорки, но в целом так.

                                      Кроме того, в случае с телефонией я говорил про проблемы именно с VPN, а с шифрованием. Какой-нибудь IPSEC или шифрование уровня преставляения а-ля TLS здесь применимо, но нужно понимать, что такое RTP и как его шифровать (тонкостей куча — например, мы должны легко выдерживать потерю части пакетов).

                                      А информация, которую директор принимает через не зашифрованные соединения важная или нет? Есть ли там ком. тайна, или другая информация, потенциально опасная для бизнеса?

                                      Ну корпоративная почта директора. Наверное, есть. Я не знаю, что там, ни разу не заглядывал.
                                      (Пароль бы, кстати, всё равно не утёк, потому как схема аутентификации CRAM).

                                      Вы наверное нечасто сталкиваетесь с директорами. Человек, не особенно понимающий проблемы информационных технологий, но которому вечно нужно прямовотсейчаслюбойценой отправить письмо, совершить звонок, и тому подобное. Я со своей стороны обязан предупредить, какие могут быть проблемы, а вот оценивать эти риски — дело его.

                                      Для второго варианта существует схема с «несекьюрным» вторым сервером почты или телефонии, который видит только «публичные» письма, или письма помеченые как «открытые».

                                      Кто бы знал, что оно там будет так?

                                      Кто будет платить за такую, в общем, не очень-то тривиальную конфигурацию? Особенно, заранее, не будучи уверенным, что это хоть когда-нибудь кому-нибудь пригодится. Особенно если учитывать, что платить придётся постоянно снижением удобства пользования и обучением каждого сотрудника, что куда положено присылать.

                                      Возможно, это выйдет настолько дорого, что дешевле просто не шифровать.

                                      Главный тезис тут: безопасность ради безопасности не стоит ни гроша и должна изгоняться из бизнеса. Защищаться нужно только в том случае, когда защита экономически оправдана.
                                        –1
                                        Еще раз повторюсь — главное понимать, важная информация передается, или так: просто поболтать.
                                        По своей специфике работы, директор — второй или третий человек по к-во разговоров за неделю, но он очень близок к ИТ.

                                        Если взять сферического директора да поместить его, если директор говорит что ему нужно, то он должен знать риски на которые он идет, в т.ч. финансовые — то о чем вы писали выше.
                                        Кто будет платить за любое решение? — тот кому оно нужно. Не нужно обезопасить себя — не нужно и платить. Вы полностью открытая контора — еще меньше проблем.

                                        С другой стороны, если вы построили супер-мега надежный и безопасный канал связи, а директор говорит по нем исключительно в публичных местах — то это тоже не панацея.

                                        Так что всё зависит от конкретной политики фирмы в отношении безопасности, и есть ли такая политика и комплекс мер по ее поддержания.
                                      0
                                      что как только почтовый клиент на его компе давал команду STARTTLS

                                      Вы знаете но таким интернетом я бы побоялся пользоваться.
                                        0
                                        на отдыхе надо отдыхать, а не интернетом пользоваться))
                                        0
                                        Тоже были проблемы с почтой у директора в Турции. =) Режут бессовестно, сцуки.
                                      0
                                      проверил свой аккаунт — никаких левых звонков за последнюю неделю не обнаружил. но спасибо за информацию! пароль сменил и zopier удалил от греха подальше.
                                        0
                                        У меня наблюдалась та же самая активность на своем сервер. Но что самое странное, у меня в логах показывало, что и звонок исходил с телефона. Если бы не письмо от sipnet'а я бы долго еще не замечал утечки. Сообщил разработчикам, но пишут, что проблема не в клиенте.
                                        Пару дней назад снова перешел на zoiper, но уже на десктопную версию, немного подправил политики безопасности. Вроде пока утечек нет.

                                        Only users with full accounts can post comments. Log in, please.