Our annual report for 2010 presents and comments on statistical data derived from CERT Polska daily operations in 2010. The outcome is a comprehensive analysis of network threats affecting Polish networks as we see them. Unlike previous years, when we focused on manually handled incidents, the data presented in the current report is collected largely in an automated fashion from various external and internal systems, yielding millions of records. This allowed us to produce a report analyzing over 12 million submissions that we consider a unique and fairly authoritative picture, not only due to amount and variety of data, but also the extent in which Polish networks are covered. (more…)

W ostatnim wpisie na naszym blogu pisaliśmy o atakach na telefonię IP. Skupiliśmy się na protokole SIP. VoIP jednakże to nie tylko wyżej wspomniany protokół. Innym, starszym niż SIP ale pomimo tego dalej popularnym standardem jest H.323. Niedawno skanowania, które miały na celu poszukiwanie urządzeń potrafiących obsługiwać połączenia w tejże technologii, zostały zarejestrowane przez system wczesnego ostrzegania przed zagrożeniami w sieci ARAKIS. Dzisiaj podamy trochę informacji o tych obserwacjach.

Przepływy widziane były na porcie 1720/TCP, który jest standardowym portem do tego typu połączeń. Zmasowane połączenia rozpoczęły się nad ranem 23. listopada i trwały “jedynie” 8 godzin. Były widziane na niewielu sondach, dodatkowo incydent ten nie powtórzył się. Najprawdopodobniej więc skanowany był zakres polskiej przestrzeni Internetu “wyrywkowo”, a nie kompleksowo. Mimo to wytworzyły się dwa klastry opisujące ten incydent.

(more…)

Telefonia VoIP (Voice over IP) cieszy się coraz większą popularnością dlatego jest coraz powszechniej wykorzystywana. Niestety, wzrostowi popularności ze strony użytkowników towarzyszy wzrost popularności ze strony cyberprzestępców. Źle zabezpieczone centralki mogą być m.in. źródłem poważnych strat finansowych, ponieważ przestępcy mogą wykorzystywać je do wykonywania połączeń telefonicznych w dowolne miejsce na świecie. Tego typu ataki opisywaliśmy już w roku 2008 (Phreaking w erze telefonii VoIP). Innym zagrożeniem jest dzwonienie do końcowego numeru z niezamówionymi ofertami handlowymi (tzw. SPIT: Spam over Internet Telephony)¹. Najprostszą formą ataku jest atak odmowy usługi (DoS), który może sparaliżować sieć telefoniczną np. w całej firmie². Ostatnio informowaliśmy poprzez serwis Twitter o znaczącym wzroście skanowań poszukujących urządzeń VoIP wykorzystujących protokół SIP.

Dane zbierane przez rozproszoną sieć sond systemu ARAKIS potwierdzają, że problem ataków na telefonię IP w polskiej przestrzeni Internetu jest bardzo realny i ciągle się pogłębia. Poniżej postaramy się nieco przybliżyć obserwacje prób ataków, których świadkiem był system ARAKIS.

(more…)

Od połowy września 2008 roku w sieci obserwowane są skanowania w poszukiwaniu niezabezpieczonych bramek PSTN, które umożliwiają zestawienie połączenia pomiędzy siecią VoIP a publiczną siecią telefoniczną PSTN. Takie niepoprawnie skonfigurowane bramki PSTN umożliwiają atakującemu wykonywanie połączeń telefonicznych do abonentów publicznej sieci na koszt właściciela takiej bramki.

Atak polega na wysyłaniu (najczęściej na port 5060/UDP) pakietów zawierających żądanie INVITE protokołu SIP. Żądanie takie w zamierzeniu służy do inicjowania połączeń głosowych. Atakujący może dowolne sfałszować nagłówki żądania SIP (takie jak numer wywołujący czy identyfikator połączenia), jednak adres IP atakującego w opisywanym scenariuszu nie jest fałszowany, aby umożliwić mu otrzymanie odpowiedzi (a tym samym informacji o powodzeniu ataku). Gdy taki pakiet dotrze do publicznie dostępnej bramki PSTN, nastąpi przekazanie połączenia do publicznej sieci PSTN. Co ciekawe, gdy taki pakiet trafi do telefonu VoIP, nastąpi wywołanie (to właśnie dzwoniące telefony VoIP były jednym z symptomów, dzięki którym zauważono opisywane skanowania). Podejrzane żądania INVITE zostały także zauważone przez system wczesnego ostrzegania ARAKIS – pierwsze obserwacje pochodzą z 14 września 2008 roku. Dnia 2 października nastąpił znaczny wzrost takiej aktywności, co doprowadziło do wyzwolenia reguły systemu wykrywania włamań Snort “VOIP INVITE Message Flood“. Tak przedstawia się przykładowy pakiet protokołu SIP zarejestrowany na porcie 5060/UDP zawierający podejrzane żądanie INVITE:

Aby zapobiec tego typu atakom, administratorzy bramek PSTN lub serwerów proxy SIP powinni wyeliminować możliwość nieautoryzowanego dostępu do tych usług. Zabezpieczenie powinno polegać na umożliwieniu korzystania z bramek tylko wybranym adresom IP (jeśli oprogramowanie bramek nie udostępnia takiej funkcjonalności, powinien zostać zastosowany firewall) lub tylko uwierzytelnionym użytkownikom. Centralki PBX (np. Asterisk) powinny zostać skonfigurowane w taki sposób, aby odrzucać nieautoryzowane żądania połączeń do sieci PSTN.

Więcej szczegółów w artykule Analysis of a VoIP Attack.