Atak na VoIP
- 14.04.2009
Użytkownicy sieci VoIP zauważyli od pewnego czasu tak zwane głuche telefony, wskazujące na próby połączeń z zewnątrz. Jest to efekt skanowania sieci w poszukiwaniu otwartych serwerów usług głosowych telefonii internetowej - pierwszy symptom działania przestępców.
Zazwyczaj ataki były kierowane przeciw dostawcom, tym razem jest to masowe poszukiwanie celów o żądanej charakterystyce. Zjawisko to jest dokuczliwe dla końcowych użytkowników, gdyż skanowanie jest dokonywane automatycznie o różnych porach doby, często w nocy. Wiele takich skanów odbywa się z jednego adresu IP lub z grupy adresów.
Czemu służy skanowanie VoIP?
Łukasz Ratajczyk, dyrektor techniczny FreecoNet
W rzeczywistości jest to preludium do ataku, polegającego na kradzieży uwierzytelnienia kont w ogólnodostępnych systemach telefonii internetowej. W praktyce wygląda to w ten sposób, że napastnik (źródła FreecoNet podają adres IP 69.197.156.250) generuje pakiety SIP i kieruje je do poszczególnych, losowo wybranych adresów IP. Jeśli pod konkretnym adresem IP znajduje się jakieś urządzenie VoIP (bramka czy telefon IP) - telefon wówczas dzwoni, a do nadawcy pakietów SIP wraca informacja ze szczegółami zawierającymi m.in. rodzaj wykorzystywanego urządzenia VoIP. Połączenia te nie są widoczne w billingu rozmów przychodzących, gdyż nie przechodzą przez platformę VoIP. FreecoNet nie jest jedynym operatorem VoIP, który ostrzega o takich atakach, podobne informacje ujawnia też Arbor Networks.
Najczęściej wymienia się kilka powodów, dla których ktoś mógłby zestawiać połączenia do cudzych sieci lub urządzeń VoIP. Jednym z nich jest atak odmowy obsługi kierowany przeciw najważniejszemu medium komunikacji w firmie - telefonii. Wobec zwykłych użytkowników mógłby to być jedynie złośliwy żart, ale w wielu przypadkach może on powodować problemy.