ФБР предупреди за възможни хакерски атаки на VoIP централи
11/12/2008 | TechNews.bg
Уязвимост в някои системи със софтуер с отворен код роди новата криминална практика вишинг
Федералното бюро за разследвания на САЩ и специалисти по сигурността са открили слабо място в някои системи, които биха могли да оставят телефонната централа на една компания отворена за външна атака.
Инсталациите IP PBX потенциално са изложени на риска от външни хакерски атаки, особено след като се разкри един голям проблем с тяхната сигурност. Откриването на този проблем беше съобщено от Федералното бюро за разследвания (ФБР) на САЩ и е свързано с продукта с отворен код Asterisk, който превръща един компютър с инсталирана операционна система Linux в телефонна централа, работеща по протокола VoIP (Voice over Internet Protocol).
Хакери се възползват от уязвимостта с цел да превземат телефонната централа на компанията и да я използват за така наречените „вишинг” (Vishing, получено от комбинацията от voice и fishing) атаки.
Вишингът е криминална практика, която използва методите на социалния инженеринг по телефонната система, най-често с помощта на функции, улеснени от VoIP. Разчита се на доверието на хората във фиксираните телефонни услуги, при които традиционно всеки телефонен номер е свързан с физическо лице и може да бъде идентифициран.
Нещата обаче не стоят точно така при VoIP, където лесно се постига анонимност. И така, някои хора биват подлъгани да се обаждат на фалшив контактен център, който обикновено е базиран на завладяна от хакерите локална телефонна централа, и да съобщават важна лична информация. По този начин вишингът става още едно средство за кражба на номера на кредитни карти и други схеми за финансови измами.
В резултат на това банковите сметки на доверчиви потребители се изпразват, а компанията, на която принадлежи компрометираната централа, обикновено получава тлъста телефонна сметка.
ФБР умишлено не разкрива кои версии на Asterisk са уязвими, за да се ограничи количеството информация, която със сигурност ще достигне до хакерите. Но с актуализацията на последната версия на софтуера проблемът очевидно ще бъде решен.
Asterisk, подобно на някои други VoIP PBX системи с отворен код, се използва широко от малки компании, поради ниските разходи за внедряване и добрата репутация, свързана с надеждността и лесното използване.
"Проблемът, пред който са изправени малките компании - потребители на VoIP PBX е, че въпреки че тяхната локална централа е присъединена към обществената телефонна мрежа и широколентовата линия на компанията, ресурсите за ИТ сигурност на повечето компании не простират своята пълна защита върху PBX платформата," казва Роб Рахвалд, директор по маркетинг на продукти в компанията Fortify, специализирана в изследване на уязвимости на приложения.
"Това означава, че потребителите на VoIP PBX системи, които смятат, че тяхната телефонна система е под защитата на firewall приложение, могат да се събудят неприятно изненадани от телефонната сметка, след като тяхната PBX система е била компрометирана.”
Рахвалд добавя също, че все по-голям брой приложения с отворен код, в това число и Asterisk, са били преразгледани в аспекта на тяхната сигурност и се инсталират на по-защитени специализирани компютърни системи, а не на преработени персонални компютри.
Независимо от уверенията на експерта, потребителите могат най-добре да помогнат сами на себе си и да бъдат малко по-подозрителни, когато получават съобщения, насочващи ги да се обадят по телефона и да предоставят информация за кредитна карта или банкова сметка. Вместо да предоставя каквато и да било информация, потребителят трябва да се обади директно на банката или компанията, издател на кредитната му карта, за да провери достоверността на съобщението.
Топ продукти
Феновете на Apple очакваха със затаен дъх 1 септември, за да чуят обещаните, но забулеви в тайна музикални обявления от компанията. Лично CEO-то Стив Джобс задоволи любопитството, като представи обновени версии на плейърите iPod. Всички модели са достъпни за поръчка от сайта на Apple. Доставките започват идната седмица. 
