[Problem] Großes Problem mit 1&1 wegen Asterisk - Schaden von knapp 3000 €

[hpc-dietzi]

Hi Leute,

am 26.09.2013 wurden mehrere Gespräche ins Ausland geführt, welche mir einen Schaden von knapp 3000 € verursacht haben. 1&1 hat das festgestellt und hat darauf hin erstmal alles gesperrt. Nach 2 Telefonaten wurden nun sämtliche Zugänge neu eingerichtet und die Passwörter geändert. Gerade eben beim zweiten Telefonat mit 1&1 wurde die Telefonie wieder frei geschaltet. Ich habe den netten Mitarbeiter gefragt was nun ist wegen den Kosten, da ich anhand der Log-Files nachweisen kann, dass die Gespräche definitiv nicht über meinen Asterisk geführt wurden. Der Mitarbeiter meinte, dass ein Asterisk im Spiel ist und somit davon ausgegangen werden muss, dass sich der/die Angreifer die Zugangsdaten für 1&1 über meinen Server geholt hätten. Er selber hat mir auch gesagt, dass die Telefonate über ein Software-Telefon und nicht über meinen Asterisk geführt wurden. Weiterhin kann ich auch anhand meiner Server-Config nachweisen, dass es unmöglich ist für dritte, sich in meinen Server einzuhacken da:

• Fail2Ban
• SSH-Zugang nur mit SSL-Datei (befindet sich AUSSCHLIEßLICH auf meinem Rechner zuhause)
• ausgehende Gespräche ins Ausland oder auf Sonderrufnummern nur mit Pin und über einen anderen Anbieter (nicht 1&1)
• Zugriffe auf den Asterisk-Manager werden nach 1 Fehllogin von Fail2Ban gebannt

Was soll ich tun? Hat jemand einen Vorschlag? Zum Anwalt gehen?

Liebe Grüße
Dietzi

 

[chked]

Wenn die Auslandsgespräche/Sonderrufnummern direkt bei 1und1 im Controlcenter gesperrt wurden und dies nachweisbar ist, hast du möglicherweise ganz gute Karten, aus der Nummer rauszukommen, andernfalls wird es wohl schwierig.

 

[hpc-dietzi]

Die Rufnummern sind auf meinem Asterisk und nicht bei 1&1 gesperrt. Aber wie soll ich jetzt gegen 1&1 vorgehen? Wir hatten letztes Jahr schonmal den Fall mit einem Hacker und da hatte ich leider eine Sicherheitslücke welche ich aber umgehend behoben hatte. 1&1 sagt jetzt, dass es ein Wiederholungsfall ist und somit keine Haftung von 1&1 übernommen wird.

 

[informerex]

du mußt dafür Sorge tragen, dass Zugangsdaten niemand zugänglich gemacht werden.
zweitrangig ist, wie die Daten entwendet wurden, ob von einem Stück Papier oder Server oä.
daher ist bspw. die Verwendung mit Startcode aktuell ja auch die "sicherste Lösung", da hierdurch abgesehen von F!B und Server niemand die VoIP-Daten hat.

 

[hpc-dietzi]

Es ist ja sichergestellt, dass niemand an die Daten kommt. Die Absicherungen - welche ich einsetze - stehen oben beschrieben.

 

[KunterBunter]

Du hattest aber - wie oben beschrieben - da leider eine Sicherheitslücke, welche du erst danach umgehend behoben hast? Welche war das denn?

 

[hpc-dietzi]

Das war ja letztes Jahr. Die Sicherheitslücke war, dass "nicht authorisierte Endgeräte" trotzdem Anrufe tätigen konnten (das müsste glaub ich alwaysauthreject gewesen sein). Fakt ist, dass nur ein Anruf getätigt werden kann, wenn der richtige Nutzername (interne Nummer) und Passwort (7-stellig mit Buchstaben und Zahlen) zusammen passen. Nach 3 fehlerhaften Versuchen wird die IP gebannt.

Fail2Ban jail.conf

[asterisk-iptables]

enabled = true
filter = asterisk
action = iptables-allports[name=ASTERISK, protocol=all]
sendmail-whois[name=ASTERISK, dest=root@***.de, sender=fail2ban@***.de]
logpath = /var/log/asterisk/messages
maxretry = 1
bantime = 600

Fail2Ban fail2ban.conf

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Peer is not supposed to register
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - ACL error (permit/deny)
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' \(from <HOST>\)
NOTICE.* .*: Host <HOST> failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Failed to authenticate user .*@<HOST>.*

Fail2Ban filter.d/asterisk.conf

failregex = NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Wrong password
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>:.*' - No matching peer found
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Username/auth name mismatch
NOTICE.* <HOST> failed to authenticate as '.*'$
NOTICE.* .*: No registration for peer '.*' (from )
NOTICE.* .*: Host failed MD5 authentication for '.*' (.*)
NOTICE.* .*: Registration from '.*' failed for '<HOST>' - Device does not match ACL
NOTICE.* .*: Registration from '.*" .* failed for '<HOST>' - Peer is not supposed to register
VERBOSE.*Angriff: <HOST> abgewehrt

Der Eintrag "VERBOSE.*Angriff: <HOST> abgewehrt" wurde von mir selber im Dialplan hinterlegt. Dieser wird ausgelöst, sobald ein Anruf ankommt, der nicht mit meinen Rufnummern übereinstimmt. Somit wird auch dieser Weg ausgeschlossen.

 

[informerex]

Es ist ja sichergestellt, dass niemand an die Daten kommt.

wie sind die dann an die Daten gekommen?
oder bist du der Auffassung es wurde ein hack bei 1&1 durchgeführt und nur deine Daten wurde abgegriffen.

nochmals du siehst aktuell nur deine (!) Hardware/Software Kombination und das ist eindeutig zu kurz gedacht.
- es kann bspw. das Zugangspasswort zu deinem 1&1-Account sein
- es könnte ein Datenblatt oder Browser-Cache mit deinen VoIP-Daten vorhanden gewesen sein
- ein Zugang zu deinem Asterisk (über vorgenannten Punkt, Schwachstelle oä.), wo lediglich die VoIP-Daten abgegriffen wurden. (dh. keine direkte Anmeldung und somit die Sicherheitsvorkehrungen nicht/kaum greifen)

 

[hpc-dietzi]

Man kommt aber nicht auf meinen Server ohne irgendwelche Zugangsdaten. Bruteforce funktioniert genauso wenig da nach maximal 3 Fehlversuchen die IP gesperrt wird. 1&1 hat auch selber zugegeben, dass die Anrufe nicht durch meinen Asterisk ausgeführt wurden. Und sich aus der Haftung zu ziehen und zu behaupten, dass die Daten durch mich preis gegeben worden wären kann auch nicht sein. Es ist eine Frechheit!!

Stellt euch mal vor:
ich gehe morgens aus dem Haus und mein Auto ist zerkratzt. Ich gehe zur Polizei und sage einfach: das muss mein Nachbar gewesen sein. Der ist der nächste der in Frage kommt und ich selber zerkratze mein Auto nicht. Dann geht die Polizei auch nicht zu meinem Nachbar und bestraft den: richtig - es wurde nicht bewiesen dass er es war.

Soll mir einer von euch eine Möglichkeit nennen, wie man an meine Daten gekommen sein sollen könnte und ich nehme alles zurück.

- es kann bspw. das Zugangspasswort zu deinem 1&1-Account sein

Telefonie-, Internet- und Control-Center-Passwörter waren/sind verschieden

- es könnte ein Datenblatt oder Browser-Cache mit deinen VoIP-Daten vorhanden gewesen sein

Antiviren-Scanner und Firewall sind aktiv; Datenblatt liegt bei mir in der Wohnung wo keiner war.

- ein Zugang zu deinem Asterisk (über vorgenannten Punkt, Schwachstelle oä.), wo lediglich die VoIP-Daten abgegriffen wurden. (dh. keine direkte Anmeldung und somit die Sicherheitsvorkehrungen nicht/kaum greifen)

Kann nicht sein. Selbst 1 falscher Login-Versuch im Manager führt zum ban. Habe ich vorhin selber nochmal getestet. Unabhängig davon kann man sich am Manager nur von der IP 127.0.0.1 einloggen. Alles andere wird gebannt. SSH genauso (unabhängig davon braucht es hier noch eine SSL-Keyfile)

 

[informerex]

stell dir die Frage: wie sind die an deine Daten gekommen?
Diese liegen verschlüsselt auf dem 1&1 Server und sind nur noch Dir bekannt!


und zu deinem Vergleich, der hinkt
zudem müssen nicht die die Sicherheit beweisen, sondern du. (siehe meine og. Aussage)

wenn man solche Vergleiche überhaupt heranziehen kann:
am Bankautomat "Maestro-Karte/girocard (früher ec-Karte)" wird mit korrekter PIN, Geld abgehoben > der Bankkunde war es aber nicht
wie konnte der abhebende an Zugriffsdaten (Karte+Pin) gelangen?

aber du wirst kein Einsehen haben, denn wenn dies vorhanden wäre, sind dir die Konsequenzen bekannt und die sind schmerzlich. (egal in welche Höhe)

 

[hpc-dietzi]

Bei mir liegen die Daten genauso auf einem sicheren Server. Die Sicherheit kann ich auch beweisen, aber der Mitarbeiter von 1&1 hat mir zu verstehen gegeben, dass dem das sch*** egal ist.....

 

[KunterBunter]

Was soll ich tun? Hat jemand einen Vorschlag? Zum Anwalt gehen?

Das wird dann das einzige sein, was dir bleibt. Versuche einen mit der Materie vertrauten Anwalt zu finden. Der müsste dann einen unabhängigen Gutachter beauftragen. Die Chancen vor Gericht sind aber wegen der vorangegangenen Sicherheitslücke auf deinem Server, dass schon einmal "nicht authorisierte Endgeräte" trotzdem Anrufe tätigen konnten, eher gering, glaube ich.

 

[hpc-dietzi]

Wobei ja aber jetzt die "nicht authorisierten Endgeräte" nicht in Relation zur jetzigen Problematik stehen. Wie bereits mehrfach geschrieben: die Anrufe wurden direkt von einem Softphone zu 1&1 durchgeführt. Weder mein Asterisk noch meine FritzBox haben diese Anrufe getätigt. Ich kann auch anhand der Logfiles beweisen, dass kein unbefugter Zugriff auf meinen Server statt gefunden hat.

 

[KunterBunter]

Mit Logfiles kann man gar nichts "beweisen". Du hast ja bereits gesagt, was der 1&1-Mitarbeiter davon hält. Fest steht ja wohl, dass die Anrufe so stattgefunden haben. Oder ziehst du das auch in Zweifel?

 

[hpc-dietzi]

Die Anrufe haben ja statt gefunden - aber nicht durch Software oder Hardware von mir. Ich stehe in keinerlei Verbindung zu den Anrufen außer eben mit den Zugangsdaten

 

[KunterBunter]

Welche Zugangsdaten meinst du jetzt genau? Die zu deinem 1&1-ControlCenter?

 

[hpc-dietzi]

Ich meine die Telefonie-Daten. Also Rufnummer und Passwort. Weil ohne die kann ja kein Anruf direkt bei 1&1 geführt werden - was ja passiert ist.

 

[Hans Juergen]

1&1 müsste ja die IP dessen haben, der die Gespräche geführt hat. Letzlich musst du den angehen... Es wird sich kaum beweisen lassen, auf welcher Seite die LogIn-Daten geklaut wurden.
Wenn du Glück hast, kannst du mit 1&1 zu einer Kulanz-Lösung kommen.

 

[sven@mainz]

Antiviren-Scanner und Firewall sind aktiv

Das hat gar nichts zu bedeuten. Es gibt inzwischen so viele zeroday-Lücken, die kein Virenscanner kennt. Hast Du denn nach dem ersten Hack alle Passwörter geändert? Alle Systeme immer aktuell gehalten?

 

[hpc-dietzi]

1&1 hat ganz direkt gesagt, dass diese keine Haftung (auch nicht aus Kulanz) übernehmen, da das ein Wiederholungsfall ist. Letztes Jahr wurde da auch keine Haftung übernommen (da hat man sich ganz stur gestellt bei 1&1). Wiederholungsfall hin oder her - man kann die beiden Fälle nicht miteinander vergleichen, da jeweils komplett verschieden vorgegangen wurde und letztes Jahr wurden auch die Anrufe definitiv über meinen Asterisk geführt - dieses Jahr aber eben nicht. Die IP wird man auch nicht mehr bekommen, da es ja tolle neue Gesetze gibt die da besagen, dass die IP nur noch 48 Stunden gespeichert werden darf. Diese Frist ist bereits heute morgen gegen 9:00 Uhr abgelaufen. Selbst gestern hätte ich mit Sicherheit keinen gerichtlichen Beschluss erwirken können, damit diese IP heraus gegeben wird.... Weiterhin ist es auch so, dass solche Angreifer den Angriff mittels Trojaner auf einem "Dritt-Rechner" ausführen und ich somit nur die IP des Rechners hätte, welcher mit einem Trojaner infiziert ist. Rückverfolgungen sind zu 99,9% unmöglich.

Letztes Jahr hatte ich mehrere IP-Adressen der Angreifer und letzte Woche kam der Brief von der Staatsanwaltschaft, dass das Ermittlungsverfahren eingestellt wurde.