Moin zusammen,
leider wurde mein Account bei Sipgate missbraucht, praktisch liefen eine Reihe von Telefonaten ins Ausland (Israel, Jordanien, Agypten) darüber.
Wegen der fehlenden Option den Account zu sperren, konnte ich das ein WE lang nicht verhindern.
Ich hatte dann bei Sipgate angefragt, ob ich die IP's der Anschlüsse bekommen kann, da ich auf meinem Asteriskserver keine Kompromittierung feststellen konnte und ob wir die Sip Passwörter ändern könnten.
Die Ip's lassen sich aus Datenschutzgründen offenbar nicht an mich weiterreichen, bzw können nicht mehr ohne Aufwand ermittelt werden.
Nach der Änderung der SIP Passwörter hat der Missbrauch erstmal aufgehört.
Der Schaden von ca 80¤ ist überschaubar.
Daraus hat sich der folgende Schriftverkehr entwickelt.
Spannend ist die Tonlage. Viel Spaß beim lesen, am besten ist der Punkt wo mir empfohlen wird die Arbeit zu wechseln.
Was sollte ich jetzt unternehmen, habt Ihr mit einem solchen Fall Erfahrung?
Viele Grüße
Christian
-------------------------------------------
Mein letztes Schreiben an Sipgate:
Sehr geehrter Herr M, sehr geehrtes Supportteam
es wäre sicherlich einfacher die folgenden Punkte in einem kurzem Telefonat
zu klären.
Es tut mir sehr leid, das Sie meine Mail so missverstehen, aber ich habe
einen nicht unerheblichen finanziellen Schaden und konnte bis jetzt von
Ihnen keine schlüssigen Angaben zum Verursacher erhalten.
Sie schreiben, das Sie vermuten und all Ihre Erfahrung zugrunde legen aber
die Logfiles nicht mehr kontrollieren können.
Ich möchte das nicht in Frage stellen, aber ein Nachweiß wäre doch in
unser
beider Interesse und damit das Thema auch aus der Welt, was meinen Sie dazu.
Die einfachen Fragen für mich sind:
Sind alle Telefonate ab dem 20.7 bis einschließlich 26.7 von meinem Server
geführt?
Noch einfacher: von welchen IP's sind diese Telefonate geführt wurden?
Ist es richtig, das Sie mir diese Angaben aus Datenschutz-Gründen nicht
geben können?
Kann/Muss ich für diese Information aus Ihrer Sicht die Netzagentur oder
die
Staatsanwaltschaft oder einen Anwalt einschalten?
Wer ist bei Ihnen für diesen Fall zuständig, mit wem kann ich diesen Fall
in
einem Gespräch klären, was würden Sie mir als nächsten Schritt
empfehlen.
Natürlich verlasse ich mich auf das Supportteam und in so einem Fall auf
eine zügige Bearbeitung. Die 36 Stunden rückwirkend könnten aus meiner
Sicht
nur meinen Server als Ergebnis haben, da ich einige der Nummern dann selbst
angerufen habe, um hier den Verursacher zu bremsen. Leider konnte ich den
Account nicht sperren, bei Ihnen niemanden erreichen und habe das dann als
Maßnahme ergriffen. Den Support habe ich schriftlich und mündlich darüber
informiert.
Ein Fall in der SipGAte-Vergangenheit war eine falsch konfigurierte
Hardware, kann das in meinem Fall auch eine Ursache sein? Dem Kunden konnten
Sie zumindest die IP schlüssig nachweisen und sind dem Problem so auf die
Spur gekommen.
Ihre folgenden Ausführungen möchte ich nicht weiter kommentieren, bitte
lesen Sie sie bei Bedarf einfach nochmal durch und prüfen sie Ihre eigene
Reaktion.
Mit freundlichen Grüßen
Sehr geehrter Her D.,
Damit es zu keinem Missverständnis kommt: Ich arbeite weder im
Support, noch ist es Teil meiner gewöhnlichen Arbeit mit Kunden
umzugehen. Ich bin der Datenschutzbeauftragte und wurde in dieser
Funktion vom Support hinzugezogen.
> Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
> als Sicherheitsmaßnahme neu gesetzt habe.
Es stimmt, das ich lediglich Calls der letzen 36 Stunden (zum
Zeitpunkt der Prüfung) angeschaut habe. Näheres weiter unten.
> Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
> Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich
mich
> von Ihrer Aussage überzeugen.
Nun haben Sie dies nicht mit mir besprochen. Ich weiß auch nicht mit
wem dies geschah, aber ich kann Ihnen diese Daten nicht, oder nur
unter extrem schwierig liefern.
> Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und
bin
> mit Ihrem Vorgehen überhaupt
> nicht einverstanden.
Natürlich bleibt es Ihnen ungenommen so zu denken, ich werde Ihnen
allerdings kurz meine Sicht der Dinge darlegen: Mir wurde berichtet
das Sie kein einziges Gespräch nach Israel oder Jordanien geführt
haben. Als ich den ersten Call untersuchte und feststellte das er von
Ihrer eigenen IP kam, war klar das das Problem in Ihrem Netzwerk
liegt. Da sie die Anrufe nicht in Ihren cdrs haben, muss es ein
anderes Gerät sein das sich in Ihrem Netzwerk befindet. Zur Sicherheit
prüfte ich ein paar weitere Calls, mit dem selben Ergebnis. Natürlich
könnte es sein, das andere Calls auch von anderen IPs ausgingen, aber
abgesehen davon das ich dies höchst unwahrscheinlich halte, ist es
auch irrelevant. Fakt ist: Jemand Unbekanntes hat Telefonate geführt.
Es nutze dabei die selbe IP, mit der Ihr Asterisk zeitgleich
angemeldet war. Entweder er befand sich in Ihrem Gebäude, oder hat
sich in Ihr Netzwerk getunnelt.
Es gibt noch eine Möglichkeit: Jemand hat schlichtweg Ihren Server
gekapert. Vielleicht ein unsicherer ssh Zugang? Da die Anrufe
allerdings nach Änderung des Sip-Passwortes aufhörten, ist dies nicht
wahrscheinlich (außer natürlich das Sie die Zugangsdaten zum Server
ebenfalls änderten).
> Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht
der
> verdächtigen Telefonate mit der ErzeugerIP.
Momentan stocken wir unser Supportteam auf. Ich kann nur vermuten, das
Sie auf einen noch unerfahrenen Kollegen trafen, der Ihnen etwas
versprach was wir nicht halten können. Diejenigen Verbindungsdaten,
die wir nicht zur Rechnungserstellung benötigen, speichern wir
AUSSCHLIESSLICH aufgrund des §113a TKG (Vorratsdatenspeicherung). Der
Zugriff auf diese Daten ist sehr streng limitiert. Nur nach
richterlicher Anordnung, oder zur Abwehr einer Katalogtat nach §100a
stpo ist der Zugriff gestattet.
Dies ist auch der Grund warum ich nur die letzen 36 Stunden prüfen
konnte (für diesen Zeitraum existierten noch Logdateien der Gateways).
> Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
> sofort geeignete Maßnahmen treffen.
Auch wenn ich Ihnen dies nicht beweisen kann, bin ich überzeugt das es
ausnahmslos Ihre IP war (ob dies nun Ihr Server war, oder ein anderes
Gerät das die Möglichkeit hatte diese IP zu nutzen weiß ich nicht).
Der Grund ist einfach dieser (plus sehr viel Erfahrung in diesem
Bereich): Jemand der zumindest einmal die fremde IP benutzt, hat einen
Grund dafür. Entweder er ist an das Netzwerk gebunden, oder will seine
eigene Maskieren. In beiden Fällen wird er nicht einmal die IP des
Servers und beim nächsten Mal eine andere nutzen. Dies ist kein
typisches Verhaltensmuster. Wenn Sie einen Rat möchten: Gehen Sie
davon aus, das jeder einzelne dieser Calls von der derjenigen IP kam,
mit der sich der Asterisk zu dieser Zeit anmeldete.
> Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
> sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.
Nun, wenn Sie mir sagen worauf genau sich unsere 'Mitwirkungspflicht'
begründet, werde ich dies prüfen und ggf. Änderungen an Prozessen
anstreben.
> Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
> geeigneten Maßnahmen zur Aufklärung ergreifen.
Bitte verstehen Sie das jetzt nicht falsch. Es ist wirklich nicht
meine Absicht beleidigend zu sein, aber wenn Sie aufgrund meiner
vorherigen Mail nicht in der Lage waren 'Maßnahmen zur Aufklärung' zu
ergreifen, dann sind sie nicht der richtige für den Job den sie
machen. Ich habe Ihnen gesagt das der Anrufe aus Ihrem Netz kam. Sie
können auf dem Server die letzen Zugriffe prüfen, schauen wer in der
sudoers steht, wann es Anmeldungen gab. Ich habe vermutet das jemand
sip-traffic snifft. Sie können schauen welche
Netzwerkverbindungen/Netzwerkgeräte zwischen Server und Internet,
sowie Server und SIP-Endgeräten liegt. Ist alles durchgeswitcht, sind
alle Monitorports geschützt, Router abgesichert? All diese Dinge, die
man eben prüft wenn man MIT 100% SICHERHEIT WEIß das es einen
Angreifer im EIGENEN Netz gibt.
> Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
> Anspruch verzichte, dann will ich das gerne tun.
Unsere Mitarbeit ist vollkommen unabhängig davon ob sie auf einen
möglicherweise berechtigten Anspruch verzichten oder nicht.
>>>> bieten Sie eine gesicherte Verbindung an
Und für Ihren Asterisk programmieren wir schnell einen Patch, so das
er SSIP und SRTP spricht? Entschuldigen Sie die Polemik, aber so
einfach ist das nicht. Selbst wenn wir über ein VPN alles zu Ihnen
crypten, ist der Traffic zwischen Asterisk und Telefonen immer noch
unverschlüsslt. Die Gefahr das jemand aus dem Internet Ihren
SIP-Traffic snifft geht gegen null (dies könnte lediglich ein Provider
oder Betreiber eines Routingknotens). Viel gefährlicher ist der kurze
Weg in Ihrem Netzwerk.
>>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren
oder
eine
> Notfallnummer für solche Fälle
Ja, in diesem Punkt gebe ich Ihnen uneingeschränkt recht. Ich werde
dies noch heute an die Verantwortlichen Projektleiter weiterleiten.
> Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
> Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich
Theoretisch kann dies daran liegen, das der Angreifer noch am
bruteforcen des neuen ist.
mit freundlichen Grüssen,
-------------------------------------
das auslösende Schreiben, meine erste Antwort
Sehr geehrter Herr M.,
Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
als Sicherheitsmaßnahme neu gesetzt habe.
Sie sollten also mindestens zwei IP-Adressen in Ihren Logfiles finden
können!
Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich mich
von Ihrer Aussage überzeugen.
Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und bin
mit Ihrem Vorgehen überhaupt
nicht einverstanden.
Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht der
verdächtigen Telefonate mit der ErzeugerIP.
Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
sofort geeignete Maßnahmen treffen.
Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.
Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
geeigneten Maßnahmen zur Aufklärung ergreifen.
Auch die heute zugesagte weitere Prüfung hat offenbar nicht stattgefunden,
ich habe trotz des zu erwartenden weiteren Missbrauchs die zugesagte
Rückmeldung nicht erhalten und bin absolut sprachlos.
Eine Anmerkung noch:
Sicher ist es schön von Ihnen den Schaden ersetzt zu bekommen, aber das ist
jetzt nicht mein Ziel, ich möchte weiteren Schaden von mir abwenden und
zählte daher auf Ihre Kooperation.
Über die Möglichkeiten eines Schadenersatzes können wir gerne getrennt
verhandeln.
Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
Anspruch verzichte, dann will ich das gerne tun.
>1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
>Ihren sip Traffic und bruteforces die sip-passwörter.
>2. Sie haben ein internes Problem in Ihrem Unternehmen.
>
>In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.
>
>Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
>Erstattung der Gesprächsgebühren ab
>>> bieten Sie eine gesicherte Verbindung an
>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren oder
eine
Notfallnummer für solche Fälle
Wie gesagt, ich bin sprachlos!
Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich
werte das als positive Entwicklung, auch eine erste Prüfung meines Servers
kommt nicht zu Ihrem Ergebnis.
Bitte berücksichtigen Sie das in Ihren weiteren Untersuchungen.
Eine drastischer Fehler im System ihrerseits ist die fehlende Möglichkeit
den Account zu sperren, allein darin ist aus meiner Sicht eine Mitschuld zu
sehen.
Obwohl ich seit Freitag vom Missbrauch wusste, hatte ich keine Möglichkeit
den Anschluss zu sperren, es gibt bei Ihnen für solche Fälle kein
Szenario.
Auch die telefonische Rückfrage heute hat das bestätigt.
Ich bin also sehr gespannt auf die Auswertung Ihrer Logfiles zu den zu
Unrecht über meinen Account geführten Telefonaten.
Bitte setzten Sie sich alsbald mit mir in Verbindung.
Vielen Dank für Ihre Mühen,
Sehr geehrter Herr D.,
sie wandten sich an unseren Support, weil Sie den Missbrauch Ihrer
Accountdaten vermuteten.
Wir speichern keine IPs der registrierten Geräte, solange es dazu
keine Verpflichtung gibt. Aufgrund der Vorratsdatenspeicherung,
speichern wir aber die IPs ausgehender Telefonate. Ich habe ein paar
der beanstandeten Telefonate nach Jordanien und Israel geprüft.
Ausnahmslos jeder Call kam von der IP ..... Da dies nun just
diejenige ist, mit der sich auch Ihr Asterisk anmeldet, gibt es für
mich nur zwei Vermutungen:
1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
Ihren sip Traffic und bruteforces die sip-passwörter.
2. Sie haben ein internes Problem in Ihrem Unternehmen.
In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.
Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
Erstattung der Gesprächsgebühren ab.
mit freundlichen Grüßen
M.
leider wurde mein Account bei Sipgate missbraucht, praktisch liefen eine Reihe von Telefonaten ins Ausland (Israel, Jordanien, Agypten) darüber.
Wegen der fehlenden Option den Account zu sperren, konnte ich das ein WE lang nicht verhindern.
Ich hatte dann bei Sipgate angefragt, ob ich die IP's der Anschlüsse bekommen kann, da ich auf meinem Asteriskserver keine Kompromittierung feststellen konnte und ob wir die Sip Passwörter ändern könnten.
Die Ip's lassen sich aus Datenschutzgründen offenbar nicht an mich weiterreichen, bzw können nicht mehr ohne Aufwand ermittelt werden.
Nach der Änderung der SIP Passwörter hat der Missbrauch erstmal aufgehört.
Der Schaden von ca 80¤ ist überschaubar.
Daraus hat sich der folgende Schriftverkehr entwickelt.
Spannend ist die Tonlage. Viel Spaß beim lesen, am besten ist der Punkt wo mir empfohlen wird die Arbeit zu wechseln.
Was sollte ich jetzt unternehmen, habt Ihr mit einem solchen Fall Erfahrung?
Viele Grüße
Christian
-------------------------------------------
Mein letztes Schreiben an Sipgate:
Sehr geehrter Herr M, sehr geehrtes Supportteam
es wäre sicherlich einfacher die folgenden Punkte in einem kurzem Telefonat
zu klären.
Es tut mir sehr leid, das Sie meine Mail so missverstehen, aber ich habe
einen nicht unerheblichen finanziellen Schaden und konnte bis jetzt von
Ihnen keine schlüssigen Angaben zum Verursacher erhalten.
Sie schreiben, das Sie vermuten und all Ihre Erfahrung zugrunde legen aber
die Logfiles nicht mehr kontrollieren können.
Ich möchte das nicht in Frage stellen, aber ein Nachweiß wäre doch in
unser
beider Interesse und damit das Thema auch aus der Welt, was meinen Sie dazu.
Die einfachen Fragen für mich sind:
Sind alle Telefonate ab dem 20.7 bis einschließlich 26.7 von meinem Server
geführt?
Noch einfacher: von welchen IP's sind diese Telefonate geführt wurden?
Ist es richtig, das Sie mir diese Angaben aus Datenschutz-Gründen nicht
geben können?
Kann/Muss ich für diese Information aus Ihrer Sicht die Netzagentur oder
die
Staatsanwaltschaft oder einen Anwalt einschalten?
Wer ist bei Ihnen für diesen Fall zuständig, mit wem kann ich diesen Fall
in
einem Gespräch klären, was würden Sie mir als nächsten Schritt
empfehlen.
Natürlich verlasse ich mich auf das Supportteam und in so einem Fall auf
eine zügige Bearbeitung. Die 36 Stunden rückwirkend könnten aus meiner
Sicht
nur meinen Server als Ergebnis haben, da ich einige der Nummern dann selbst
angerufen habe, um hier den Verursacher zu bremsen. Leider konnte ich den
Account nicht sperren, bei Ihnen niemanden erreichen und habe das dann als
Maßnahme ergriffen. Den Support habe ich schriftlich und mündlich darüber
informiert.
Ein Fall in der SipGAte-Vergangenheit war eine falsch konfigurierte
Hardware, kann das in meinem Fall auch eine Ursache sein? Dem Kunden konnten
Sie zumindest die IP schlüssig nachweisen und sind dem Problem so auf die
Spur gekommen.
Ihre folgenden Ausführungen möchte ich nicht weiter kommentieren, bitte
lesen Sie sie bei Bedarf einfach nochmal durch und prüfen sie Ihre eigene
Reaktion.
Mit freundlichen Grüßen
Sehr geehrter Her D.,
Damit es zu keinem Missverständnis kommt: Ich arbeite weder im
Support, noch ist es Teil meiner gewöhnlichen Arbeit mit Kunden
umzugehen. Ich bin der Datenschutzbeauftragte und wurde in dieser
Funktion vom Support hinzugezogen.
> Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
> als Sicherheitsmaßnahme neu gesetzt habe.
Es stimmt, das ich lediglich Calls der letzen 36 Stunden (zum
Zeitpunkt der Prüfung) angeschaut habe. Näheres weiter unten.
> Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
> Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich
mich
> von Ihrer Aussage überzeugen.
Nun haben Sie dies nicht mit mir besprochen. Ich weiß auch nicht mit
wem dies geschah, aber ich kann Ihnen diese Daten nicht, oder nur
unter extrem schwierig liefern.
> Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und
bin
> mit Ihrem Vorgehen überhaupt
> nicht einverstanden.
Natürlich bleibt es Ihnen ungenommen so zu denken, ich werde Ihnen
allerdings kurz meine Sicht der Dinge darlegen: Mir wurde berichtet
das Sie kein einziges Gespräch nach Israel oder Jordanien geführt
haben. Als ich den ersten Call untersuchte und feststellte das er von
Ihrer eigenen IP kam, war klar das das Problem in Ihrem Netzwerk
liegt. Da sie die Anrufe nicht in Ihren cdrs haben, muss es ein
anderes Gerät sein das sich in Ihrem Netzwerk befindet. Zur Sicherheit
prüfte ich ein paar weitere Calls, mit dem selben Ergebnis. Natürlich
könnte es sein, das andere Calls auch von anderen IPs ausgingen, aber
abgesehen davon das ich dies höchst unwahrscheinlich halte, ist es
auch irrelevant. Fakt ist: Jemand Unbekanntes hat Telefonate geführt.
Es nutze dabei die selbe IP, mit der Ihr Asterisk zeitgleich
angemeldet war. Entweder er befand sich in Ihrem Gebäude, oder hat
sich in Ihr Netzwerk getunnelt.
Es gibt noch eine Möglichkeit: Jemand hat schlichtweg Ihren Server
gekapert. Vielleicht ein unsicherer ssh Zugang? Da die Anrufe
allerdings nach Änderung des Sip-Passwortes aufhörten, ist dies nicht
wahrscheinlich (außer natürlich das Sie die Zugangsdaten zum Server
ebenfalls änderten).
> Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht
der
> verdächtigen Telefonate mit der ErzeugerIP.
Momentan stocken wir unser Supportteam auf. Ich kann nur vermuten, das
Sie auf einen noch unerfahrenen Kollegen trafen, der Ihnen etwas
versprach was wir nicht halten können. Diejenigen Verbindungsdaten,
die wir nicht zur Rechnungserstellung benötigen, speichern wir
AUSSCHLIESSLICH aufgrund des §113a TKG (Vorratsdatenspeicherung). Der
Zugriff auf diese Daten ist sehr streng limitiert. Nur nach
richterlicher Anordnung, oder zur Abwehr einer Katalogtat nach §100a
stpo ist der Zugriff gestattet.
Dies ist auch der Grund warum ich nur die letzen 36 Stunden prüfen
konnte (für diesen Zeitraum existierten noch Logdateien der Gateways).
> Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
> sofort geeignete Maßnahmen treffen.
Auch wenn ich Ihnen dies nicht beweisen kann, bin ich überzeugt das es
ausnahmslos Ihre IP war (ob dies nun Ihr Server war, oder ein anderes
Gerät das die Möglichkeit hatte diese IP zu nutzen weiß ich nicht).
Der Grund ist einfach dieser (plus sehr viel Erfahrung in diesem
Bereich): Jemand der zumindest einmal die fremde IP benutzt, hat einen
Grund dafür. Entweder er ist an das Netzwerk gebunden, oder will seine
eigene Maskieren. In beiden Fällen wird er nicht einmal die IP des
Servers und beim nächsten Mal eine andere nutzen. Dies ist kein
typisches Verhaltensmuster. Wenn Sie einen Rat möchten: Gehen Sie
davon aus, das jeder einzelne dieser Calls von der derjenigen IP kam,
mit der sich der Asterisk zu dieser Zeit anmeldete.
> Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
> sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.
Nun, wenn Sie mir sagen worauf genau sich unsere 'Mitwirkungspflicht'
begründet, werde ich dies prüfen und ggf. Änderungen an Prozessen
anstreben.
> Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
> geeigneten Maßnahmen zur Aufklärung ergreifen.
Bitte verstehen Sie das jetzt nicht falsch. Es ist wirklich nicht
meine Absicht beleidigend zu sein, aber wenn Sie aufgrund meiner
vorherigen Mail nicht in der Lage waren 'Maßnahmen zur Aufklärung' zu
ergreifen, dann sind sie nicht der richtige für den Job den sie
machen. Ich habe Ihnen gesagt das der Anrufe aus Ihrem Netz kam. Sie
können auf dem Server die letzen Zugriffe prüfen, schauen wer in der
sudoers steht, wann es Anmeldungen gab. Ich habe vermutet das jemand
sip-traffic snifft. Sie können schauen welche
Netzwerkverbindungen/Netzwerkgeräte zwischen Server und Internet,
sowie Server und SIP-Endgeräten liegt. Ist alles durchgeswitcht, sind
alle Monitorports geschützt, Router abgesichert? All diese Dinge, die
man eben prüft wenn man MIT 100% SICHERHEIT WEIß das es einen
Angreifer im EIGENEN Netz gibt.
> Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
> Anspruch verzichte, dann will ich das gerne tun.
Unsere Mitarbeit ist vollkommen unabhängig davon ob sie auf einen
möglicherweise berechtigten Anspruch verzichten oder nicht.
>>>> bieten Sie eine gesicherte Verbindung an
Und für Ihren Asterisk programmieren wir schnell einen Patch, so das
er SSIP und SRTP spricht? Entschuldigen Sie die Polemik, aber so
einfach ist das nicht. Selbst wenn wir über ein VPN alles zu Ihnen
crypten, ist der Traffic zwischen Asterisk und Telefonen immer noch
unverschlüsslt. Die Gefahr das jemand aus dem Internet Ihren
SIP-Traffic snifft geht gegen null (dies könnte lediglich ein Provider
oder Betreiber eines Routingknotens). Viel gefährlicher ist der kurze
Weg in Ihrem Netzwerk.
>>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren
oder
eine
> Notfallnummer für solche Fälle
Ja, in diesem Punkt gebe ich Ihnen uneingeschränkt recht. Ich werde
dies noch heute an die Verantwortlichen Projektleiter weiterleiten.
> Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
> Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich
Theoretisch kann dies daran liegen, das der Angreifer noch am
bruteforcen des neuen ist.
mit freundlichen Grüssen,
-------------------------------------
das auslösende Schreiben, meine erste Antwort
Sehr geehrter Herr M.,
Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
als Sicherheitsmaßnahme neu gesetzt habe.
Sie sollten also mindestens zwei IP-Adressen in Ihren Logfiles finden
können!
Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich mich
von Ihrer Aussage überzeugen.
Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und bin
mit Ihrem Vorgehen überhaupt
nicht einverstanden.
Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht der
verdächtigen Telefonate mit der ErzeugerIP.
Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
sofort geeignete Maßnahmen treffen.
Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.
Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
geeigneten Maßnahmen zur Aufklärung ergreifen.
Auch die heute zugesagte weitere Prüfung hat offenbar nicht stattgefunden,
ich habe trotz des zu erwartenden weiteren Missbrauchs die zugesagte
Rückmeldung nicht erhalten und bin absolut sprachlos.
Eine Anmerkung noch:
Sicher ist es schön von Ihnen den Schaden ersetzt zu bekommen, aber das ist
jetzt nicht mein Ziel, ich möchte weiteren Schaden von mir abwenden und
zählte daher auf Ihre Kooperation.
Über die Möglichkeiten eines Schadenersatzes können wir gerne getrennt
verhandeln.
Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
Anspruch verzichte, dann will ich das gerne tun.
>1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
>Ihren sip Traffic und bruteforces die sip-passwörter.
>2. Sie haben ein internes Problem in Ihrem Unternehmen.
>
>In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.
>
>Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
>Erstattung der Gesprächsgebühren ab
>>> bieten Sie eine gesicherte Verbindung an
>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren oder
eine
Notfallnummer für solche Fälle
Wie gesagt, ich bin sprachlos!
Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich
werte das als positive Entwicklung, auch eine erste Prüfung meines Servers
kommt nicht zu Ihrem Ergebnis.
Bitte berücksichtigen Sie das in Ihren weiteren Untersuchungen.
Eine drastischer Fehler im System ihrerseits ist die fehlende Möglichkeit
den Account zu sperren, allein darin ist aus meiner Sicht eine Mitschuld zu
sehen.
Obwohl ich seit Freitag vom Missbrauch wusste, hatte ich keine Möglichkeit
den Anschluss zu sperren, es gibt bei Ihnen für solche Fälle kein
Szenario.
Auch die telefonische Rückfrage heute hat das bestätigt.
Ich bin also sehr gespannt auf die Auswertung Ihrer Logfiles zu den zu
Unrecht über meinen Account geführten Telefonaten.
Bitte setzten Sie sich alsbald mit mir in Verbindung.
Vielen Dank für Ihre Mühen,
Sehr geehrter Herr D.,
sie wandten sich an unseren Support, weil Sie den Missbrauch Ihrer
Accountdaten vermuteten.
Wir speichern keine IPs der registrierten Geräte, solange es dazu
keine Verpflichtung gibt. Aufgrund der Vorratsdatenspeicherung,
speichern wir aber die IPs ausgehender Telefonate. Ich habe ein paar
der beanstandeten Telefonate nach Jordanien und Israel geprüft.
Ausnahmslos jeder Call kam von der IP ..... Da dies nun just
diejenige ist, mit der sich auch Ihr Asterisk anmeldet, gibt es für
mich nur zwei Vermutungen:
1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
Ihren sip Traffic und bruteforces die sip-passwörter.
2. Sie haben ein internes Problem in Ihrem Unternehmen.
In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.
Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
Erstattung der Gesprächsgebühren ab.
mit freundlichen Grüßen
M.