VoIP servery jsou častým lákadlem pro hackery

Servery provozující služby pro internetovou telefonii - pobočkové ústředny a podobná zařízení, jsou často v zájmu hackerů. Útočník se pokouší hrubou silou prolomit přístupové údaje k SIP serveru nejčastěji naslouchajícímu na portu 5060.

Přesně před rokem se Coolhousing stal členem důvěryhodné sítě FENIX, která má prověřené operátory na českém internetu chránit před důsledky DDoS útoků. Podmínkou členství ve FENIXu je intenzivní dohled na bezpečností vlastní sítě, který nabízí zajímavé statistiky. Největším lákadlem pro útočníky jsou SIP servery zajišťující telefonování přes internet - VoIP.

Projekt FENIX je snahou o vytvoření chráněného kousku tuzemského internetu odolného proti masivním DDoS útokům. Vznikl na půdě českého peeringového uzlu NIX.CZ již v roce 2013 jako reakce na silné útoky, kterým v březnu 2013 čelila nejen internetová infrastruktura, ale také významná česká média, banky nebo operátoři. Smyslem FENIXu je zachovat v případě DDoS útoku dostupnost internetových služeb alespoň u zapojených subjektů, tedy i v rámci sítě datacentra Coolhousing.

Jednou z podmínek členství v síti FENIX je existence kvalifikovaného týmu pro zjišťování a řešení bezpečnostních hrozeb CSIRT, a tím i důkladného monitoringu vlastní sítě.

"V této aktivitě jsme šli ještě dál a v září 2015 jsme zprovoznili vlastní scrubbing centrum, neboli místo v síti, které očistí příchozí komunikaci od celé řady různých známých i heuristicky detekovaných útoků. Obecně lze říci, že útoky jsou dobře cílené. Pokud útočník zjistí zranitelnost konkrétního serveru, neváhá ji pochopitelně příslušným způsobem využít. Scrubbing centrum v síti Coolhousingu využívá síťových prvků Radware DefensePro, které v síti datového centra vytváří tzv. šedou zónu, do níž útočník zjednodušeně řečeno nevidí. Umíme snížit pravděpodobnost zneužití bezpečnostní slabiny zákaznického serveru, avšak nejlepší ochranou je vždy dostatečné zabezpečení již na straně zákazníka, ke kterému ovšem umíme zákazníka efektivně nasměřovat," popisuje Karel Umlauf, jednatel společnosti Coolhousing.

Scrubbing centrum produkuje zajímavé statistiky - velmi oblíbeným a zajímavým cílem kyberzločinců jsou servery provozující SIP služby, tj. internetovou telefonii, jako jsou pobočkové ústředny a podobná zařízení.

Jedná se o útoky známé jako "přátelské skenování", které však ve skutečnosti přátelské nejsou ani v nejmenším. Útočník se totiž pokouší hrubou silou prolomit přístupové údaje k SIP serveru nejčastěji naslouchajícímu na portu 5060. Tato aktivita server neúměrně zatěžuje, čímž dochází k výpadkům služby nebo k výraznému zhoršení kvality hovoru. Pokud se navíc útočníkovi testováním náhodných kombinací podaří některý existující účet zpřístupnit, může server využít například k drahým mezinárodním telefonním hovorům a jeho majiteli tak způsobit nezanedbatelné finanční škody.

Pozadu ovšem nezůstávají ani útoky zaměřující se na slabiny webových aplikací či databázových serverů a pokouší se jejich prostřednictvím získat přístup k citlivým datům v databázích. Technika se nazývá SQL inject. Jde o pokus odeslat databázovému serveru příkaz, který by vyvolal útočníkem požadovanou (a pro provozovatele samozřejmě nežádoucí) odpověď, čímž může být například zobrazení soukromých údajů uživatelů, nahrazení dat v databázi či její poškození.

A není nezajímavé, že i po téměř dvou letech se v síti objevuje velké množství DDoS útoků pokoušících se využít známé Heartbleed zranitelnosti v šifrování knihovny OpenSSL.