Hlídejte si (nejen) VoIP ústředny

Je pravda, ze 2 miliony platit z niceho (protoze jsou to jen 101001010 na ucte) je vazne tezke. Kdyby ji ukradli penezenku, tak prijde o to, co v ni ma.

Takhle je to castecne (i kdyz jen moralne) vina providera, ze neco takovehoto dovolil. V urcitych situacich ma master myslet za sve slavy. Ale v tomto pripade na tom pravdepodobne vydelava i on.

Je mi ji lito a vazne to neni sranda. Sundat muze kdokoli kohokoli. Viz FBSD local root. Stacilo vedet, ze tam je a sup ... je to doma ne? A to mohl adminovat stroj minipanbuh a stejne ...

Takze co uz.

Co já vím, tak operátor Wia má implicitně pre-paid služby, paní si to změnila na post-paid na vlastní žádost. Nechápu, jakou na tom může mít provider morální vinu, udělal všechno pro to, aby se tohle nestalo - nabídl jí správu ústředny, aktualizace atd. Nedělejte si iluze, že paní dává k použití ty telefony svým hostům z dobré vůle za stejnou cenu, za jakou nakupuje minuty u Wia.Prostě si měla cenu za volání nastavit tak, aby jí to tu správu zaplatilo. Mohla být také koneckonců pojištěná, že. Taky si myslím, že VoIP operátorovi ten několikapromilový zisk nestojí za tuhle, byť nezaslouženou, negativní publicitu. Pointa tohoto podvodu spočívá v tom, že se volá na číslo s vysokým terminačním poplatkem - čili podvodník je nějakým způsobem svázán s příjemcem těch hovorů. Já být v kůži té paní, tak přilezu na kolenou za svým operátorem a poprosím ho, aby zdržel platbu tomu poslednímu v řetězci - dokud nerozhodne soud, ovšem osočovat ho - to si teda nas***a do vlastního hnízda. Toto budiž poučení všem šetřílkům a lidem, kteří nejsou ochotni si nastudovat alespoň minimum znalostí o technologiích, které používají.

Paní je mi líto, platit 2 miliony rozhodně není žádná sranda. Nicméně souhlasím s autorem - lidi si myslí, že počítač je jenom něco jako televize a o tom, že by se měli aktivně starat o zabezpečení nebo ještě lépe najmout admina.

Promiňte, v [3] mi to předčasně odeslalo příspěvek.

Paní je mi líto, platit 2 miliony rozhodně není žádná sranda. Nicméně souhlasím s autorem - lidi si myslí, že počítač je jenom něco jako televize a hlasy, že by se měli aktivně starat o zabezpečení nebo ještě lépe najmout admina, ignorují.

Asi by to chtělo nějakou propagaci bezpečné práce s počítačem. Znám spoustu lidí, kteří si myslí, že se tím myslí zapnout firewall integrovaný ve Windows.

Promiňte, ale díval jsem se na celé události a nebyla tam ani zmínka o tomto tématu.

Toto je případ primárně pro policii, ne pro ČTU. Došlo k trestnému činu a je potřeba řešit kdo co zanedbal a v čí prospěch šli hovory. Pokud dodavatel sám ústřednu konfiguroval a nemá od zákazníka podepsáno že ústřednu nezabezpečil a zákazník to bere na vědomí tak velká část zodpovědnosti by měla jít právě za dodavatelem. Dále je potřeba vzít v úvahu proč zákazník neměl pre-paid službu, jestli si to sám vymyslel nebo mu to bylo vnuceno, následně nelze pominout, že právě dodavatel, resp. jeho zaměstnanci znali k této ústředně heslo. Uživatel si není povinen nic uvědomovat, on kupuje funkční a hotové zařízení, ne nějaký polotovar. Pokud je pro toto zařízení potřebná speciální obsluha nebo údržba je dodavatel povinen na to upozornit.

Pro [6]: aha, takže když si někde v Datartu koupím počítač s widlema, budu na to kašlat a za dva dny mi ho sežere červ, tak za to může obchodník, ano? Nebo za to může Microsoft? To by se dalo vysoudit peněz... Nebo tím snad chcete říct, že když někomu prodám PC, tak jsem do konce životnosti toho produktu zodpovědný za jeho zabezpečení? Protože nic jiného než PC ta "ústředna" nebyla. Proberte se. :(

Ústředna není PC, je to pevně konfigurované zařízení bez možnosti zásahu uživatele, nebo snad až pojedeš novým autem z prodejny a nabouráš protože se splašilo ASR tak se budeš taky tvářit že je to v pořádku protože počítač ?

To mi připomnělo ještě něco : jestlipak paní podepsala ve smlouvě že dodavatel ústředny nenese zodpovědnost za škody způsobené ústřednou ani za její správnou funkci. Tak jak je to zvykem snad u všech dodavatelů software.

[8]: "Ústředna není PC, je to pevně konfigurované zařízení bez možnosti zásahu uživatele"

Blbost. Je to obyčejný počítač s Linuxem a Asteriskem. RTFA.

Naprosto bezna praxe - ustredny nejsou vubec zabezpeceny - cca pred 2 lety jsem zjistil, ze v nasi TU je nastaven uzivatel "root" bez hesla - zadal jsem spravce TU at to s vyrobcem TU vyresi - trvalo to pres tri tydny a musel jsem pohrozit zverejnenim tohoto problemu. Nakonec se rozhoupali - museli nahrat novy firmware - uz nevim proc, ale heslo neslo zmenit.

Vážený pane Lesní, jestli je uvnitř Linux, Windows nebo nějaký RTOS nikoho nezajímá a není to ani právně irelevantní, jednou je to uzavřené zařízení a dodavatel prostě musí ručit za jeho správnou funkci, je už opravdu načase aby výmluvy typu udělal to počítač, eventuálně my za to nebudeme ručit protože software, byly brány jako přitěžující okolnost.
Ad [11], vím že je to běžná praxe, bohužel. Ono se tak nějak stalo zvykem že budeme prodávat zařízení ve stádiu beta verze a postupně to za provozu u zákazníků rozchodíme. Říká se, že pokud by se domy stavěli tak jako se dodává software tak místo novostavby dostanete hromadu cihel a míchačku s maltou a stavitel vám bohorovně bude tvrdit že je to proto aby jste si ten barák mohl nakonfigurovat jak chcete.

nechat predvolene hesla je ako povedat kazdemu kriminalnikovi, ze kluce su v druhom kvetinaci napravo...

13 - mobil má taky standartně přednastavené heslo 1234 - je na každém jestli změní či nikoliv > v příručce je to zmíněno

Myslím že podobné případy by se měli více medializovat aby každej pochopil KDO má a jakou odpovědnost ...

Zaujimave by bolo vediet, ci v dodanej dokumentacii / instalacnej prirucke je zmienka o potrebe zmeny hesla, alebo aspon navod na jeho zmenu.

[5] Bohužel to tam skutečně nebylo. Asi se jim reportáž nevešla. Není to zdaleka poprvé.

[14] Tohle přirovnání mě dneska taky napadlo a musím souhlasit.

[14] mne sa prave zda, ze to prirovnanie nie je uplne presne. Ak pouzivate mobil, v ziadnom pripade sa nevyhnete pouzivaniu jeho softwareveho systemu, ktory je chraneny heslom - a dokonca pri kazdom zapnuti zistite, ze tam nejake heslo je.

Na druhu stranu tu mate zariadenie, ktore vam prinesie dodavatel .. zapoji vam telefon a hotovo. Ako ma neznaly uzivatel zistit, ze to zariadenie obsahuje nejake zneuzitelne prvky, ked pri jeho primarnom pouzivani s nimi nepride k najmensiemu kontaktu?

[17] Uživatel to nezjistí, protože je to uživatel. Paní, která se hájila tím, že 'je jen uživatelka' si na to měla někoho najmout. S autem jistě jezdila pravidelně do servisu na garanční prohlídky a plyn jí v penzionu pravidelně proměřoval plynař. Proč se jí o IT nestaral také profesionál?

[18] No ak tomu dobre chapem, tak si nechala tu ustrednu odborne nakonfigurovat a zprovoznit dodavatelom - od ktoreho by som cakal vacsiu profesionalitu. Kazdopadne ale tazko diskutovat, ked nevieme podrobnosti. Mozno jej vsetko vysvetlili, a mozno tam len rychlo namontovali zariadenie a utekali na obed ... predpokladam, ze obe strany sa z toho pekne poucili - uzivatelka asi najblizsich 10 rokov nebude chciet vidiet nic zalozene na PC, a firma by mohla viac dbat na podporu bezpecnosti svojich zakaznikov, pripadne by mohla sledovat podozrivo vysoke ucty - kedze sa im moze lahko stat, ze taketo enormne ucty nebude schopny zakaznik pokryt, a firma na tom nakoniec prerobi.

K teto diskusi bych dodal par drobnosti:

A. Postizena pani NENI "uzivatelka". Je to pravnicka osoba, ktera ma dle platne legislativy objektivni odpovednost za cokoliv, co v ramci sve podnikatelske cinnosti vykonava => je na ni, jakym zpusobem si opatri potrebne know-how nutne k provozu.

B. Pokud je mi znamo (a ano, je mi znamo :-), tak:
1. Nabizenou spravu a udrzbu klient (penzion, pravnicka osoba) vyslovne odmitl.
2. Klient si post-paid vyslovne vyzadal.
3. Klient si vyslovne objednal 30kanalovy trunk - coz je na 30 pokoju v penzionu opravdu trochu moc - s 30 kanaly obslouzite mensi mesto.
4. Operator vyslovne klienta upozornoval, ze odchozi provoz se diamteralne zacal odlisovat od bezneho prumeru. Na coz klient nereagoval.

C. Nechci nikoho strasit, ale upozornuji, ze telco fraudy nejsou nic noveho pod sluncem - byly tu od dob analogovych ustreden a jsou tu i dnes. A neni jich uplne malo. Akorat to malokdo bezi vypravet do televize :-)

Kdyz to shrnu, tak "pani" je mi sice lito, nicmene si nedokazu predstavit situaci, kde by bylo jeste jasnejsi, ze si za VSE muze sama.

Hezky den!

kokoska.rokoska

Treba jednou konecne lidi obecne pochopi, ze neni pravda, ze "co se dela na pocitaci je levnejsi". Nasazeni IT znamena (vysoke) provozni naklady a je treba uvazit, zda se to vyplati. Bohuzel temer nikdo si pred nasazenim neoveruje mozna rizika.

Zdravim, obávam se ze tvrzeni ze co bezi na PC je spatne nebo nebezpecne je v dnesni dobe chybne. Telefonni ustředny od renomovanych vyrobcu bezi obdobne a v navodu je zminka o tom ze tam je admin heslo. Je to klasika staci si jen PRECIST UZIVATELSKY NAVOD. kde to zpravidla byva napsano.

Jak vlastne funguje takove "zahranicni placene cislo"? Ja mel za to, ze na cisla se zvlastni tarifikaci se ze zahranici neda volat... Nebo se opravdu na na nase sexlinky za 60 Kcs za minutu volat i z Nemecka?

podle mne je WIA bili kun a mela by nest cast odpovednosti.

Musím přiznat, že nevím na kterou stranu se postavit. Ano, auto také musí procházet odborným servisem.
Nicméně na druhé straně znám příklady, kdy to instalační firmy či výrobci moc neřeší. Nedávno mi ve výrobním areálu instalovali zabezpečovací systém. Celý objekt prošel rozborem rizik, kdo jak kde by se mohl vloupat, kdo to bude ovládat, jaký je režim v objektu. Výsledkem je kupa čidel, informační led-diody při vstupu do zón, kupa klávesnic a různé podklávesnice. Zóny se mi zapínají přes noc, či podle přístupu prcovníků či za nějakou dobu, kdy tam nikdo není (co kdyby poslední odcházející pracovník zapomněl). Celá ústředna je chráněná hesly, oddržel jsem podrobné pokyny jak chránit hesla, jak zabezpečit přístupy zaměstnanců do zón, jak chránit klíčenky a spoustu dalších informací ve snaze zabezpečit objekt, resp. zamězit nežádoucímu vstupu. Celé to je mimo jiné napojeno na krabičku do netu, kde mám přehled jednotlivých čidel a zón přes webové rozhraní. Krásně to mohu ovládat. Mohu na dálku zapínat jednotlivé zóny, mám přehled kdo je objektu. To vše z domova nebo z ředitelství. Opravdu vychytané!
A teď proč to píšu. Webové rozhraní je přes port 80 se zcela nezabezpečeným přenosem. Kdokoliv to může odposlechout. Navíc heslo pro vstup do modulu je společné s heslem pro odblokování přes fyzické klávenice v areálu. Kdokoliv by to odposlechl, tak pak zná heslo pro vstup do objektu. Takže k čemu rozbor rizik, když to celé napojí na nezabezpečenou krabičku!! Když jsem se ozval, tak už to dělají tak deset let a zatím si nikdo nestěžoval ....
Takže si nedělám iluze o instalačních firmách a výrobcích všeho druhu. Nakonec, aby si to zákazník hlídal všechno sám!

P.S. Vyřešil jsem to přenosem portu přes ssh. Nicméně se obávám, že Ti přede mnou a zas po mě o tom vůbec neví a instalační firma to vůbec neřeší. Cituji: "Linux prostě neovládají" a VPN pod widlema to neinstalují. Obávám se jen, že další v řadě budou podepisovat nic neříkající prohlášení, že jsou si vědomi možného bezpečnostního rizika při přenosu přes internet. A tím to také skončí.

P.S.S. Takže to opět asi bude takový alibismus instalačních (softwarových) firem. Dokážu si dost dobře představit, že paní cosi obdobného podepsala a firma je z obliga řešit případná rizika. A zákazník je v daném případě skutečně v nevýhodě, on nemůže znát při vší snaze všechna rizika či problémy. Na druhé straně, někteří uživatelé s hesly 1234 to je taky unikum.

Ještě mne něco napadá. Vychézím z informací, které jsou mediálně k dispozici. Nicméně mi nedá spát ta poznámka o tom, že ji firma informovala o zvýšeném hovorném. Je jisté, že firma věděla, že tam zvýšené hovorné je. Ale informovala ji patrně alibisticky. Nedokážu si totiž představit, že by paní nereagovala např. na sdělení, že se tam protelefonovalo o sto tisíc víc než minule! A nemusely to být dva miliony!! Co takhle obecná zodpovědnost předcházet škodám!!
Navíc paní byla asi hodně znalá, když si nechala instalovat ústřednu s 30 kanály! Zodpověná firma by ji to rozmluvila! Holt kšeft je kšeft a nyní má firma vydělánu provizi ze dvou mega. A zákaznice oči pro pláč.
Tento aspekt zákaznické neznalosti je třeba zohlednit. Nelze se jí vyhnout. Zákazník nikdy nebude erudovaný a znalý jako instalační firma. Je to nerovné postavení a zákazník by proto měl být informován. Před operací také dávám lékaři poučený souhlas!
Jak to tak píšu, přikláním se spíše na stranu uživatelů. (Samozřejmě ne do absurdna, jako jsou žaloby kuřáků v USA.)