Page 1

Türk Telekom Fraud Uyarısı

Ocak 2011

Gazete kupürü:

“İstanbul’da orta ölçekli bir matbaa firmasına ait PABX, internet üzerinden saldıran hackerlerin kurbanı oldu. Cumartesi akşam saat 18:00 da başlayan saldırı...”

11


Tanımlar; Fraud, Scam: Dolandırıcılık, hile. Genel tabirler olup Telekomünikasyon şebekelerinde başkasına ait telefon hatlarını kullanarak yasadışı para kazanma veya görüşme ücretlerini ödememe/başkasına ödetme. Hacker: Bilgisayar ve haberleşme teknolojileri konusunda bilgi sahibi olan, bilgisayar programlama alanında standardın üzerinde beceriye sahip bulunan ve böylece ileri düzeyde yazılımlar geliştiren ve onları kullanabilen kişi. Saldırgan ve saldırgan olmayanlar içinde aynı tabir kullanılır. VoIP: IP şebekelerini kullanarak ses görüşmesi yapmak. PABX: Abone şube santrali. Soft-Pabx: Abone şube santrali yazılımı. Hardware ekipmanlar yerine software olarak, sunucu mantığıyla çalışan yazılımlardır. IP-Pabx, SIP server olarak da isimlendirilebilir. SIP: Session Initiation Protocol, internet ve intranet ağları üzerinde geniş kullanım oranına sahip ses ve görüntü haberleşme protokolüdür.

Bültenimizin Amacı Şu ana kadar şirketimize ulaşan şikayetler incelendiğinde, sayın müşterilerimizin faaliyette bulundukları adreslerde, şirketimizden aldıkları sabit telefon hizmeti erişimlerine Soft-Pabx, Media Gateway, SIP server, IP-Pabx vs… gibi sistemler kurdurdukları, bunları da router’lar vasıtasıyla internet ortamına açtıkları tespit edilmiştir. Şikâyet mevzusu olan konu, sayın müşterilerimizin sistemlerine internet üzerinden erişen hackerların, 3üncü dünya ülkelerine yoğun aramalar yaparak haksız kazanç sağladıkları nitelikli dolandırıcılık vakalarıdır. Bu uyarı bülteni kurumsal Türk Telekom müşterisi olan siz sayın müşterilerimizi, PABX hatlarını VoIP yapmak amacıyla internet ortamına açmaları sebebiyle,

2


yine internet üzerinden saldırıya uğramaları konusunda uyarmak amacıyla yayınlanmıştır.

Giriş İnternet kullanımının ülkemizde yaygınlaşması ve bilgisayar kullanımının artmasını, program geliştiricilerin bilgisayar ağları üzerinde anında mesajlaşma ve sohbet programları geliştirmesi takip etmiştir. Söz konusu programlara sesligörüntülü sohbet olanaklarının eklenmesiyle beraber, ücretsiz ses görüşmesi yapılması gündeme gelmiştir. Düşük ses kalitesine rağmen popüler olan bu programlar özellikle milletlerarası aramalarda telefon trafiğine ücretsiz bir alternatif olarak son kullanıcılar arasında ciddi şekilde yaygınlaşmaktadır. Masaüstü pc lerde client olarak çalışan anında mesajlaşma programlarına paralel olarak, sunucu olarak hizmet veren çeşitli soft-pabx programları ile ofis içindeki bilgisayarlar arasında SIP networku kurulma imkânı oluşturulmuştur. Söz konusu soft-pabx yazılımları görünüşte kurulumu ve ayarları kolay görünmesine rağmen, güvenliklerinin sağlanması konusunda birçok soru işaretleri içermektedir. Özellikle popüler olan yazılımların, GPL (açık kaynak kodlu) olması bu yazılımlara ait program açıklarının hackerlar tarafından rahatlıkla tespit edilmesine yol açmaktadır. İnternet üzerinden serbest bir şekilde dağıtımı olan bu programlara ait açık kaynak kodları üzerinden hackerlerin rahatlıkla yazılım geliştirdikleri, son zamanlarda şirketimize yapılan ihbarlarda ve tespitlerde ortaya çıkmıştır. Söz konusu nitelikli dolandırıcılık vakalarına karşı sayın müşterilerimizin mağdur olmamaları için takip etmeleri gereken hususlar aşağıda anlatılmıştır.

3


Dikkat edilmesi gereken hususlar; 

Ses trafiğinizi mahalinizde konfigüre ederken dışarıdan erişime kapalı

sistemleri tercih ediniz. Unutmayınız ki haberleşmenizin güvenliği her şeyden önemlidir. Şirket olarak internet üzerinden herhangi bir şekilde erişime açık soft-switch yazılımlarını kesinlikle önermiyoruz. 

Açık kaynak kodlu yazılımlardan uzak durun, bir yazılımın ücretsiz olması

sonradan daha büyük zararlar görmenize sebep olabilir. 

Açık kaynak kodlu yazılımlar hackerler tarafından yapılacak saldırılara karşı

daha savunmasızdırlar. Açık kaynak kodlu yazılımların güvenlik açıkları biliniyor olsa dahi bu konuda yazılımı geliştirenlerin herhangi bir yaptırıma tabii olmadığını bilmeniz gerekiyor. 

Açık/kapalı kaynak kodlu soft-pabx yazılımlar kullanmanız halinde bu tip

yazılımların güncellemelerini dikkatlice takip etmelisiniz. 

Açık/kapalı kaynak kodlu soft-pabx santraller kullanmanız halinde, bu

yazılımları kesinlikle konusunda uzman personele kurdurtmalısınız, uzman personelin şirketiniz bünyesinde olmasına tercih ediniz. Ne yaptığından emin olmayan kişilere kesinlikle başvurmayınız. 

Bu tip yazılımların güvenilirliği her zaman tartışma konusudur, internet

erişimine açık bir soft-pabx yazılımının güvenilirliği tamamen almış olduğunuz tedbirlere bağlıdır. Şöyleki; -

Yazılımlara dışarıdan http veya Telnet erişimine kapalı tutun, tercihen https veya ssh kullanabilirsiniz.

-

Yazılımlara ait IVR veya Voice-Mail sistemlerinizin CLI spoofing yapılarak hacklenebileceğinden hiçbir zaman emin olamazsınız.

-

Soft-switch üzerinde kullanacağınız telefonlar tercihen hardware telefon olmalıdır. Soft telefonlar çalıştırıldıkları bilgisayarlar üzerinden hack edilebilir.

4


-

Sıradan routerlar kullanmayın, bunun yerine SBC (Session Border Controller) temin edin, böylelikle soft-pabx yazılımınız için daha fazla güvenlik ayarlayabilirsiniz.

-

SIP telefonlarınız açıp kapatıldıkları zaman, soft-pabx üzerindeki bir web sunucudan kendilerine ait yapılandırma dosyalarını yüklerler, genellikle saldırılar bu yapılandırma dosyalarının ele geçirilmesiyle olur, bu konuda snifferlara karşı son derece dikkatli olunmalıdır. Mümkünse telefonların SIP server’a tanıtılmasında çapraz PIN kodları, MAC adres ve telefonlarınızın desteklediği ilave güvenlik önlemleri kullanınız.

-

SIP server ve SIP telefonlarınızı temin ettiğiniz üreticilerden, güvenlikleri konusunda kullanma kılavuzları ve yazılı yönergeleri temin ederek dikkatlice uygulayınız.

-

İşyerinizdeki Local Area Network ünüzde ses ve data haberleşmenizi VLAN kullanarak ayırınız.

-

Telefonlara ait PIN kodlarında mümkün olduğunca fazla karakter kullanmalısınız, başarısız PIN girişimlerinde telefonları bloke ediniz.

-

SIP telefonlarınızın Proxy özelliklerini kapatınız.

-

SIP telefonların multi-call, multicast veya maksimum bağlantı sayısını sınırlayınız.

-

SIP cihazlarınızı seçerken mümkün olan en son teknolojiye sahip olmalarına dikkat ediniz, IP dünyasında yeni protokoller bazen eskisinin güvenliği tartışma konusu olunca geliştirilir.

Şirket içinde soft-switch konusunda yetkili personelinizin bu konuda

bilinçli olmasına dikkat ediniz. 

Yazılımınız konusunda dışarıdan hizmet alıyorsanız, almış olduğunuz

ürünün güvenliği ile ilgili yazılı taahhüt alınız. Sözlü taahhütlere itibar etmeyiniz. Olası zararlarda tazminat talep hakkınız olduğu için zararlarınızı belgelendiriniz. Sözleşme yapmadan bakım hizmeti almayınız.

5


Şirketinizde birden fazla server admini olduğu durumlarda sorumlu kişiler

için ayrı kullanıcı ve parolalar tanımlandırınız. Tek bir kullanıcıyı ortak kişilere paylaştırmayınız. 

Server adminlerinize yatırım yapınız, bu tip personelinizi çok sık

değiştirmeniz size ileride zarar verebilir. 

Almış olduğunuz yazılımlarda yerli firmaları tercih ediniz, zira olası

zararlarda tazminat talebinizin olacağı göz önüne alınarak bu firmalar adli makamların erişebileceği bir yerde olmalıdır. 

Yurtdışındaki VoIP trafik sağlayan firmalara itibar etmeyiniz, olası

zararlarda karşınızda muhatap bulabileceğiniz yerli firmaları tercih etmelisiniz. 

Şirketinize ait hatlara ait çağrı kayıtlarını düzenli olarak kontrol ediniz.

İş yapmadığınız ülkelere ait telefon kodları sistemlerinizden kapatınız.

Özellikle 3üncü dünya ülkelerini sistemlerinizden tamamen kapatınız. 

Milletlerarası aramaları sadece bu konuda alakalı personelinizin hatlarına

yetkilendiriniz. Ön muhasebe elemanınızın Arjantin araması anlamsızdır. 

Tüm şirket telefonlarınıza çağrı sayısı ve süresi konusunda günlük limitler

tanımlayınız. 

Diğer bilgi güvenliği hususlarında ağ yöneticinizle görüşünüz.

Uluslar arası durum; Milletler arası telefon çağrıları gelir paylaşımı prensibiyle yapılmaktadır. Oluşan bir çağrının ücreti sonlanan ülkedeki operatör, milletlerarası taşıyıcı operatörler ve şirketimiz tarafından paylaşılmaktadır. Dolandırıcılık vakalarında aranılan numaralar genellikle Somali, K.Kore, Zimbabwe vs... gibi dışarıya kapalı olarak yönetilen ülkelerdir.

6


Bu yüzden Telekomünikasyon sektörünü uluslar arası bağlamda kontrol eden ITU Kurumu, bu tip dolandırıcılık vakalarında devreye girmemektedir.

Şirketimizin yükümlülükleri; 

Şirketimiz sadece erişim sağlayan bir kurumdur, müşteri kendi

mahallindeki yaptığı eklentilerden kendisi sorumludur. 

Şirketimiz tarafından sağlanan erişim, 3 üncü şahıslara kullandırılamaz

veya ticari olarak irtibatlandırılamaz. 

Şirketimiz tarafından sağlanan erişime bağlanan uç-birimlerden dolayı

oluşan zararlar veya hasarlar konusunda şirketimiz üçüncü şahıs konumundadır, bu koşullarda oluşan zararlardan dolayı şirketimiz sorumlu tutulamaz. Bu tip zararlar sayın müşterimizin, şirketimize karşı olan sorumluluklarına engel teşkil etmemektedir. 

Şirketimiz periyodik olarak aşırı görüşme yapan sayın müşterilerimizi

uyarmaktadır. 

Şirketimiz ve sayın müşterilerimiz arasındaki diğer hususlar abonelik

sözleşmesi ve taahhüt etmiş olduğumuz SLA’ler ile sınırlıdır.

Sayın müşterilerimizin hakları; Şirketimize ait altyapıdan haberleşme hizmeti alan sayın müşterilerimizin hakları, 4077 sayılı Tüketicinin Korunması Hakkında Kanun, 5809 sayılı Elektronik Haberleşme Kanunu, 5651 Sayılı Bilişim Suçları Kanunu ve diğer nitelikli dolandırıcılıkla ilgili ceza kanunları, yetkili merciiler ve adalet makamları tarafından korunmaktadır. Söz konusu vukuu olabilecek her türlü nitelikli dolandırıcılık olayında, şirketimizin 3 üncü taraf konumunda olduğunu, siz sayın müşterilerimize önemle hatırlatırız.

Bilgilerinize… 7

Voip Fraud Bülteni  

in Turkish