728 x 90

Jak to naprawdę było z atakiem na córkę Pawła Wojtunika… [aktualizacja]

Jak to naprawdę było z atakiem na córkę Pawła Wojtunika… [aktualizacja]

Od około roku, czyli mniej więcej od upadku Lolifoxa, w branży bezpieczników jest coraz głośniej o tzw. podszywaczu, czyli osobie, bądź grupie osób, prawdopodobnie wywodzącej się właśnie ze społeczności Lolifoxa, która wydzwania do różnych osób, podrabiając tzw. CallerID, czyli numer dzwoniącego.

Naprawdę głośno o „podszywaczu” zaczęło być jednak pod koniec 2021, gdy zamiast bezpieczników, zaczął atakować polityków i urzędników wysokiego szczebla związanych z opozycją – a także ich rodziny. Przykładem jest atak na Pawła Wojtunika (pierwszego szefa CBA) i jego córkę:

Działania tego typu są o tyle problematyczne, że polskie organy „ścigania” kompletnie nie są przygotowane do ścigania tego typu przestępstw. Oto cytat z przykładowego artykułu:

Na początku trudno ustalić, kto jest bardziej ofiarą – osoba, do której atakujący dzwoni, czy ta, pod której numer się podszywa. „Potem policja jest na sto procent przekonana, że wie, kto jest przestępcą, i jedzie na pewniaka. Wyżywają się psychicznie, a jak sprawa jest bardziej delikatna, to i mogą fizycznie – bo przecież są na 100 proc. przekonani, że on to on”

Pierwszy błąd „podszywacza”

Było nim oczywiście przerzucenie się z bezpieczników na polityków – zakładając oczywiście, że to faktycznie ta sama osoba lub grupa, bo poza zmianą celów, zmieniły się też treści ataków, co może (ale nie musi!) wskazywać, że ktoś podszywa się pod podszywacza.

Dlaczego to błąd? Ano dlatego, że o ile wcześniej o sprawie mówiono właściwie wyłącznie w środowisku bezpieczników, o tyle teraz temat podjęły tzw. media głównego nurtu, a także zajęli się nim politycy.

O czym się nie mówi?

O podszywaczu mówi się w ostatnich coraz więcej, niestety kompletnie pomijając najważniejszy aspekt: jak to działa. Prowadzi to do takich sytuacji, że nawet uznanym i szanowanym dziennikarzom zdarza się palnąć kompletną bzdurę, np. pomylić te ataki z równie głośnym Pegasusem:

Naprawmy to!

Niestety obecna, dość chora sytuacja z policją zatrzymującą niewinne ofiary ataków i rekwirującą im telefony jest wprost winą samych bezpieczników, którzy lubią zachowywać szczegóły techniczne dla siebie (w ramach zaufanego środowiska). Z tego powodu przeciętny policjant lub prokurator zwyczajnie nie orientują się, jak prosty do przeprowadzenia jest taki atak – i zamiast szukać prawdziwego sprawcy, kierują swoje działania przeciwko ofierze, pod którą się podszyto.

A więc naprawmy to. A zacznijmy od wyjaśnienia…

Po co w ogóle taka funkcja istnieje?

Korzystaliście kiedyś z usługi VoIP? Jeśli np. dzwoniliście do kogoś ze Skype na „normalny telefon”, to korzystaliście. Wiele osób tak robiło, aby obniżyć koszty połączeń zagranicznych – np. mając rodzinę za granicą, albo w drugą stronę, będąc na urlopie.

Jeśli korzystacie ze Skype nieco intensywniej (np. jako handlowiec intensywnie dzwoniący do potencjalnych klientów), to być może zauważyliście, że da się w nim wpisać Wasz numer telefonu jako numer dzwoniący, a nawet odbierający połączenia – funkcjonalność taka przydaje się właśnie firmom marketingowym, które dużo dzwonią i chcą obniżyć koszty połączeń.

Podobnie działa to w firmowych centralkach komunikacyjnych – można wręcz kupić sobie gotową usługę tego typu:

prezentacja wybranym numerem – możliwość wyboru jednego numeru, który będzie wyświetlał się przy połączeniach wychodzących. Także klienci mogą dzwonić na jeden główny numer i po wyborze numeru wewnętrznego kierować się do odpowiedniego działu/osoby. Możliwe jest również zmapowanie całej wiązki numerów publicznych z numerami wewnętrznymi, aby do każdego pracownika można było dodzwonić się bezpośrednio z pominięciem IVR lub recepcji (DDI – Direct Inward Dialing)

No dobrze, ale jak to działa?

Zacznijmy od podstaw. Połączenia głosowe w Internecie (usługa VoIP, czyli Voice over IP) realizuje się za pomocą protokołu SIP – dokładnie jest on odpowiedzialny za rozpoczynanie i kończenie tych połączeń (sam głos jest przesyłany przez protokół SDP). Schemat jego działania wygląda z grubsza tak:

Więcej o bezpieczeństwie protokołu SIP przeczytasz w tym opracowaniu pochodzącym jeszcze z roku 2003, które wprost mówi o spoofingu (podszywaniu się), a także sniffingu (czyli podsłuchiwaniu), czy atakach Denial of Service.

No właśnie, więc czym jest ten cały spoofing w protokole SIP? Otóż niczym więcej, jak po prostu ustawieniem nagłówka „From” na taką a nie inną wartość. Jest to całkowicie standardowa funkcjonalność systemów do obsługi VoIP, jak np. darmowej centralki telefonicznej Asterisk (będącej absolutnym standardem w obsłudze tego typu systemów).

Tak naprawdę potrafi – a przynajmniej powinien potrafić – to zrobić każdy w miarę zaawansowany administrator systemu Asterisk.

Standardowa funkcjonalność? Serio?

Tak. To po prostu funkcja protokołu SIP, dzięki której możliwe są połączenia zwrotne.

Po prostu protokół SIP tworzony był w czasach (dokładnie w połowie lat 90-tych), gdy świadomość zagrożeń była jeszcze stosunkowo niewielka (chociaż już wtedy istniało zjawisko spamu, będące konsekwencją bardzo podobnych niedoskonałości w protokołach związanych z pocztą elektroniczną…), a ceny dodatkowej mocy obliczeniowej, potrzebnej np. do realizacji podpisu cyfrowego, ogromne.

Czy to znaczy, że „podszywacz” jest adminem Asteriska?

Wbrew pozorom, zaawansowanych administratorów tego systemu nie ma w Polsce zbyt wielu, więc gdybyśmy przyjęli założenie, można by niesłusznie zawęzić krąg podejrzanych i skierować śledztwo na zupełnie niewłaściwe tory.

Okazuje się bowiem, że o ile konfiguracja samego Asteriska jest dość mocno skomplikowana – przynajmniej o ile ma być bezpieczna i odporna na różnego rodzaju ataki – to istnieje jeszcze system FreePBX, będący nakładką na Asteriska, pozwalającą na jego konfigurację z poziomu przeglądarki. Wówczas konfigurację nagłówka „From” można sobie po prostu wyklikać – pokazuje to choćby ten przykład.

Dokładnie w ten sposób działa zresztą wspomniana wyżej gotowa usługa, która opiera się właśnie na systemie FreePBX, zainstalowanym na dedykowanym serwerze, wstępnie skonfigurowanym i gotowym do pracy niemal bezpośrednio po podłączeniu do firmowej sieci LAN.

Nie trzeba jednak kupować takiego urządzenia – samodzielne postawienie jest bardzo proste (zobacz ten artykuł). Jak widać, wystarczy po prostu ściągnąć obraz ISO, nagrać go na płytę DVD lub pen drive’a, po czym zainstalować z niego system. Instalator FreePBX jest tak naprawdę po prostu zwykłym instalatorem systemu CentOS 7, wzbogaconym o dodatkowy kreator konfiguracji FreePBX i Asteriska, uruchamiany na końcu instalacji właściwego systemu.

Jeśli zaś zdecydujemy się na zakup licencji na płatny (ale bardzo tani) dodatek CallerID Management, będziemy mogli sterować numerami CallerID już nie przez relatywnie mało wygodną konfigurację nagłówków SIP, a przez prosty i wygodny panel konfiguracyjny:

Czy to wszystko?

Oczywiście samo oprogramowanie nie wystarczy. Potrzebny jest jeszcze tzw. SIP trunk, czyli po prostu dostęp do usługi SIP jako „operator”. Operator w cudzysłowie, ponieważ operatorem jest po prostu klient – czyli np. firma, która chce postawić sobie centralkę telefoniczną we własnej sieci. I tym „operatorem” jest sama wobec swoich własnych pracowników.

Innymi słowy, „podszywacz” musi sobie po prostu kupić konto u jakiegoś dostawcy usług VoIP. Ale tutaj się zaczynają schody…

To mniej więcej tak, jak z samochodami. Istnieją kraje, w których nie zamyka się samochodów – i o dziwo, nikt ich nie kradnie. W Polsce jednak z jakiegoś powodu się je zamyka. Z usługami VoIP jest tak samo – polskie usługi mają powprowadzane różnorakie restrykcje wobec działań klientów (np. właśnie filtrowanie zawartości nagłówka „From”), głównie mające na celu lepszą rozliczalność (np. wykorzystałeś X numerów telefonicznych, płać dokładnie za tyle).

Efektem ubocznym jest to, że 100% ataków tego typu prowadzonych jest spoza Polski, z użyciem dużo bardziej liberalnych dostawców zagranicznych.

Ok, to czym się różnią te ataki od tego, co robi Skype?

Technicznie rzecz biorąc, niczym. A funkcjonalnie – tylko tym, że jedni robią to za zgodą zainteresowanych osób i po weryfikacji właściciela podanego numeru telefonu, inni zaś bez żadnych zgód i weryfikacji.

W jakich kierunkach powinno pójść śledztwo?

Naszym zdaniem, przede wszystkim w trzech:

  • Od strony operatorów sieci GSM da się sprawdzić, od jakiego operatora przyszły połączenia. A następnie od niego, z czyjego serwera SIP. I tak po nitce do kłębka można próbować szukać kogoś, kto musiał wypełnić jakiś formularz rejestracyjny, a co ważniejsze, jakoś zapłacić za usługę. Jeśli korzystał z sieci Tor i nie popełnił żadnego błędu, może być trudno go namierzyć – ale nie tacy już wpadali właśnie przez to, że robili głupie błędy, choćby z przemęczenia i braku uwagi…
  • Analiza językowa tekstu użytego w atakach.
  • Dalsza infiltracja społeczności śp. Lolifoxa. Najlepiej we współpracy wszystkich trzech służb, które zajmowały się tym wcześniej.

Aktualizacja, 24.01. godz. 11

Powyższy artykuł jest jednym ze stosunkowo nielicznych na PAYLOAD, po którym dostajemy liczne prywatne odpowiedzi pod nazwiskiem, bez ukrywania swojej tożsamości. Przede wszystkim więc, dziękujemy! 🙂

Czytelnicy donoszą nam o różnych ciekawych usługach – przede wszystkim iSpoof, który jest gotową usługą służącą właśnie do spoofowania CallerID, bez bawienia się w jakieś centralki telefoniczne, SIP trunki itp.

Ponoć do niedawna ponowną możliwość oferował „w standardzie” serwis VoipDiscount. A starsi czytelnicy, od lat interesujący się bezpieczeństwem, pamiętają jeszcze polski serwis WykrecNumer.pl, który w roku 2009 też oferował identyczną funkcjonalność (i niestety słabo na tym wyszedł).

No dobra, a narzędzia open source? Czy FreePBX to jedyny warty polecenia frontend dla Asteriska? Otóż nie. Istnieje również (a przynajmniej istniał do listopada 2021, bo bardzo niedawno zmienił nazwę i został mocno zintegrowany z ofertą komercyjną) system Elastix, czyli kolejna nakładka na system CentOS, umożliwiająca konfigurację Asteriska z poziomu przeglądarki.


Intencją autorów ani wydawcy treści prezentowanych w magazynie PAYLOAD nie jest namawianie bądź zachęcanie do łamania prawa. Jeśli popełniłeś lub masz zamiar popełnić przestępstwo, bądź masz wątpliwości, czy Twoje działania nie będą łamać prawa, powinieneś skonsultować się z najbliższą jednostką Policji lub Prokuratury, a jeśli są one związane z pieniędzmi, dla pewności również z Urzędem Skarbowym.

Nie zezwala się na użycie treści prezentowanych w magazynie PAYLOAD, ani produktów dostępnych w sklepie PAYLOAD, do celów popełniania przestępstw lub przestępstw skarbowych.