sipgate account missbraucht

2morpheus

Neuer User
Mitglied seit
24 Mai 2007
Beiträge
7
Punkte für Reaktionen
0
Punkte
0
Moin zusammen,

leider wurde mein Account bei Sipgate missbraucht, praktisch liefen eine Reihe von Telefonaten ins Ausland (Israel, Jordanien, Agypten) darüber.

Wegen der fehlenden Option den Account zu sperren, konnte ich das ein WE lang nicht verhindern.

Ich hatte dann bei Sipgate angefragt, ob ich die IP's der Anschlüsse bekommen kann, da ich auf meinem Asteriskserver keine Kompromittierung feststellen konnte und ob wir die Sip Passwörter ändern könnten.

Die Ip's lassen sich aus Datenschutzgründen offenbar nicht an mich weiterreichen, bzw können nicht mehr ohne Aufwand ermittelt werden.
Nach der Änderung der SIP Passwörter hat der Missbrauch erstmal aufgehört.
Der Schaden von ca 80¤ ist überschaubar.

Daraus hat sich der folgende Schriftverkehr entwickelt.

Spannend ist die Tonlage. Viel Spaß beim lesen, am besten ist der Punkt wo mir empfohlen wird die Arbeit zu wechseln.

Was sollte ich jetzt unternehmen, habt Ihr mit einem solchen Fall Erfahrung?

Viele Grüße

Christian


-------------------------------------------
Mein letztes Schreiben an Sipgate:

Sehr geehrter Herr M, sehr geehrtes Supportteam

es wäre sicherlich einfacher die folgenden Punkte in einem kurzem Telefonat
zu klären.
Es tut mir sehr leid, das Sie meine Mail so missverstehen, aber ich habe
einen nicht unerheblichen finanziellen Schaden und konnte bis jetzt von
Ihnen keine schlüssigen Angaben zum Verursacher erhalten.
Sie schreiben, das Sie vermuten und all Ihre Erfahrung zugrunde legen aber
die Logfiles nicht mehr kontrollieren können.
Ich möchte das nicht in Frage stellen, aber ein Nachweiß wäre doch in
unser
beider Interesse und damit das Thema auch aus der Welt, was meinen Sie dazu.

Die einfachen Fragen für mich sind:
Sind alle Telefonate ab dem 20.7 bis einschließlich 26.7 von meinem Server
geführt?
Noch einfacher: von welchen IP's sind diese Telefonate geführt wurden?
Ist es richtig, das Sie mir diese Angaben aus Datenschutz-Gründen nicht
geben können?
Kann/Muss ich für diese Information aus Ihrer Sicht die Netzagentur oder
die
Staatsanwaltschaft oder einen Anwalt einschalten?

Wer ist bei Ihnen für diesen Fall zuständig, mit wem kann ich diesen Fall
in
einem Gespräch klären, was würden Sie mir als nächsten Schritt
empfehlen.

Natürlich verlasse ich mich auf das Supportteam und in so einem Fall auf
eine zügige Bearbeitung. Die 36 Stunden rückwirkend könnten aus meiner
Sicht
nur meinen Server als Ergebnis haben, da ich einige der Nummern dann selbst
angerufen habe, um hier den Verursacher zu bremsen. Leider konnte ich den
Account nicht sperren, bei Ihnen niemanden erreichen und habe das dann als
Maßnahme ergriffen. Den Support habe ich schriftlich und mündlich darüber
informiert.

Ein Fall in der SipGAte-Vergangenheit war eine falsch konfigurierte
Hardware, kann das in meinem Fall auch eine Ursache sein? Dem Kunden konnten
Sie zumindest die IP schlüssig nachweisen und sind dem Problem so auf die
Spur gekommen.

Ihre folgenden Ausführungen möchte ich nicht weiter kommentieren, bitte
lesen Sie sie bei Bedarf einfach nochmal durch und prüfen sie Ihre eigene
Reaktion.

Mit freundlichen Grüßen





Sehr geehrter Her D.,

Damit es zu keinem Missverständnis kommt: Ich arbeite weder im
Support, noch ist es Teil meiner gewöhnlichen Arbeit mit Kunden
umzugehen. Ich bin der Datenschutzbeauftragte und wurde in dieser
Funktion vom Support hinzugezogen.

> Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
> als Sicherheitsmaßnahme neu gesetzt habe.

Es stimmt, das ich lediglich Calls der letzen 36 Stunden (zum
Zeitpunkt der Prüfung) angeschaut habe. Näheres weiter unten.

> Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
> Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich
mich
> von Ihrer Aussage überzeugen.

Nun haben Sie dies nicht mit mir besprochen. Ich weiß auch nicht mit
wem dies geschah, aber ich kann Ihnen diese Daten nicht, oder nur
unter extrem schwierig liefern.

> Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und
bin
> mit Ihrem Vorgehen überhaupt
> nicht einverstanden.

Natürlich bleibt es Ihnen ungenommen so zu denken, ich werde Ihnen
allerdings kurz meine Sicht der Dinge darlegen: Mir wurde berichtet
das Sie kein einziges Gespräch nach Israel oder Jordanien geführt
haben. Als ich den ersten Call untersuchte und feststellte das er von
Ihrer eigenen IP kam, war klar das das Problem in Ihrem Netzwerk
liegt. Da sie die Anrufe nicht in Ihren cdrs haben, muss es ein
anderes Gerät sein das sich in Ihrem Netzwerk befindet. Zur Sicherheit
prüfte ich ein paar weitere Calls, mit dem selben Ergebnis. Natürlich
könnte es sein, das andere Calls auch von anderen IPs ausgingen, aber
abgesehen davon das ich dies höchst unwahrscheinlich halte, ist es
auch irrelevant. Fakt ist: Jemand Unbekanntes hat Telefonate geführt.
Es nutze dabei die selbe IP, mit der Ihr Asterisk zeitgleich
angemeldet war. Entweder er befand sich in Ihrem Gebäude, oder hat
sich in Ihr Netzwerk getunnelt.
Es gibt noch eine Möglichkeit: Jemand hat schlichtweg Ihren Server
gekapert. Vielleicht ein unsicherer ssh Zugang? Da die Anrufe
allerdings nach Änderung des Sip-Passwortes aufhörten, ist dies nicht
wahrscheinlich (außer natürlich das Sie die Zugangsdaten zum Server
ebenfalls änderten).

> Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht
der
> verdächtigen Telefonate mit der ErzeugerIP.

Momentan stocken wir unser Supportteam auf. Ich kann nur vermuten, das
Sie auf einen noch unerfahrenen Kollegen trafen, der Ihnen etwas
versprach was wir nicht halten können. Diejenigen Verbindungsdaten,
die wir nicht zur Rechnungserstellung benötigen, speichern wir
AUSSCHLIESSLICH aufgrund des §113a TKG (Vorratsdatenspeicherung). Der
Zugriff auf diese Daten ist sehr streng limitiert. Nur nach
richterlicher Anordnung, oder zur Abwehr einer Katalogtat nach §100a
stpo ist der Zugriff gestattet.
Dies ist auch der Grund warum ich nur die letzen 36 Stunden prüfen
konnte (für diesen Zeitraum existierten noch Logdateien der Gateways).

> Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
> sofort geeignete Maßnahmen treffen.

Auch wenn ich Ihnen dies nicht beweisen kann, bin ich überzeugt das es
ausnahmslos Ihre IP war (ob dies nun Ihr Server war, oder ein anderes
Gerät das die Möglichkeit hatte diese IP zu nutzen weiß ich nicht).
Der Grund ist einfach dieser (plus sehr viel Erfahrung in diesem
Bereich): Jemand der zumindest einmal die fremde IP benutzt, hat einen
Grund dafür. Entweder er ist an das Netzwerk gebunden, oder will seine
eigene Maskieren. In beiden Fällen wird er nicht einmal die IP des
Servers und beim nächsten Mal eine andere nutzen. Dies ist kein
typisches Verhaltensmuster. Wenn Sie einen Rat möchten: Gehen Sie
davon aus, das jeder einzelne dieser Calls von der derjenigen IP kam,
mit der sich der Asterisk zu dieser Zeit anmeldete.

> Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
> sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.

Nun, wenn Sie mir sagen worauf genau sich unsere 'Mitwirkungspflicht'
begründet, werde ich dies prüfen und ggf. Änderungen an Prozessen
anstreben.

> Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
> geeigneten Maßnahmen zur Aufklärung ergreifen.

Bitte verstehen Sie das jetzt nicht falsch. Es ist wirklich nicht
meine Absicht beleidigend zu sein, aber wenn Sie aufgrund meiner
vorherigen Mail nicht in der Lage waren 'Maßnahmen zur Aufklärung' zu
ergreifen, dann sind sie nicht der richtige für den Job den sie
machen. Ich habe Ihnen gesagt das der Anrufe aus Ihrem Netz kam. Sie
können auf dem Server die letzen Zugriffe prüfen, schauen wer in der
sudoers steht, wann es Anmeldungen gab. Ich habe vermutet das jemand
sip-traffic snifft. Sie können schauen welche
Netzwerkverbindungen/Netzwerkgeräte zwischen Server und Internet,
sowie Server und SIP-Endgeräten liegt. Ist alles durchgeswitcht, sind
alle Monitorports geschützt, Router abgesichert? All diese Dinge, die
man eben prüft wenn man MIT 100% SICHERHEIT WEIß das es einen
Angreifer im EIGENEN Netz gibt.


> Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
> Anspruch verzichte, dann will ich das gerne tun.

Unsere Mitarbeit ist vollkommen unabhängig davon ob sie auf einen
möglicherweise berechtigten Anspruch verzichten oder nicht.


>>>> bieten Sie eine gesicherte Verbindung an

Und für Ihren Asterisk programmieren wir schnell einen Patch, so das
er SSIP und SRTP spricht? Entschuldigen Sie die Polemik, aber so
einfach ist das nicht. Selbst wenn wir über ein VPN alles zu Ihnen
crypten, ist der Traffic zwischen Asterisk und Telefonen immer noch
unverschlüsslt. Die Gefahr das jemand aus dem Internet Ihren
SIP-Traffic snifft geht gegen null (dies könnte lediglich ein Provider
oder Betreiber eines Routingknotens). Viel gefährlicher ist der kurze
Weg in Ihrem Netzwerk.

>>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren
oder
eine
> Notfallnummer für solche Fälle

Ja, in diesem Punkt gebe ich Ihnen uneingeschränkt recht. Ich werde
dies noch heute an die Verantwortlichen Projektleiter weiterleiten.


> Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
> Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich

Theoretisch kann dies daran liegen, das der Angreifer noch am
bruteforcen des neuen ist.

mit freundlichen Grüssen,

-------------------------------------

das auslösende Schreiben, meine erste Antwort

Sehr geehrter Herr M.,

Ihre Prüfung verwundert mich sehr, da ich diese IP erst vor einigen Tagen
als Sicherheitsmaßnahme neu gesetzt habe.
Sie sollten also mindestens zwei IP-Adressen in Ihren Logfiles finden
können!

Bitte stellen Sie mir wie besprochen die IP-Adressen aller verdächtigen
Telefonate seit dem 20.7. bis zum 26.7 zur Verfügung, nur so kann ich mich
von Ihrer Aussage überzeugen.

Unter diesem Gesichtspunkt finde ich Ihre Prüfung sehr fahrlässig und bin
mit Ihrem Vorgehen überhaupt
nicht einverstanden.

Laut meinem Telefonat heute morgen bekomme ich von Ihnen eine Übersicht der
verdächtigen Telefonate mit der ErzeugerIP.
Wenn es sich ausschließlich um meinen eigenen Server handelt kann ich
sicher
sofort geeignete Maßnahmen treffen.

Eine stichprobenartige Prüfung ist für mich nicht akzeptabel und
entspricht
sicher nicht Ihrer Mitwirkungspflicht bei einer solchen Tat.

Leider konnte ich aufgrund Ihrer mangelnden Unterstützung bisher keine
geeigneten Maßnahmen zur Aufklärung ergreifen.
Auch die heute zugesagte weitere Prüfung hat offenbar nicht stattgefunden,
ich habe trotz des zu erwartenden weiteren Missbrauchs die zugesagte
Rückmeldung nicht erhalten und bin absolut sprachlos.

Eine Anmerkung noch:
Sicher ist es schön von Ihnen den Schaden ersetzt zu bekommen, aber das ist
jetzt nicht mein Ziel, ich möchte weiteren Schaden von mir abwenden und
zählte daher auf Ihre Kooperation.
Über die Möglichkeiten eines Schadenersatzes können wir gerne getrennt
verhandeln.
Wenn sie zu einer Mitarbeit und Hilfe nur bereit sind, wenn ich auf einen
Anspruch verzichte, dann will ich das gerne tun.


>1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
>Ihren sip Traffic und bruteforces die sip-passwörter.
>2. Sie haben ein internes Problem in Ihrem Unternehmen.
>
>In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.
>
>Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
>Erstattung der Gesprächsgebühren ab

>>> bieten Sie eine gesicherte Verbindung an
>>> bieten Sie die Möglichkeit den Account unverzüglich zu sperren oder
eine
Notfallnummer für solche Fälle

Wie gesagt, ich bin sprachlos!

Erfreulich ist, das bis jetzt durch die Änderung des Passwortes im
Sipaccount kein weiterer Missbrauch meines Anschlusses passiert ist. Ich
werte das als positive Entwicklung, auch eine erste Prüfung meines Servers
kommt nicht zu Ihrem Ergebnis.
Bitte berücksichtigen Sie das in Ihren weiteren Untersuchungen.

Eine drastischer Fehler im System ihrerseits ist die fehlende Möglichkeit
den Account zu sperren, allein darin ist aus meiner Sicht eine Mitschuld zu
sehen.

Obwohl ich seit Freitag vom Missbrauch wusste, hatte ich keine Möglichkeit
den Anschluss zu sperren, es gibt bei Ihnen für solche Fälle kein
Szenario.
Auch die telefonische Rückfrage heute hat das bestätigt.

Ich bin also sehr gespannt auf die Auswertung Ihrer Logfiles zu den zu
Unrecht über meinen Account geführten Telefonaten.

Bitte setzten Sie sich alsbald mit mir in Verbindung.

Vielen Dank für Ihre Mühen,






Sehr geehrter Herr D.,

sie wandten sich an unseren Support, weil Sie den Missbrauch Ihrer
Accountdaten vermuteten.

Wir speichern keine IPs der registrierten Geräte, solange es dazu
keine Verpflichtung gibt. Aufgrund der Vorratsdatenspeicherung,
speichern wir aber die IPs ausgehender Telefonate. Ich habe ein paar
der beanstandeten Telefonate nach Jordanien und Israel geprüft.
Ausnahmslos jeder Call kam von der IP ..... Da dies nun just
diejenige ist, mit der sich auch Ihr Asterisk anmeldet, gibt es für
mich nur zwei Vermutungen:

1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
Ihren sip Traffic und bruteforces die sip-passwörter.
2. Sie haben ein internes Problem in Ihrem Unternehmen.

In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.

Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
Erstattung der Gesprächsgebühren ab.

mit freundlichen Grüßen
M.
 
Mich würde interessieren wie derjenige es geschafft hat die Daten auszuspionieren. Aber das wird wohl ein Rätsel bleiben.

Derjenige muss sich auf jeden Fall damit sehr viel Mühe gemacht haben um dir zu schädigen.

Tipp: Ändere die Passwörter für WLAN, Router und SIP Konto in regelmäßigen Abständen.

Wie du schon sagtest, 80 Euro sind verschmerzbar, tun aber trotzdem weh. Hätte aber auch schlimmer kommen können.

Einem Bekannten wurde das Mobiltelefon geklaut. Er hat es erst ein paar Stunden später gemerkt, NACHDEM jemand stundenlang mit dem chinesischen Mobilfunknetz Kontakt hatte. Resultat: 560 Euro!
 
Klar kann man eine Strafanzeige erstellen.

Ich denke aber mal, dass wenn derjenige schon so "clever" gewesen ist und deine SIP Daten mitsnifft oder sich in irgend einer Art und Weise dazu Zugang verschafft hat, was übrigens schon ein gehöriges Maß an krimineller Energie mit sich führen muss, wird er auch so "clever" gewesen sein, die Gespräche nicht aus Deutschland zu führen oder es gut versteckt haben. Zumal es sehr schwer ist ein WPA oder WPA2 WLAN zu hacken, wenn es bei dir vorhanden ist.

Und mal zugegeben: Bringt es dich vorwärts? Selbst wenn überhaupt Jemand gefasst werden sollte, glaube ich kaum, dass du dein Geld von dem Täter wieder bekommen wirst.

Es ist ärgerlich, dass Jemand dich quasi bestohlen hat. Aber lerne aus dem Fall und mach die Lücken in deinem System dicht und hake es ab. 80 ¤ sind schmerzlich, aber kein Vermögen.
 
Den Erfolg einer Strafanzeige bewerte ich auch niedrig, die IPs, wenn bei Sipgate vorhanden hätten aus meiner Sicht halt Aufschluss darüber gegeben wo weiter zu suchen ist und ob das evtl erfolgreich ist. Die können sie mir nur leider nicht zur Verfügung stellen.

Außerdem war es frustrierend den Account nicht sperren zu können oder das Passwort zu ändern.

viele Grüße
Christian
 
Ja, das verstehe ich. Du willst Hilfe schreien, aber es hört dich keiner.
 
Die können sie mir nur leider nicht zur Verfügung stellen.
Ist doch nur verständlich, dass Sipgate dir die IP-Adressen nicht zur Verfügung stellt. Da könnte ja jeder Hans Wurst daher kommen.

Ansonsten wie schon weiter oben geschrieben. Siehe das als Lehrgeld. Jeder zahlt mal eins :)
 
Das sehe ich nicht ganz so,
angenommen es passiert wieder, zahle ich dann wieder "Lehrgeld".

Wieso kann ich keine Auskunft darüber erhalten wer meinen Anschluss missbraucht.

Wieso kann ich in einem solchen Fall den Anschluss nicht sofort sperren.

Erstmal bin ich doch ein Kunde und kein Hans W., der Missbrauch steht auch außer Zweifel.

Für mich ist es ebenfalls wichtig, den Ursprung des Missbrauchs einzugrenzen, nimmt mir erstmal viel Arbeit ab.

Die Aussage: "Wir vermuten das der Missbrauch von Ihrem Server ausgeht" hilft da erstmal wenig, hilfreicher wäre : "Alle Gespräche im besagten Zeitraum sind von einer IP ..... ausgegangen".

Hmmm, ist das wirklich zuviel verlangt?

viele Grüße

Christian
 
Wieso kann ich in einem solchen Fall den Anschluss nicht sofort sperren.

Das ist leider wirklich ein Manko. Wie man lesen kann wird man jedoch darauf reagieren.

Für mich ist es ebenfalls wichtig, den Ursprung des Missbrauchs einzugrenzen, nimmt mir erstmal viel Arbeit ab.

Du hast doch entscheidende Hinweise erhalten, deine eigene Ursachenforschung ist als ungenügend zu bewerten.

Natürlich verlasse ich mich auf das Supportteam und in so einem Fall auf eine zügige Bearbeitung. Die 36 Stunden rückwirkend könnten aus meiner Sicht nur meinen Server als Ergebnis haben, da ich einige der Nummern dann selbst angerufen habe, um hier den Verursacher zu bremsen.

Sorry, aber es fehlt mir das Verständnis für die "Bremse".
 
Mit Lehrgeld soll heissen, stopf die Löcher in deinem System. Wenn du das nicht kannst, dann lass es machen. Wenn du kein Geld dafür hast, dann nimm den Asterisk vom Netz.

Du hast hier jetzt schon so viele Möglichkeiten genannt bekommen wie du vorgehen könntest. Die Entscheidung liegt aber letztendlich bei dir und wenn du nicht in die Gänge kommst und zumindest mal eine Anzeige bei deinem Freund und Helfer stellst ist dir nicht mehr zu helfen.
 
Du schreibt Israel, Jordanien, Agypten? Das wird doch wohl nicht eine Dependance des Mossad gewesen sein? Das ist ihr Hauptoperationsgebiet :)
 
Als potentieller Terrorist wirst du bestimmt schon von den Geheimdiensten überwacht :)
 
mich würde deine config vom asterisk interessieren... wir mussten in den letzten Monaten recht oft Feuerwehr spielen - weil irgendwelche Admins ein völlig offenes Asterisk-System aufstellten und sich wunderten, dass viele dadurch telefonieren konnten. Entweder waren es passwörter wie 1234 oder dial-out rules unter default.

sei froh, dass es so wenig Geld ist... es gibt viele die hier mit 0900er unterwegs sind... ;-/

[edit]
vergesse die Anzeige! wegen 80 EUR? nach paar Monaten wird es eh eingestellt. Oder wenn du Pech hast, wird dein Server für einige Monate zur Datenanalyse genommen.

[edit2]
wenn du dich jedoch recht (sorry für den Ausdruck) dämmlich eingestellt hast, könntest du gar als Mitstörer angesehen werden. Wäre also ähnlich wie bei offenen WLANs - da haften auch die Betreiber für evtl. Straftaten die über Ihr offenes Netz ausgeübt wurden.
 
Zuletzt bearbeitet:
Das zur Anzeige zu bringen ist das einzig richtige was man im Moment tun kann.
 
Für stinkstiefel:
Naja, "die Bremse", das war auch eher sportlich, wenn schon Familie und Freunde angerufen werden, dann sollen die wenigstens wissen, das es von meinem Account aus passiert und mir hat's ein bischen Spaß gemacht die Nachts aus dem Bett zu klingeln.

Ich sehe zur Zeit nur eine Möglichkeit:
Der Missbrauch hat mit meinen Account-Daten bei Sipgate zu tun.
Die sind in die falschen Hände geraten.
Ich vermute das weder mein Server noch Sipgate die Schuld trägt.

Dem steht die Vermutung von Sipgate gegenüber der Missbrauch sei ausschließlich von meinem Server ausgegangen.
Das würde einiges ändern und meine Prüfungen und meine Vermutung natürlich in Frage stellen.

Gerne hätte ich daher den Nachweis durch die Logs.

Ich glaube was mich wurmt ist die Vorgehensweise des Supports:
Eine Maßnahme am Server z.B. war die Änderung der IP, heißt, im besagtem Zeitraum war der Server unter zwei verschiedenen IP-Adressen online.
Trotzdem behauptet der Support erstmal, der Missbrauch sei ausschließlich von einer Ip-Adresse ausgegangen.
Erst auf Rückfrage räumt Sipgate ein, nur die letzten 36 Stunden von einem Zeitpunkt x aus gesehen kontrolliert zu haben. Da waren die Passwörter bei Sipgate bereits geändert und nur mein Server online, es fanden auch keine missbräuchlichen Telefonate mehr statt und tatsächlich der einzig angemeldete Server war meiner.

Weiterhin wurde mir bereits im ersten Telefonat eine Prüfung und eine Mail mit IP-Adressen zugesagt, von der nur 36 Stunden Rückblickmöglichkeit war keine Rede. Eine Erstattung von Gesprächsgebühren wurde mir vom Support ohne Anfrage mündlich angeboten.

Die Antwort die dann per Mail kam war:

Ausnahmslos jeder Call kam von der IP ..... Da dies nun just
diejenige ist, mit der sich auch Ihr Asterisk anmeldet, gibt es für
mich nur zwei Vermutungen:
...
1. Sie teilen sich die IP in einem unsicherem Netzwerk. Jemand snifft
Ihren sip Traffic und bruteforces die sip-passwörter.
2. Sie haben ein internes Problem in Ihrem Unternehmen.

In beiden Fällen empfehle ich Ihnen Strafanzeige zu erstatten.

Da ich keinerlei Verschulden seitens sipgate sehe, lehne ich eine
Erstattung der Gesprächsgebühren ab.
...


Für mich bleibt festzuhalten:

  • Ein Missbrauch des Sipgate Accounts ist mit Bordmitteln nicht genauer zu kontrollieren.
  • Das erste Statement von Sipgate machte den Anschein einer Prüfung, tatsächlich wurde offenbar keines der treffenden Gespräche untersucht und nur die letzten 36 Stunden geprüft.
  • Auf Nachfrage verhindert der Datenschutz die nachträgliche Prüfung.
  • Wegen 80¤ lohnt der Aufwand kaum, den ich für eine Anzeige etc hätte.
  • Beruhigend ist, das es offenbar viel weniger Missbrauchsfälle gibt als ich angenommen habe.
  • Die Möglichkeit einen Missbrauch auch am WE zu melden und den Account zu sperren ist zur Zeit noch nicht gegeben.
  • Vor allem werde ich meine Sip-Accounts ab jetzt nicht nur wöchentlich kontrollieren.

Und: Ja, ich ändere meine Passwörter gelegentlich.:D
 
hm, war mir bisher auch nicht so bewußt, dass man das Sipgate-PW nur für den Web-Zugang selbst ändern kann .... hab' mal bei meinen anderen Provider geschaut, damit hat Sipgate ein Alleinstellungsmerkmal ;-)
 
für jussuf:
Mir wurde erklärt, dass damit ein spontanes abschalten verhindert werden soll ;) .

....
Der Support hat inzwischen geantwortet, es gab Verbindungen aus dem Block eines DSL Anbieters.

Damit bestätigt sich mein Verdacht fürs erste und ich kann den Verlust meiner Accountdaten prüfen lassen.
 
Ich kann alle Positionen nachvollziehen, sowohl Deine als auch die von Sipgate.

Sollte Sipgate schon die ominöse, undefinierte Schnittstelle zu den undefinierten Vorratsdaten für undefinierten sofortigen Zugang bereithalten, sollte es (meine Meinung als Nicht-Jurist) ein leichtes sein, Sipgate zunächst schriftlich Zugang zu den über Dich gespeicherten Vorratsdaten zu gestatten; Stichwort Recht auf informationelle Selbstbestimmung und Selbstauskunft - die Daten sind da, also solltest Du auch ran kommen. Kann aber sein, daß Du dafür zur Kasse gebeten wirst, da es irgendwen außerplanmäßige Arbeitszeit kostet, danach zu suchen und das nicht gerade eine Standardtätigkeit ist. Die bisher entstandenen 80¤ Schaden würde das locker übersteigen; solltest Du aber unbedingt an die Daten kommen wollen, könntest Du es auf diese Art nochmal probieren (was allerdings auf wenig Gegenliebe stoßen wird).

Bei Sipgate finde ich es einerseits unschön, daß sich das - (an der Stelle ein Lob) vom Web-Login getrennte - Kennwort nicht selbst setzen lässt, andererseits sieht das ganz gut zufällig aus, bietet also theoretisch mehr Schutz als ein leicht zu merkendes Kennwort, das einige Leute eintippen würden. Problematisch finde ich aber auch, daß es sich nicht per Klick sofort neu generieren lässt (gut wäre hier vielleicht eine Wartezeit von einigen Stunden bis zur nächsten Generierung o.ä., falls jemand versucht ein Muster in der Generierung ausfindig zu machen). Hätte Dir sehr viel Ärger erspart. Unschön finde ich auch, daß Sipgate-Mitarbeiter in irgendeiner Form auf das SIP-Kennwort Zugang haben; jedenfalls lassen sich auf Wunsch (früher standardmäßig) vorkonfigurierte Endgeräte bestellen. In letzter Zeit gab es ja einige Leaks in Call-Centern, bei denen man an der Stelle evtl. hellhörig werden sollte. Ich weiß aber nicht, ob bei Sipgate vielleicht nur ein sehr kleiner Personenkreis Zugang zu diesen Daten hat, sodaß das Risiko einer Entwendung der SIP-Accountdaten vernachlässigbar ist.

Leider hast Du auch einen kleinen aber wichtigen Fehler begangen, der mir aber in der Vergangenheit auch schon passiert ist: Du hast versucht, Deinen Mitbenutzer loszuwerden ohne ihn zunächst zu versuchen, aufzuzeichnen. Um eine Quelle im eigenen Netz auszuschließen, hättest Du auf oder zwischen dem Router während einer aktiven Verbindung sniffen sollen, später (um nicht aufzufallen) ggf. auch direkt auf dem Asterisk-Server. Diese Dumps dann aufbewahren, Störer rauswerfen, System weiterbeobachten oder vorsichtshalber neu aufsetzen. Hätte es in den Dumps Daten des Störers gegeben, läge der Fehler auf Deiner Seite aber Du hättest die IP (ggf. nur Proxy und damit ohne Nutzen). Hätte es keine Daten darüber gegeben, hättest Du aber gegenüber Sipgate etwas in der Hand um nachzuweisen, daß der Misbrauch nicht auf Deiner Seite der Verbindung stattgefunden hat. Passiert einem sowas das erste Mal, denkt man da leider nicht dran und zieht eher das Kabel...

Edit: Zur Asterisk-Config: Da gabs doch auch die Möglichkeit, versehentlich durch einen "Tippfehler" (bzw. misverstandene Anleitungen) externen Anrufern zu erlauben, mittels Raute-Taste eine Gesprächsumleitung vornehmen zu lassen? t und T im Dialplan oder sowas in der Art. In den Logs fand sich auf Deinem Server wirklich nichts?
 
Zuletzt bearbeitet:
vor längerer Zeit war mein erster Asterisk "VoipOnCD", ein fertig aufgesetztes System. Das war sehr einfach aufzusetzen, aber nicht gut abgesichert. Und wurde gekapert. Netterweise gab's in den Logs scherzhafte Einträge, so dass es sofort erkennbar war - ich hatte damals sofort den vServer gestoppt.

Einen selbst aufgesetzten Asterisk kann man gut absichern, dazu gibt es hier im Forum einige gute Anleitungen - meinen Dank und Lob an die Autoren ;-)

Danach konnte ich schon mal versuchte Zugriffe beobachten, als ich noch einen default-Eintrag hatte. Den lasse ich jetzt grundsätzlich auf den AB laufen und verwende nur noch explizite extensions.

Nun habe ich Ruhe. Ändert nix an meinem Wunsch, dass PW bei Sipgate ändern zun können ;-)
 

Statistik des Forums

Themen
244,694
Beiträge
2,216,663
Mitglieder
371,313
Neuestes Mitglied
virFortis
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.