Sipgate Account missbraucht ...

mipo

Aktives Mitglied
Mitglied seit
29 Okt 2004
Beiträge
1,297
Punkte für Reaktionen
118
Punkte
63
Hallo zusammen,

ich habe heute eine "Guthabenwarnung" von Sipgate bekommen, die automatisch versendet
wird, wenn der Guthabenstand unter 5¤ sinkt. Da ich im Moment nicht über Sipgate telefo-
niere habe ich mich natürlich sofort ins Kundenportal eingeloggt und muss leider feststellen,
das ein User munter lustig über meinen Account telefoniert ... Hab mal vorsichtshalber die ersten paar Stellen "ausgeXt" ... klar.

2. Gerät: eyeBeam release 3010n stamp 19039
IP: sip:[email protected]:23370

Genialerweise kann man den Sipgate Account weder sperren, noch kann ich den "Dollkopp" rausschmeißen ... Auch der Sipgate Support ist nicht erreichbar, da wohl schon im Wochenende! Bin nur froh, dass es sich hier um einen Prepaid Account handelt ... Bei Postpaid wäre ich wohl jetzt Pleite ...

Was kann man tun um deratiges künftig zu verhindern?

vG Michael
 
Hallo zusammen,

bin ich wirklich der Einzigste(!) dessen Sipgate Account ganz offensichtlich gehackt worden ist und das Guthaben abtelefoniert wird (wurde)?

Habt ihr Erfahrungen wie sich Sipgate in einem solchen Fall verhält? Es ist doch schon bedenklich, dass sich das Passwort des SIP Accounts nicht vom Kunden geändert werden kann!

vG Michael
 
Ja, das habe ich auch schon öfters hier geschrieben. Es ist ein elementares Feature, daß man sein SIP Paßwort ändern kann - so selbstverständlich und notwendig, daß man eigentlich nicht drüber sprechen müßte - und ich finde es sehr bedenklich, daß sipgate hier nichts tut... Fast schon fahrlässig.

Wie kann es denn bei Dir passiert sein, daß jemand in Deinen Account kommt? Im Hotel per WLAN gesurft, irgendeine App auf iPhone oder Android benutzt (?)
 
Das hatten wir ja schon gefühlte 5000x. Ist ein zweischneidiges Schwert.
Wenn jemand sein SIP PW kannte wurde entweder die Kommunikation mitgeschnitten oder aber sein WebLogin gehackt.

Und wenn jemand den WebZugang kennt kannst du das SIP PW 5000x ändern...
 
Hallo zusammen,

hab als "Kulanz" von Sipgate die hälfte der Gebühren erstattet bekommen. Freue mich natürlich darüber, doch glücklich bin ich keineswegs darüber - da das Problem ja damit nicht beseitigt ist.

Ich habe einen Asterisk PBX im Netz hängen und dort ist vor einigen Monaten schlichtweg durch "Dusseligkeit" schon einmal ein Angriff erfolgt, den ich aber durch Einschränkung des IP Bereiches und kompliziertere Passwörter in den Griff bekommen habe. Daher hatte ich natürlich sofort den Verdacht, aber dort wurde nichts geloggt.

Mitschneiden scheidet eigentlich aus, da lokal am DSL Anschluß hängt. Die IP ist (siehe oben) igrendwo im Ostblock(?). Hab natürlich sofort das Passwort des Wegzugangs geändert. Aber
das der SIP Zugang über die Weboberfläche nicht sperrbar ist, ist schon der Hammer von Sipgate! Ebenso das keine 24h Hotline für derartige Fälle vorhanden ist finde ich schon bedenklich und bewegt mich, meinen Sipgate Account aufzulösen. Ist schon ein verdammt dämliches Gefühl den Kontostand bei jedem Webbrowser refresh das Guthaben schwinden zu sehen ...

Welche Provider sind denn noch empfehlenswert? (Natürlich mir gescheiten Sperrmechanismen).

vG Michael
 
Ist mir vor ein paar Monaten auch passiert,der Asterisk wurde gehackt und ueber Carpo
telefoniert,das Carpo-Password konnte ich schnell selber aendern.Bei Sipgate musste ich per Mail schreiben und ueber 0180 anrufen,erst ein paar Tage spaeter wurde das Password dann
geandert.
 
Ich habe einen Asterisk PBX im Netz hängen und dort ist vor einigen Monaten schlichtweg durch "Dusseligkeit" schon einmal ein Angriff erfolgt..
Lass mich raten.. ein Asterisk ohne Realtime, also mit brav ausgefüllter sip.conf? Und sogar noch in der root-shell? Je nachdem wie weit der Hack ging, sind dem Angreifer so auch die Passworte für alle Provider-Accounts in die Hände gefallen.

Was Sipgate und die Passworte angeht; Es ist für einen Provider ab einer gewissen Größenordnung ein ziemlicher Mehraufwand, die vom Kunden gesetzten (und wieder vergessenen) SIP-Passworte zurücksetzen zu müssen. Zudem würden die automatischen Gizmos (SIP-Cofig per SMS für Smartphones, ect.) nicht mehr zuverlässig funktionieren. Die Webserver berühren auch nur am Rande die Telefonie-Infrastruktur, so das ein kundengesetztes SIP-Passwort nicht unmittelbar wirksam wäre. Das dürfte weitere Verwirrung stiften. Wiederum ist es genau so unlogisch (aus dem Security-Blickwinkel), das Ändern des Webpasswortes zuzulassen, solange darüber die Passworte der SIP-Accounts erreichbar sind. Nicht einfach, es allen recht zu machen.

Die vorgeworfene Trägheit des Supports kann ich aber nicht bestätigen. Bislang wurden meine Anliegen (per Mail) jeweils deutlich unter 12 Stunden abgefrühstückt. Bei der Gelegenheit noch mal meinen Dank an den Herrn, dessen Namen die phonetische Ähnlichkeit eines Blasinstrumentes hat.
 
Ach so, ein angreifbarer Asterisk, das hab ich noch vergessen.
 
Ich habe einen Asterisk PBX im Netz hängen und dort ist vor einigen Monaten schlichtweg durch "Dusseligkeit" schon einmal ein Angriff erfolgt

Aber das der SIP Zugang über die Weboberfläche nicht sperrbar ist, ist schon der Hammer von Sipgate! Ebenso das keine 24h Hotline für derartige Fälle vorhanden ist finde ich schon bedenklich und bewegt mich, meinen Sipgate Account aufzulösen. Ist schon ein verdammt dämliches Gefühl den Kontostand bei jedem Webbrowser refresh das Guthaben schwinden zu sehen

Sorry - aber vielleicht solltest du mal drüber nachdenken ob du wirklich einen eigenen Server benötigst. Und falls die Antwort "ja" lautet würde ich mir mal einige Gedanken machen.
Wie gesagt, vom Prinzip her kann ich dich schon verstehen. Aber anscheinend läuft bei dir sicherheitstechnisch einiges nicht so ganz korrekt...Kein Wunder das dass Problem also nicht "beseitigt" ist.
 
Hallo doodle,

sind zwei paar Schuhe. Die Asterisk Geschichte liegt schon mehrere Monate zurück und ich denke ich habe die Sache durch stärkere Passwörter und vor allem eine Einschränkung des IP Bereichs relativ gut im Griff. - Das soll natürlich nicht heißen "unangreifbar!". Doch trotzdem würden mich die Möglichkeiten und vor allem deren Verhinderung sehr interessieren, an SIP Passworte der TrixBox heranzukommen. Die "Wissenden" unter euch, könntet ihr mir bitte ein paar Tips geben?

Nun, das Passwort wurde vom Support nach rund 2-3 Stunden geändert - was natürlich eine gefühlte Ewigkeit war. Eine kleine Kulanzgutschrift (Hälfte der Gebühren) gab es auch, wofür ich mich natürlich sehr herzlich beim Sipgate Support bedanke! Schade finde ich aber immer noch, dass es keine Möglichkeit gibt das SIP Kennwort selbst zu ändern oder mindestens per Knopfdruck den Account sperren zu können. Noch besser wäre es, wenn man die IP Adresse (IP-Range) zusätzlich noch beschränken könnte. Meine kleine Asterisk hängt an einer festen IP ... da wäre es schon prima, wenn auch von dieser IP nur eine Registrierung erfolgen dürfte.

Also ganz unbedarft bin ich sicherlich im IT/Linux Security Bereich nicht, doch wäre ich an möglichen Einfallstoren die es zu schließen gilt für die TrixBox sehr sehr interessiert.

viele Grüße
Michael
 
...hab als "Kulanz" von Sipgate die hälfte der Gebühren erstattet bekommen...

verstehe nicht ganz - du hattest am 08.10. um 21:57Uhr den Beitrag geschrieben und gegen 01:00Uhr schreibst du, die hätten geantwortet?
dachte, die sind ab 18Uhr nicht mehr im büro :confused:

das würde heißen, die haben innerhalb von 2-3 Stunden reagiert und das freitagnachts?! Oder habe ich jetzt nen Denkfehler?
 
das würde heißen, die haben innerhalb von 2-3 Stunden reagiert und das freitagnachts?! Oder habe ich jetzt nen Denkfehler?

Hallo Brötchen,

es scheint "zufällig" ein Mitarbeiter vom Support anwesend gewesen sein. Doch ich denke das
wird die berühmte Ausnahme gewesen sein, also keinesfalls der Regelfall. Daher schwanke ich
zwischen Jubel und Traurigkeit. Denn wenn der Support nicht in so kurzer Zeit geantwortet
hätte, könnte ein nicht unerheblicher finanzieller Schaden entstehen.

vG Michael
 
OK, nur frag ich mich, wie man einen solchen zugang hacken kann...
hierfür muss man die richtige kombination aus sip-id und kennwort forcieren - das ist nahezu unmöglich... sind deine daten mal abhanden gekommen oder kursieren anderweitig im netz?! ohne frage, wäre eine möglichkeit zur einschränkung oder pw-änderung im account sinnvoll.
 
Also die SIP-ID rauszufinden ist schon mal kein Problem. Zumindestens bei den Basic Anschlüssen ist die SIP-ID nämlich identisch mit der ( Sipgate internen ) Telefonnummer, bzw. es sind die letzten 7 Ziffern der Ortsnetz-Rufnummer. Ob dies bei anderen Ortsnetzen als meinem auch zutrifft, bzw. ob es auch bei den "größeren" Accounts stimmt, weiß ich natürlich nicht.

Und das Kennwort zu bruten erscheint ebenfalls möglich, weil es zu kurz ist ( nur 6 Zeichen ) und zu wenige mögliche Zeichen enthält, nämlich offenbar nur Großbuchstaben und Ziffern. Da ich meinen Basic Account ohnehin nur für eingehende Gespräche nutze und daher nie Guthaben aufgeladen habe, ist es in meinem Fall egal. Aber anstelle von Sipgate würde ich mir da schon mal Gedanken machen, denn ein so einfaches Passwort, welches man dann noch nicht einmal selber ändern kann, könnte als Verstoß gegen die Sorgfaltspflicht gegenüber den Kunden ausgelegt werden und somit bei Mißbrauch zu haftungsrechtlichen Problemen für Sipgate führen.

C.U. NanoBot
 
Der Server mit dem * ist wahrscheinlich gehackt worden, so wie ich die Dinge interpretiere und da stehen die Accounts und Paßwörter ja drin.
 
Hallo Sven,

könnte natürlich sein, kann man nie ganz ausschließen. Ich habe den Asterisk nun hinter
die Firewall gepackt (hatte das vorher nicht gemacht, da es Probleme mit NAT gab) und
ich denke aus dieser Sicht dürfte alles im grünen Bereich liegen. Ebenso natürlich auch den
Server neu aufgesetzt.

Finde ich aber schon "interessant", das wenn man sich mit dem Thema "Asterisk hacken"
ein wenig beschäftigt bzw. herumhört, derart viele Personen betroffen sind. Scheint ein
richtiger Sport geworden zu sein. Fertige Distributionen der Asterisk wie Trixbox (die ich
damals einsetzte) sollten eigentlich sicherheitstechnisch so auf dem Laufenden sein, dass
sie als weitestgehend sicher eingestuft werden könnten.

Das viel zu kurze Passwort von Sipgate läßt sich sicherlich in relativ kurzer Zeit per
Bruteforce austesten. Die gewünschten Änderungen sind doch recht einfach durch-
zuführen und doch gewiss kein Hexenwerk (Passwort änderbar, Angemeldete SIP
Sessions abbrechen, [SIP Zugangsbeschränkung auf IP Adressbereich])

viele Grüße
Michael
 
Zumindest eine Sperrung des SIP-Accountes sollte doch möglich sein, finde ich, abgesehen davon könnte man auch das Paßwort den User ändern lassen und ggf. per Button auf der Seite ein generiertes Paßwort anbieten.
 
Also die SIP-ID rauszufinden ist schon mal kein Problem. Zumindestens bei den Basic Anschlüssen ist die SIP-ID nämlich identisch mit der ( Sipgate internen ) Telefonnummer, bzw. es sind die letzten 7 Ziffern der Ortsnetz-Rufnummer

Das war mal so, ist aber schon seit Jahren nicht mehr der Fall.
Meine ID von 2007 oder so hat rein gar nix mit der Rufnummer zu tun, von Bekannten die auch ned.

Allgemein bleibe ich dabei: Man sollte sich trotzdem gut überlegen ob`s wirklich ein eigener Server sein muss. Im Endeffekt sehe ich hier die alleinige Schuld beim Betreiber.
Klar, die Änderung des Sip-PWs kann Schadensbegrenzung leisten. Aber ich kenne Leute (damit spreche ich nicht den Threadersteller an) die wurden mehrmals "gehackt" und lernen einfach nicht dazu bzw. machen blind dort weiter wo sie angefangen haben.
 
ehm gab es wieder ein Update, was ich verpasst habe? Seit wann kann man denn bitte das PW ändern? Ging das schon immer? Haben wir alle es übersehen?:confused:

Update: Entweder habe ich Halo's oder SIPgate bastelt wirklich gerade an der Passwort-ändern Funktion. Ich könnt schwören, dass ich einen entsprechnden Eintrag hatte im Web heutmorgen. Nu find ich ihn net mehr. :(
 
Zuletzt bearbeitet:
Doch nicht geirrt... ohne viel Trarraaa hat SIPgate ne Änderungsmöglichkeit für das SIP-Kennwort eingebaut. Login > Einstellungen > Übersicht... Nice!
 
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.