Racconto la mia esperienza, magari può essere utile a qualcuno: premetto che ho sempre dato fiducia a questo brand per il rapporto qualità/prezzo per cui non è una critica ai loro prodotti.
Ad inizio anno ho installato a casa dei miei, dopo che Tim ha finalmente attivato la FTTc a seguito della copertura di zona, un classico Router Tp-link Archer VR1210v, per non fargli spendere un capitale.
Ho configurato l'account VoIP del numero di Telefono Tim con le credenziali e i parametri forniti, tutto funzionava perfettamente, password complessa di 12 caratteri sulla rete WiFi e username (admin disattivato) e password complessa per l'amministrazione del dispositivo, la cosa che ho fatto diversamente dalle best practice sulla sicurezza è stata l'apertura dell'amministrazione dispositivo verso internet in https, questo per poter monitorare nei giorni successivi lo stato della linea e poter effettuare modifiche di configurazioni da remoto se necessario, me ne sono poi dimenticato per cui non l'ho disattivata.
A distanza di qualche mese nei giorni scorsi è arrivata una comunicazione da parte di Tim riguardo a traffico anomalo verso paesi extra europei (Nicaragua, Guatemala) partiti dalla linea di case dei miei, per cui hanno bloccato la possibilità di effettuare chiamate internazionali, l'ammontare di queste chiamate sarebbe stato di più di 500 euro.
Ovviamente abbiamo fatto denuncia ai carabinieri, inviato la documentazione richiesta da Tim e queste chiamate non verranno così fatturate ai miei, la cosa che mi lascia nel dubbio è quale exploit abbiano potuto utilizzare per reindirizzare chiamate VoIP esterne verso la numerazione VoIP registrata sul router, ho riguardato la configurazione e non erano presenti modifiche impostate da terzi, ad esempio port forwarding delle porte voip da internet, per cui escludo che qualcuno possa essere entrato in configurazione attraverso l'interfaccia web dopo che è stata violata la password, il firmware caricato è l'ultimo reso disponibile, potrebbero avere utilizzato una qualche vulnerabilità ancora non nota a Tp-link?
Router Tp-Link hackerato
- TP-Link
Grazie per la segnalazione,
ha per caso scritto al supporto tecnico in merito a questa problematica?
Non ci risulta una vulnerabilità per la parte di gestione remota, avevate configurato anche una ACL lato WAN?
Ad ogni modo, lato nostro, siamo già al lavoro per introdurre ulteriori ACL per l'esterno e nascondere la password Voip a seguito richiesta di numerosi ISP/WISP nostri partner.
Grazie
Supporto Tecnico TP-Link
[cancellato]
Se in qualche modo ottengono le credenziali VoIP possono usarle per chiamare - entro certi limiti - per registrarsi e chiamare anche senza passare per il tuo router. Se è successo bisogna capire come - se in qualche modo compromettendo il router dall'esterno, o dall'interno.
[cancellato] per registrarsi e chiamare anche senza passare per il tuo router
se il provider ha implementato bene le policy questo non deve essere possibile.
Tim nella tratta verso utente cripta il voip o semplicemente lo trasporta solo separato dal resto del traffico ?
[cancellato]
simonebortolin a implementato bene le policy questo non deve essere possibile.
O lo bindano solo al tuo IP del momento, tenendo conto di ogni cambiamento di IP, o se è accessibile da qualsiasi IP sulla loro rete - o parte della loro rete - è possibile, specialmente per quelli che permettono registrazioni multiple. C'è un motivo per il quale gli ISP ti affibbiano la responsabilità delle password SIP quando le richiedi.
Poi occorrerebbe sapere da dove le chiamate sono effettivamente partite, ma quello lo sa solo chi ha accesso ai log del server SIP.
juststupid Tim nella tratta verso utente cripta il voip o semplicemente lo trasporta solo separato dal resto del traffico ?
Se il traffico non usa TLS non è cifrato, e se la connessione non usa una VLAN separata viaggia assieme al resto del traffico.
simonebortolin Tim dovrebbe aver limitato l'autenticazione VoIP per il numero di telefono esclusivamente sulla linea dal quale deve uscire, almeno spero, altrimenti con le credenziali in possesso chiunque potrebbe ancora utilizzare il loro numero
TP-Link_Italia_Support Buonasera e grazie per la risposta, non sono state configurate ACL lato WAN non avendo un IP statico dal quale poter accedere, per ora ho disattivato velocemente da fuori rete la gestione remota e cambiato la password di accesso, dovrò recarmi direttamente da loro nei prossimi giorni per fare altre verifiche anche sui log e fare un reset per sicurezza, ci sono delle informazioni da inviare che potrebbero essere utili prima di reimpostare il router?
- TP-Link
Cortesemente ci scriva direttamente a questo indirizzo: smb.support.it@tp-link.com
Grazie
[cancellato]
gdemis Tim dovrebbe aver limitato l'autenticazione VoIP per il numero di telefono esclusivamente sulla linea dal quale deve uscire, almeno spero
Il problema è identificare la "linea" sul server SIP. VoIP funziona su IP, non è che c'è un cavo dedicato. Non che non si possano fare configurazioni sofisticate che validano l'origine oltre a user/password, ma se ci sono pure di mezzo IP dinamici è anche più complesso.
[cancellato] Quindi per sicurezza dovrei chiedere a Tim lo modifica delle credenziali di registrazione SIP per il numero di telefono di casa?
[cancellato]
Dovrebbero anche averlo già fatto, se non l'hanno fatto sarebbe assai utile chiedere di cambiare la password. Poi bisogna vedere se sono state violate le credenziali o no.
[cancellato]
[cancellato] Snì, potrebbero comunque controllare la "porta"/circuito virtuale da dove provieni all'atto della registrazione... le possibilità volendo ci sarebbero.
[cancellato]
- Modificato
Certamente - ma per supportare qualsiasi client VoIP che invia solo l'autenticazione standard devi mappare in qualche modo l'origine del messaggio SIP con i dati di autenticazione che desideri - non che non si possa fare, come già detto, ma richiede di aggiungere tutto un layer apposito. E non devi interrompergli troppo il servizio quando i dati cambiano. Magari lo fanno, non lo so, mai provato VoIP con TIM 
Ho sentito l'assistenza di Tim e l'operatrice mi ha detto che la Sipkey non è modificabile se non cambiando numero di telefono, per cui o Tim ha impostato un filtro di autenticazione Sip sulla linea in uscita, oppure se i dati di autenticazione sono stati trafugati chiunque potrà configurarsi esternamente l'account del loro numero di telefono, un bel dilemma.
[cancellato]
- Modificato
gdemis Sicuramente al call center non avranno le procedure per farlo, ma probabilmente "scavalcandoli" e parlando direttamente con i tecnici forse qualche arma in più ce l'hanno... prova con lo stesso contatto con cui hai discusso dell'abuso di chiamate oppure il già emerso nel forum abuse@retail.telecomitalia.it, alla peggio ti rispondono picche 
[cancellato]
massie comunque la cosa non è vera
Mi spiace smentire le tue certezze: la configurazione del numero aggiuntivo forza la rigenerazione della SIP key del principale.
In generale la SIP key non è modificabile da cruscotto operatore, non ho mai approfondito ma presumo lo sia a basso livello. In ogni caso non so se l'ingaggio delll'Abuse - per quanto apparentemente legittimo - sia la strada più proficua.
Per il resto confermo che l'autenticazione VoIP è vincolata alla technical key (apparato e porta) della linea.