DK-CERT: Der er angreb på IP-telefoni fra skyen

Portscanninger efter IP-telefonsystemer kom fra adresser under Amazons cloud-tjeneste. Cloud giver hackerne flere fordele, skriver Shehzad Ahmad fra DK-CERT i denne klumme.

Artikel top billede

En stribe IP-telefonisystemer blev udsat for portscanning i den forløbne måned.

Det er der ikke noget nyt i, men kilden er interessant: Portscanningerne kom fra IP-adresser, der tilhører Amazons EC2-service (Elastic Compute Cloud).

Dermed viser scanningerne, at de it-kriminelle nu også er aktive på cloud-systemer.

Der er nok ingen, der tror, at hackerne køber sig ind på cloud-tjenester. I så fald sker det i hvert fald med stjålne kreditkort.

I stedet har de sandsynligvis hacket sig ind på virtuelle servere, der tilhører kunder på EC2-systemet.

Scanner efter SIP

Scanningerne var rettet mod UDP-port 5060, som anvendes af SIP-protokollen.

De er sandsynligvis forsøg på at finde frem til IP-telefonsystemer som for eksempel open source-systemet Asterisk.

Når systemet er fundet, kan angriberen afprøve diverse sårbarheder for at få adgang til at foretage opkald på ejerens regning.

Alt sammen er lige efter bogen. Når jeg alligevel finder affæren interessant, er det på grund af cloud-vinklen.

Fordele ved cloud

Ved at bruge en cloud-baseret tjeneste får hackerne nemlig flere fordele.

For det første behøver de ikke bruge kræfter på at forklæde sig.

Angrebet kan jo kun lokaliseres til at komme fra Amazon, ikke fra hackerens private opkobling.

For det andet giver cloud hackerne adgang til et system med masser af ressourcer, både når det gælder datakraft og båndbredde.

Det kan især være interessant, hvis de vil foretage denial-of-service-angreb.

Er der grund til panik? Få svaret her

For det tredje har hackerne samme fordele som andre brugere af cloud: Systemet er fleksibelt, man kan hurtigt sætte en ny server i drift eller tage den ned.

Alligevel er der ingen grund til panik.

Når man sætter et it-system i drift, skal man forinden overveje de sikkerhedsmæssige konsekvenser.

Det gælder, uanset om det drives som en cloudtjeneste eller på ens egen infrastruktur.

Amazon tager konsekvensen

Webstedet VoIP Tech Chat har haft en mail-udveksling med Amazon om de aktuelle angreb.

Heraf fremgår det, at sagen har gjort Amazon klar over behovet for en eskaleringsproces, så firmaet hurtigere kan tage hånd om den slags problemer.

Fred Posner fra VoIP Tech Chat skriver i et blogindlæg, at flere brugere af IP-telefoni har valgt helt at blokere for al SIP-trafik fra Amazon for at undgå, at al deres båndbredde bliver slugt af angrebsforsøgene.

Jeg mener ikke, at det giver mening generelt at blokere for trafik fra cloud-tjenester, blot fordi angreb kan komme fra dem.

Men det er vigtigt, at cloud-udbyderne er hurtige til at tage affære, når deres systemer bliver misbrugt.

DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed.

DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet. DK-CERT er en tjeneste fra UNI-C, en styrelse under Undervisningsministeriet.

Shehzad Ahmad opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.

Læses lige nu

    AGITO Medical A/S

    IT Operations Lead

    Nordjylland

    Netcompany A/S

    Microsoft Operations Engineer

    Nordjylland

    Region Midtjylland

    Procesmanager til Digitalisering og It

    Midtjylland

    Quadsat ApS

    Robotics Engineer

    Fyn

    Event: Platform X 2027: Forretning, teknologi og transformation

    It-løsninger |

    Mød verdens stærkeste og mest effektive platforme der driver den digitale transformation samlet i København - og dyk ned i den nyeste teknologi.

    27 maj 2027 | Gratis deltagelse

    Navnenyt fra it-Danmark

    Pinksky har pr. 1. maj 2026 ansat Alexander Skou Henkel, 39 år,  som Rådgivende konsulent. Han skal især beskæftige sig med optimering af forretningsprocesser i Microsoft platformen. Han kommer fra en stilling som IT forretningskonsulent hos Evobis ApS. Han har tidligere beskæftiget sig med forretningsudvikling i Microsoft platformen. Nyt job
    Guardsix har pr. 1. maj 2026 ansat Louise Sara Baunsgaard som Global Marketing & Communications Director. Hun skal især beskæftige sig med at positionere virksomheden som et europæisk alternativ i en tid, hvor cybersikkerhed i høj grad handler om geopolitik. Hun kommer fra en stilling som Co-Founder og CMO hos Get BOB. Hun er uddannet Ba.ling.merc fra CBS og har desuden en Mini MBA i marketing. Hun har tidligere beskæftiget sig med marketing og kommunikation i ledende nordiske roller hos bl.a. Meta og Nets. Nyt job
    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Den danske eID-virksomhed Idura har pr. 1. april 2026 ansat Kari Lehtimäki som Country Manager. Han skal især beskæftige sig med at styrke kendskabet til Iduras løsninger i Finland samt fremme samarbejdet med økosystemet omkring det finske Trust Network. Han kommer fra en stilling som Salgschef hos Telia Finland. Han er uddannet uddannet civilingeniør (M.Sc. Tech.) og medbringer ledelse, markedsindsigt og praktisk erfaring. Han har tidligere beskæftiget sig med salg og forretningsudvikling inden for Telias trust services-forretning. Nyt job

    Kari Lehtimäki

    Den danske eID-virksomhed Idura