Алло, вас подслушивают. Появился DVRTC – легальный способ подслушивать чужие звонки

В сети появился новый учебный проект для тех, кто хочет разобраться, как ломают интернет-телефонию и видеосвязь. Разработчики намеренно сделали систему уязвимой, чтобы любой желающий мог «потренироваться» на реальных сценариях атак.

Платформа называется DVRTC (Damn Vulnerable Real-Time Communications) и представляет собой полноценную инфраструктуру для голосовой связи и WebRTC с заранее заложенными проблемами безопасности. Пользователь разворачивает систему у себя и шаг за шагом проверяет, как работают атаки и где именно происходят сбои.

В основе лежит типичный стек интернет-телефонии: Kamailio, Asterisk, rtpengine, coturn, веб-сервер и база данных. Авторы специально ослабили защиту, добавили слабые пароли, уязвимые механизмы аутентификации и открытые сервисы. В текущей версии доступен сценарий под названием pbx1 с семью практическими заданиями и двенадцатью вариантами атак.

Задания охватывают перехват сигнализации SIP, утечки данных авторизации, подбор паролей, злоупотребление медиапотоками и работу через ретрансляторы TURN. Кроме того, в системе предусмотрены уязвимости на стыке с базой данных и веб-интерфейсом, включая внедрение SQL-запросов и межсайтовые атаки.

Разработчики отдельно предупреждают: запускать DVRTC рядом с рабочими сервисами нельзя. Платформа изначально небезопасна и может открыть доступ к системе или данным. Использовать проект советуют только на изолированных машинах.

Система распространяется бесплатно для некоммерческого использования. Развернуть её можно через Docker, после чего сразу приступить к заданиям или проверить сценарии с помощью встроенных инструментов.