[AsteriskBrasil] invasao

Eder Souza eder.souza em bsd.com.br
Segunda Junho 14 12:44:52 BRT 2010


kra eu fiz um script para meus testes que verifica via string UDP a
existencia de ramais em servidores remotos fiquei pasmo com tantas
possibilidades, outro problema foi que eu tbm via protocolo sip enviava no
meu socket para a porta sip tentativas de senhas e pegava o retorno do
protocolo com isso eu sabia se a senha tava certa ou nao .... :-(

Eu sei de softwares que varem as redes a procura de servidores SIP para
pegar estas falhas e aproveitam de senhas fracas para se logarem e fazer
chamadas...

Em minha análise percebi que todos que usam Asterisk com configurações
Default de sip.conf irao sofrer ataques :-(


Att,


Eng Eder de Souza

Em 1 de julho de 2010 09:27, jose <jasanchez em terra.com.br> escreveu:

>
> Pessoal
> Realmente o Alberto tem toda razao, falha humana,  fiquei só monitorando o
> fim de semana após deletar o ramal 100iax, e foi quando notei que na troca
> da senha , eu tinha um ramal 100 iax e um sip (este foi criado para teste e
> esqueci de deleta-lo) e foi aí que vi que o safado estava saidno pelo 100
> sip com senha facil, depois de deleta-lo nao houve mais ligaçoes, estou
> observando , nao alterie nem senha de root nem dos ramais, qualquer novidade
> aviso
> Obrigado a todos
>
>
>
>
> Me parece que, sempre que lidamos com (in)segurança, nosso imaginário
> nos remete às idéias literárias de William Gibson. Invasão, bugs em
> softwares, exploração de falhas, ...eu, sinceramente, acho que não
> houve nada disso.
>
> Minha teoria tem conceitos mais simples:
> - Massive port scan procurando servidores Asterisk que aceitem
> conexões 'à buffet';
> - Brute force, buscando 'ramais' com senhas null, sequenciais, etc...;
> - No caso do José, é possível que, após a alteração da senha, o
> 'ramal' tenha continuado com a conexão ativa, o que possibilitaria
> originar chamadas por mais algum tempo...só saberemos disso quando o
> José responder a thread novamente.
>
> Acho que nos dias de hoje, com a explosão de profissionais de revista
> por aí, fica muito mais fácil buscar falha humana do que perder tempo
> buscando bugs e tentando explorar falhas de segurança em software.
> KISS.
>
> --
> Alberto Andrade
>
>
> 2010/6/11 Mario Augusto Mania <mario.mania em gmail.com>:
>
>> Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao
>> assunto, nao posso me calar.
>>
>> Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais
>> nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS
>> e Softfone, etc..).
>>
>> A pratica normal eh instalar o asterisk no linux (normalmente centos
>> ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar
>> com administracao de servidores de rede (e nao soh asterisk) tanto em
>> windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente
>> seguranca.
>>
>> O questao da invasao, eh muito mais provavel que o invasor tenha
>> conseguido acesso ao servidor e nao necessariamente ao asterisk, e,
>> uma vez dentro do servidor, ele pode ter subido para root atraves de
>> algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario
>> normal ele consegue ler o sip.conf ou iax.conf porque as permissoes
>> nao foram setadas corretamente.
>>
>> A partir dai ele consegue usar o asterisk sem necessariamente ter
>> invadido o mesmo, e sim o servidor onde ele se encontra.
>>
>> Eh muito comum bugs em php e apache (que muita gente usa nos
>> servidores devido ao fato de utilizar a interface web do asterisk ou o
>> FOP), ou entao de aplicativos servidores desktop como servicos de som,
>> descoberta de rede etc... etc.., servicos esses que nem deveriam estar
>> sendo utilizados em um servidor, mas, infelizmente, muita gente
>> configura um servidor linux e instala o ambiente grafico para
>> administracao, ou seja, mais softwares instalados, mais chance de
>> bugs, mais chances de invasao.
>>
>> Particularmente, meus servidores nao tem nada de interface grafica
>> instalada, para terem uma ideia, um servidor freebsd com asterisk,
>> tudo compilado do source, ou seja, nada instalado binario, ocupa menos
>> de 700megas no HD, porque soh instalo o necessario.
>>
>> Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda
>> para que possamos mehorar a utilizacao dos softwares livre que tanto
>> sao difamados pela midia.
>>
>> Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao
>> conhece eh um verdade frankstein, todo cheio de gambiarra, que vem
>> instalado nesses computadores baratos populares vendido nas casas
>> bahia e etc..
>>
>> Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda.
>>
>> Atenciosamente
>>
>> Mario A. Mania
>>
>> Em 11 de junho de 2010 18:58, Leandro Augusto
>> <leandro.augusto em gmail.com> escreveu:
>>
>>> Provavelmente ele não deve estar utilizando o username para enviar a
>>> chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber
>>> uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não
>>> possui
>>> nenhum usuário sem secret, e o principal, jamais utilize o contexto
>>> default,
>>> pois ali está a origem de muitos ataques.
>>>
>>> Incoming Connections
>>>
>>> When Asterisk receives an incoming IAX connection, the initial call
>>> information can include a username (in the IAX2 USERNAME field) or not.
>>> In
>>> addition, the incoming connection has a source IP address that Asterisk
>>> can
>>> use for authentication as well.
>>>
>>> If a username is supplied, Asterisk does the following:
>>>
>>> Search iax.conf for a "type=user" entry with a section name (eg
>>> [username])
>>> matching the supplied username; if no matching entry is found, refuse the
>>> connection.
>>> If the found entry has allow and/or deny settings, compare the IP address
>>> of
>>> the caller to these lists. If the connection is not allowed, refuse the
>>> connection.
>>> Perform the desired secret checking (plaintext, md5 or rsa); if it fails,
>>> refuse the connection.
>>> Accept the connection and send the caller to the context specified in the
>>> "context" setting for this iax.conf entry.
>>>
>>> If a username is not supplied, Asterisk does the following:
>>>
>>> Search for a "type=user" entry in iax.conf with no secret specified and
>>> also
>>> allow and/or deny restrictions that do not restrict the caller from
>>> connecting. If such an entry is found, accept the connection, and use the
>>> name of the found iax.conf entry as the connecting username.
>>> Search for a "type=user" entry in iax.conf with no secret specified and
>>> no
>>> allow and/or deny restrictions at all. If such an entry is found, accept
>>> the
>>> connection. and use the name of the found iax.conf entry as the
>>> connecting
>>> username.
>>> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
>>> specified and also allow and/or deny restrictions that do not restrict
>>> the
>>> caller from connecting. If such an entry is found, attempt to
>>> authenticate
>>> the caller using the specified secret or key, and if that passes, accept
>>> the
>>> connection, and use the name of the found iax.conf entry as the
>>> connecting
>>> username.
>>> Search for a "type=user" entry in iax.conf with a secret (or RSA key)
>>> specified and no allow and/or deny restrictions at all. If such an entry
>>> is
>>> found, attempt to authenticate the caller using the specified secret or
>>> key,
>>> and if that passes, accept the connection, and use the name of the found
>>> iax.conf entry as the connecting username.
>>>
>>> Em 11 de junho de 2010 16:22, Wagner <wagner em beetelecom.com.br>
>>> escreveu:
>>>
>>>>
>>>> Concordo com as alternativas dos amigos, vc também pode utilizar as
>>>> linhas
>>>> permit e deny para liberar especificamente o IP deste seu ramal 100, se
>>>> o
>>>> peers estiver em local fixo fica o IP,
>>>> Poderia também utilizar nome ao inves de numero na criação do Peer e
>>>> definir o 100 no dialpan direto, não sei se em soluções baseadas em Free
>>>> PBX
>>>> isso é possivel, no asterisk puro dá , me corrijam se estiver errado.
>>>>
>>>> Att
>>>> Wagner Penha
>>>> Bee Telecom
>>>>
>>>> ----- Original Message -----
>>>> From: Marcel - BrasilVox Telecom
>>>> To: asteriskbrasil em listas.asteriskbrasil.org
>>>> Sent: Friday, June 11, 2010 3:56 PM
>>>> Subject: Re: [AsteriskBrasil] invasao
>>>> Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho
>>>> improvável para uma senha de 20 digitos" **
>>>> é fácil de localizar isto nos logs do asterisk, verifica em:
>>>> /var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os
>>>> tenha
>>>> é necessário ativar os logs!
>>>>
>>>> Para ativar os logs:
>>>> /etc/asterisk/logger.conf
>>>> full => notice,warning,error,debug,verbose
>>>>
>>>> NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication
>>>> for '100' ....
>>>>
>>>> terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;
>>>> bloqueie o IP dele através de iptables:
>>>>
>>>> Marcel
>>>> BrasilVox Telecom
>>>> www.brasilvox.com.br / voip.brasilvox.com.br
>>>> 019 3323 0051
>>>>
>>>> Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:
>>>>
>>>> Eles podem estar usando um scan, que bate todos os digtos de senha a
>>>> descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e
>>>> bloquear o mesmo.
>>>>
>>>> Em 1 de junho de 2010 15:34, jose <jasanchez em terra.com.br> escreveu:
>>>>
>>>>>
>>>>>
>>>>> Boa tarde a todos
>>>>> Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao
>>>>> para slovenia, egito, etc...., bom após ter descoberto, isso se deu em
>>>>> um
>>>>> ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do
>>>>> ramal coloquei com 20 numeros e letras, e para minha surpresa
>>>>> invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse
>>>>> ramal , alugume sabe me dizer de que forma estao descobrindo a minha
>>>>> senha?o unico jeito que vejo é que essa pessoa descobriu a senha de
>>>>> root, ou
>>>>> tem outra maneira?
>>>>>
>>>>>
>>>>> _______________________________________________
>>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>>>> - Suporte técnico local qualificado e gratuito
>>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>>>> _______________________________________________
>>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
>>>>> de
>>>>> Redes.
>>>>> http://www.encontrovoipcenter.com.br
>>>>> ______________________________________________
>>>>> Lista de discussões AsteriskBrasil.org
>>>>> AsteriskBrasil em listas.asteriskbrasil.org
>>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>>>
>>>>
>>>>
>>>> _______________________________________________
>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>>> - Suporte técnico local qualificado e gratuito
>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>>> _______________________________________________
>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
>>>> de
>>>> Redes.
>>>> http://www.encontrovoipcenter.com.br
>>>> ______________________________________________
>>>> Lista de discussões AsteriskBrasil.org
>>>> AsteriskBrasil em listas.asteriskbrasil.org
>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>>
>>>> ________________________________
>>>>
>>>> _______________________________________________
>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>>> - Suporte técnico local qualificado e gratuito
>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>>> _______________________________________________
>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
>>>> de
>>>> Redes.
>>>> http://www.encontrovoipcenter.com.br
>>>> ______________________________________________
>>>> Lista de discussões AsteriskBrasil.org
>>>> AsteriskBrasil em listas.asteriskbrasil.org
>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>>
>>>> ________________________________
>>>>
>>>> No virus found in this incoming message.
>>>> Checked by AVG - www.avg.com
>>>> Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10
>>>> 06:35:00
>>>>
>>>> ________________________________
>>>> Estou utilizando a versão gratuita de SPAMfighter para usuários
>>>> privados.
>>>> Foi removido 1854 emails de spam até hoje.
>>>> Os usuários pagantes não têm esta mensagem nos seus emails.
>>>> Experimente SPAMfighter de graça agora!
>>>>
>>>> _______________________________________________
>>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>>> - Suporte técnico local qualificado e gratuito
>>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>>> _______________________________________________
>>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência
>>>> de
>>>> Redes.
>>>> http://www.encontrovoipcenter.com.br
>>>> ______________________________________________
>>>> Lista de discussões AsteriskBrasil.org
>>>> AsteriskBrasil em listas.asteriskbrasil.org
>>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>>> - Suporte técnico local qualificado e gratuito
>>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>>> _______________________________________________
>>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>>> Redes.
>>> http://www.encontrovoipcenter.com.br
>>> ______________________________________________
>>> Lista de discussões AsteriskBrasil.org
>>> AsteriskBrasil em listas.asteriskbrasil.org
>>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>>
>>>
>> _______________________________________________
>> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
>> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
>> - Suporte técnico local qualificado e gratuito
>> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
>> _______________________________________________
>> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
>> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
>> Redes.
>> http://www.encontrovoipcenter.com.br
>> ______________________________________________
>> Lista de discussões AsteriskBrasil.org
>> AsteriskBrasil em listas.asteriskbrasil.org
>> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>>
>>
>
>
> --------------------------------------------------------------------------------
>
>
>
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
> _______________________________________________
> KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.
> - Hardware com alta disponibilidade de recursos e qualidade KHOMP
> - Suporte técnico local qualificado e gratuito
> Conheça a linha completa de produtos KHOMP em www.khomp.com.br
> _______________________________________________
> Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.
> Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de
> Redes.
> http://www.encontrovoipcenter.com.br
> ______________________________________________
> Lista de discussões AsteriskBrasil.org
> AsteriskBrasil em listas.asteriskbrasil.org
> http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20100614/46c18f49/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil