[AsteriskBrasil] Asterisk e suas Ameaças
Deivison Moraes
moraesdeivison em gmail.com
Sábado Agosto 17 04:43:18 BRT 2013
É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
me deparei várias vezes com ataques em asterisks também, e até mesmo
ataques em ATA FXO que com senha forte porem com ip válido, o atacante
conseguiu efetuar várias ligações < 1 minuto. Fui obrigado a colocar ip
inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
e não dar sorte pro azar.
[]'s
Deivison Moreas
Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
> Pessoal,
>
> Fico contente com colaboração de cada um de vocês, acredito que se
> mais pessoas puder compartilhar as informações e dizer como se
> protegeram, essas informações vão ajudar os mais novatos a se
> protegerem também.
>
> Abs,
>
>
> Em 16 de agosto de 2013 18:37, Hudson Cardoso
> <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>> escreveu:
>
> Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
> teve um cliente meu que sofreu
> um ataque , mas foi de funcionario interno mesmo, eles tinham uma
> disa, com login e senha, onde o cara
> ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
> de 2 funcionarios, um foi demitido,
> mas a senha nao foi alterada, e o cara distribuiu a senha ...
> resultado, na epoca 80 mil de preju.
>
>
> Hudson
> (048) 8413-7000
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> ------------------------------------------------------------------------
> Date: Fri, 16 Aug 2013 13:27:34 -0400
> From: marciorp em gmail.com <mailto:marciorp em gmail.com>
> To: asteriskbrasil em listas.asteriskbrasil.org
> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
>
>
> Ola Sylvio, obrigado pelo compartilhamento!
>
> Isso é fruto da quantidade absurda de "profissionais" no mercado
> fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.
>
> Apesar de não concordar em expor o servidor diretamente a net,
> pelo que relatou, o seu estava bem configurado. Infelizmente isso
> é exceção.
>
> A maioria dos "profissionais" simplesmente instala o linux, sem
> nem saber o que está sendo instalando e quais os serviços estão
> rodando. Depois instala o Asterisk com receitas de bolo, deixando
> tudo, ou quase tudo, no default. Pronto, tá feito a mer**.
>
> É impressionante a quantidade de sistemas vulneráveis encontrados
> na Net, totalmente expostos.
>
> Já monitorei tentativas de ataque bastante complexas e elaboradas,
> em grande escala, visto que temos sistemas de grande porte
> transportando diretamente pela Net.
>
> De centenas de ataques, pouquíssimos representaram algum risco
> para esses sistemas, normalmente foram parados no máximo no
> terceiro ou quarto nível. Mas a grande maioria seria suficientes
> para comprometer sistemas expostos diretamente, e pior ainda, se
> estivessem mal configurados.
>
> Já vi casos de empresas que só descobriram que tinham sido
> comprometidas porque a telecom avisou que estavam ocorrendo picos
> anormais de utilização nos canais E1 de terminação. No final,
> acabaram tendo que pagar a conta, bem salgada por sinal, toda
> equipe interna foi demitida e a empresa responsável pelo Asterisk
> processada.
>
> Essa mesma empresa que foi responsável pelo "serviço" continua
> posando de especialista e fazendo mer** em outros clientes, os
> "profissionais" são competentíssimos, tem mais certificações do
> que dedos, mas nenhum know-how.
>
> Conseguimos identificar a origem do ataque, aqui do país mesmo,
> mais infelizmente pelas rotas internacionais usadas para
> ofuscamento, não conseguimos reunir informação consistentes o
> suficiente para levar o caso a justiça, ainda mais aqui, com
> juízes que mal sabem o que é computador.
>
> Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o
> gato o Tom, teremos cada vez mais notícias de ataques bem
> sucedidos ou pelo menos tentativas bem articuladas.
>
>
> [...]'s
>
> Marcio
>
> ========================================
> ########### Campanha Ajude o Marcio! ###########
> http://sosmarcio.blogspot.com.br/
> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
> ========================================
>
>
> Em 15 de agosto de 2013 21:18, Rodrigo Lang
> <rodrigoferreiralang em gmail.com
> <mailto:rodrigoferreiralang em gmail.com>> escreveu:
>
> Fala Sylvio, beleza cara?
>
> Então, acho que o maior erro do pessoal é confiar em excesso
> no fail2ban. É uma ferramente útil, mas ainda é necessário
> utilizar outras formas de segurança. Eu aposto sempre em
> utilizar senhas fortes e um firewall cuidadosamente configurado.
>
> Configurações de manager, apache e banco de dados também são
> muitas vezes esquecidas. Principalmente quando se falamos dos
> enlatados], os quais tenho notado no mercado, como no caso
> citado, com configurações padrões.
>
> Vale lembrar que toda segurança é importante. A ameaça pode
> não estar do lado externo da empresa. Usuários mal
> intencionados também devem ser levados em conta. Sem contar
> que se alguém conseguir acesso a outro servidor da empresa e
> por meio deste conseguir acesso a rede interna, também poderá
> fazer um estrago feio...
>
> Já me deparei com ataques ao Manager e SSH, mas da maneira que
> você descreveu nunca. Valeu por compartilhar sua experiência.
>
>
> At,
>
>
> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck
> <sylvio.jollenbeck em gmail.com
> <mailto:sylvio.jollenbeck em gmail.com>> escreveu:
>
> Pessoal, boa noite.
>
> Desejo apenas compartilhar um fato, hoje durante a tarde
> ativei um Asterisk em um cloud. Após 3 minutos e 24
> segundos (precisamente) de serviço ativo o Asterisk
> começou a sofrer tentativas de autenticação.
>
> Bom, o que me chamou a atenção é que o "meu" destemido
> aspirante a invasor usou diversas técnicas diferentes, sendo:
>
> 1a. Tentativa de Autenticação, a cada 1 minuto o destemido
> aspirante enviava uma tentativa de autenticação. A
> tentativa se baseada em enviar extensions curtas com 3, 4
> ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão
> das extension, exemplo: Ramal 200 Senha 200.... Depois o
> negócio mudou, o dicionário começou a ser usado.
>
> Ops! A partir desse momento comecei a
> pensar................ será mesmo um aspirante ou um
> profissional cauteloso? Vamos continuar acompanhando!
>
> 2a. Conexões por múltiplos IP, depois de enviar suas
> tentativas de autenticação por um determinado IP, notei
> que comecei a receber novas tentativas oriundas de outro
> IP. Hahaha, Pensei comigo TOR não vale! Mas continuei
> acompanhando, minha curiosidade em ver até onde o camarada
> era persistente foi maior do que o meu senso critico em
> dropar. Afinal de contas esse Asterisk ainda não esta
> ligado a nenhuma operadora de telecom... então, mesmo que
> ele obtivesse exido, ficaria em uma maquina incomunicável.
>
> 3a. Manager Asteriskl: Após alguns minutos de tentativas
> em cima do Asterisk, em especial no SIP. Bom, depois de
> tanto tempo acompanhando, me tornei amigo dele... rs,
> brincadeira a partes! Vi que o padrão da tentativa de
> ataque mudou... Comecei a ser bombardeado em cima do
> Manager (AMI).
>
> 4a. Serviços Agregados: Notei que ao mesmo tempo que o
> Manager começou a ser atacado, outros serviços agregados
> também começaram a ser ameaçados, tais como: Apache, SSH e
> principalmente o MySQL.
>
> Bom, após 1 hora monitorando e observando posso concluir
> que o camarada não era um aspirante e sim um profissional
> muito cauteloso. O que me leva a crer nisso são os fatos:
>
> a. A arte de intercalar o envio da autenticação entre 1 e
> 1 minuto engana tranquilamente muitos fail2ban por ai.
> b. O uso de multiplos IP indica que o camarada esta usando
> DeepNet, o que dificulta em muito sua real localização.
> c. Ataque ao manager, indica certo conhecimento, se
> tivesse acesso por ai...bingo, estrago feito.
> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>
> Depois de ver todas essas técnicas sendo utilizadas ao
> mesmo tempo, resolvi praticar também....
> Após snifar um pouquinho, encontrei milhares de Asterisk
> expostos, depois de bater no 5 servidor, estava eu quase
> desistindo, quando veio em minha cabeça - vai pelo
> mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
> acessar o banco de dados e ver as senhas dos ramais, nem
> preciso dizer o quanto foi fácil autenticar. Claro que os
> meus princípios não me deixaram sacanear o coitado, então
> enviei um e-mail para ele (empresa onde o servidor esta
> hospedado) alertando sobre a vulnerabilidade do sistema.
>
> Diante de tudo isso, espero que essa experiência sirva
> para alertar a todos o quão fragilizado estamos aos
> inúmeros tipos de ataque.
>
> Abs,
>
> --
> Sylvio Jollenbeck
> www.hosannatecnologia.com.br
> <http://www.hosannatecnologia.com.br/>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça
> em www.Khomp.com <http://www.Khomp.com>.
>
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
> ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse
> www.aligera.com.br <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email
> em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Rodrigo Lang
> http://openingyourmind.wordpress.com/
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN
> e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
> _______________________________________________ KHOMP: completa
> linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a
> 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso
> remoto via rede IP. Conhe�a em www.Khomp.com
> <http://www.Khomp.com>.
> _______________________________________________ ALIGERA �
> Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas
> de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank �
> Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________ Para remover seu
> email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com <http://www.Khomp.com>.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
> <http://www.aligera.com.br>.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em
> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>
>
>
>
> --
> Sylvio Jollenbeck
> www.hosannatecnologia.com.br <http://www.hosannatecnologia.com.br/>
>
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
Mais detalhes sobre a lista de discussão AsteriskBrasil