[AsteriskBrasil] Asterisk e suas Ameaças
sergio
sergio em inbox.com
Domingo Agosto 18 00:22:38 BRT 2013
Eu tenho visto muitas fraudes com Elastix.
O Invasor consegue acesso a Interface do FreePBX e cria Ramal lá e alteta para uma rota Internacional.
No Final tudo isso é ligado a uma Fraude Internacional de Interconexão pois quando você vai ouvir os audios dá pra notar que é apenas audios gravados e que não é uma pessoa falando.
E quando mais Canais você tiver em seu tronco de saída maior é o problema!!!
O negócio está tão preocupante que algumas empresas estão desenvolvendo módulos Anti Fraude para o Asterisk dos seus clientes de VoIP.
> -----Original Message-----
> From: wushumasters em gmail.com
> Sent: Sat, 17 Aug 2013 22:40:43 -0300
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
>
> Bem interessante Sylvio
>
> Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo
> mesmo na época pois não tinha o conhecimento que tenho hoje (claro que
> não chega ainda aos pés de vocês)
>
> Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal
> deixa tudo no default ou pega os enlatados e sai usando
>
> Talvez fazer uma wiki de segurança seria interessante e assim poderemos
> compartilhar os nossos bloqueios e tentar chegar em algo proximo de
> perfeito (claro que nunca será)
>
> Bom é isso aí
>
> Obrigado Sylvio mais um vez
>
> Patrick
>
> Em 17-08-2013 04:43, Deivison Moraes escreveu:
>> É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
>> me deparei várias vezes com ataques em asterisks também, e até mesmo
>> ataques em ATA FXO que com senha forte porem com ip válido, o atacante
>> conseguiu efetuar várias ligações < 1 minuto. Fui obrigado a colocar ip
>> inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
>> e não dar sorte pro azar.
>>
>>
>>
>> []'s
>>
>> Deivison Moreas
>>
>>
>> Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
>>> Pessoal,
>>>
>>> Fico contente com colaboração de cada um de vocês, acredito que se
>>> mais pessoas puder compartilhar as informações e dizer como se
>>> protegeram, essas informações vão ajudar os mais novatos a se
>>> protegerem também.
>>>
>>> Abs,
>>>
>>>
>>> Em 16 de agosto de 2013 18:37, Hudson Cardoso
>>> <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>>
>>> escreveu:
>>>
>>> Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
>>> teve um cliente meu que sofreu
>>> um ataque , mas foi de funcionario interno mesmo, eles tinham uma
>>> disa, com login e senha, onde o cara
>>> ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
>>> de 2 funcionarios, um foi demitido,
>>> mas a senha nao foi alterada, e o cara distribuiu a senha ...
>>> resultado, na epoca 80 mil de preju.
>>>
>>>
>>> Hudson
>>> (048) 8413-7000
>>> Para quem nao cre, nenhuma prova converte,Para aquele que cre,
>>> nenhuma prova precisa.
>>>
>>>
>>>
>>>
>>> ------------------------------------------------------------------------
>>> Date: Fri, 16 Aug 2013 13:27:34 -0400
>>> From: marciorp em gmail.com <mailto:marciorp em gmail.com>
>>> To: asteriskbrasil em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>>> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
>>>
>>>
>>> Ola Sylvio, obrigado pelo compartilhamento!
>>>
>>> Isso é fruto da quantidade absurda de "profissionais" no mercado
>>> fazendo mer**, coisa que tenho repetido várias vezes aqui na
>>> lista.
>>>
>>> Apesar de não concordar em expor o servidor diretamente a net,
>>> pelo que relatou, o seu estava bem configurado. Infelizmente isso
>>> é exceção.
>>>
>>> A maioria dos "profissionais" simplesmente instala o linux, sem
>>> nem saber o que está sendo instalando e quais os serviços estão
>>> rodando. Depois instala o Asterisk com receitas de bolo, deixando
>>> tudo, ou quase tudo, no default. Pronto, tá feito a mer**.
>>>
>>> É impressionante a quantidade de sistemas vulneráveis encontrados
>>> na Net, totalmente expostos.
>>>
>>> Já monitorei tentativas de ataque bastante complexas e elaboradas,
>>> em grande escala, visto que temos sistemas de grande porte
>>> transportando diretamente pela Net.
>>>
>>> De centenas de ataques, pouquíssimos representaram algum risco
>>> para esses sistemas, normalmente foram parados no máximo no
>>> terceiro ou quarto nível. Mas a grande maioria seria suficientes
>>> para comprometer sistemas expostos diretamente, e pior ainda, se
>>> estivessem mal configurados.
>>>
>>> Já vi casos de empresas que só descobriram que tinham sido
>>> comprometidas porque a telecom avisou que estavam ocorrendo picos
>>> anormais de utilização nos canais E1 de terminação. No final,
>>> acabaram tendo que pagar a conta, bem salgada por sinal, toda
>>> equipe interna foi demitida e a empresa responsável pelo Asterisk
>>> processada.
>>>
>>> Essa mesma empresa que foi responsável pelo "serviço" continua
>>> posando de especialista e fazendo mer** em outros clientes, os
>>> "profissionais" são competentíssimos, tem mais certificações do
>>> que dedos, mas nenhum know-how.
>>>
>>> Conseguimos identificar a origem do ataque, aqui do país mesmo,
>>> mais infelizmente pelas rotas internacionais usadas para
>>> ofuscamento, não conseguimos reunir informação consistentes o
>>> suficiente para levar o caso a justiça, ainda mais aqui, com
>>> juízes que mal sabem o que é computador.
>>>
>>> Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o
>>> gato o Tom, teremos cada vez mais notícias de ataques bem
>>> sucedidos ou pelo menos tentativas bem articuladas.
>>>
>>>
>>> [...]'s
>>>
>>> Marcio
>>>
>>> ========================================
>>> ########### Campanha Ajude o Marcio! ###########
>>> http://sosmarcio.blogspot.com.br/
>>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>>> ========================================
>>>
>>>
>>> Em 15 de agosto de 2013 21:18, Rodrigo Lang
>>> <rodrigoferreiralang em gmail.com
>>> <mailto:rodrigoferreiralang em gmail.com>> escreveu:
>>>
>>> Fala Sylvio, beleza cara?
>>>
>>> Então, acho que o maior erro do pessoal é confiar em excesso
>>> no fail2ban. É uma ferramente útil, mas ainda é necessário
>>> utilizar outras formas de segurança. Eu aposto sempre em
>>> utilizar senhas fortes e um firewall cuidadosamente
>>> configurado.
>>>
>>> Configurações de manager, apache e banco de dados também são
>>> muitas vezes esquecidas. Principalmente quando se falamos dos
>>> enlatados], os quais tenho notado no mercado, como no caso
>>> citado, com configurações padrões.
>>>
>>> Vale lembrar que toda segurança é importante. A ameaça pode
>>> não estar do lado externo da empresa. Usuários mal
>>> intencionados também devem ser levados em conta. Sem contar
>>> que se alguém conseguir acesso a outro servidor da empresa e
>>> por meio deste conseguir acesso a rede interna, também poderá
>>> fazer um estrago feio...
>>>
>>> Já me deparei com ataques ao Manager e SSH, mas da maneira que
>>> você descreveu nunca. Valeu por compartilhar sua experiência.
>>>
>>>
>>> At,
>>>
>>>
>>> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck
>>> <sylvio.jollenbeck em gmail.com
>>> <mailto:sylvio.jollenbeck em gmail.com>> escreveu:
>>>
>>> Pessoal, boa noite.
>>>
>>> Desejo apenas compartilhar um fato, hoje durante a tarde
>>> ativei um Asterisk em um cloud. Após 3 minutos e 24
>>> segundos (precisamente) de serviço ativo o Asterisk
>>> começou a sofrer tentativas de autenticação.
>>>
>>> Bom, o que me chamou a atenção é que o "meu" destemido
>>> aspirante a invasor usou diversas técnicas diferentes,
>>> sendo:
>>>
>>> 1a. Tentativa de Autenticação, a cada 1 minuto o destemido
>>> aspirante enviava uma tentativa de autenticação. A
>>> tentativa se baseada em enviar extensions curtas com 3, 4
>>> ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão
>>> das extension, exemplo: Ramal 200 Senha 200.... Depois o
>>> negócio mudou, o dicionário começou a ser usado.
>>>
>>> Ops! A partir desse momento comecei a
>>> pensar................ será mesmo um aspirante ou um
>>> profissional cauteloso? Vamos continuar acompanhando!
>>>
>>> 2a. Conexões por múltiplos IP, depois de enviar suas
>>> tentativas de autenticação por um determinado IP, notei
>>> que comecei a receber novas tentativas oriundas de outro
>>> IP. Hahaha, Pensei comigo TOR não vale! Mas continuei
>>> acompanhando, minha curiosidade em ver até onde o camarada
>>> era persistente foi maior do que o meu senso critico em
>>> dropar. Afinal de contas esse Asterisk ainda não esta
>>> ligado a nenhuma operadora de telecom... então, mesmo que
>>> ele obtivesse exido, ficaria em uma maquina incomunicável.
>>>
>>> 3a. Manager Asteriskl: Após alguns minutos de tentativas
>>> em cima do Asterisk, em especial no SIP. Bom, depois de
>>> tanto tempo acompanhando, me tornei amigo dele... rs,
>>> brincadeira a partes! Vi que o padrão da tentativa de
>>> ataque mudou... Comecei a ser bombardeado em cima do
>>> Manager (AMI).
>>>
>>> 4a. Serviços Agregados: Notei que ao mesmo tempo que o
>>> Manager começou a ser atacado, outros serviços agregados
>>> também começaram a ser ameaçados, tais como: Apache, SSH e
>>> principalmente o MySQL.
>>>
>>> Bom, após 1 hora monitorando e observando posso concluir
>>> que o camarada não era um aspirante e sim um profissional
>>> muito cauteloso. O que me leva a crer nisso são os fatos:
>>>
>>> a. A arte de intercalar o envio da autenticação entre 1 e
>>> 1 minuto engana tranquilamente muitos fail2ban por ai.
>>> b. O uso de multiplos IP indica que o camarada esta usando
>>> DeepNet, o que dificulta em muito sua real localização.
>>> c. Ataque ao manager, indica certo conhecimento, se
>>> tivesse acesso por ai...bingo, estrago feito.
>>> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>>>
>>> Depois de ver todas essas técnicas sendo utilizadas ao
>>> mesmo tempo, resolvi praticar também....
>>> Após snifar um pouquinho, encontrei milhares de Asterisk
>>> expostos, depois de bater no 5 servidor, estava eu quase
>>> desistindo, quando veio em minha cabeça - vai pelo
>>> mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
>>> acessar o banco de dados e ver as senhas dos ramais, nem
>>> preciso dizer o quanto foi fácil autenticar. Claro que os
>>> meus princípios não me deixaram sacanear o coitado, então
>>> enviei um e-mail para ele (empresa onde o servidor esta
>>> hospedado) alertando sobre a vulnerabilidade do sistema.
>>>
>>> Diante de tudo isso, espero que essa experiência sirva
>>> para alertar a todos o quão fragilizado estamos aos
>>> inúmeros tipos de ataque.
>>>
>>> Abs,
>>>
>>> --
>>> Sylvio Jollenbeck
>>> www.hosannatecnologia.com.br
>>> <http://www.hosannatecnologia.com.br/>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e
>>> E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça
>>> em www.Khomp.com <http://www.Khomp.com>.
>>>
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
>>> ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse
>>> www.aligera.com.br <http://www.aligera.com.br>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email
>>> em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>>
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>>
>>> --
>>> Rodrigo Lang
>>> http://openingyourmind.wordpress.com/
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com <http://www.Khomp.com>.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN
>>> e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
>>> <http://www.aligera.com.br>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em
>>> branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>> _______________________________________________ KHOMP: completa
>>> linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a
>>> 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso
>>> remoto via rede IP. Conhe�a em www.Khomp.com
>>> <http://www.Khomp.com>.
>>> _______________________________________________ ALIGERA �
>>> Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas
>>> de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank �
>>> Appliance Asterisk - Acesse www.aligera.com.br
>>> <http://www.aligera.com.br>.
>>> _______________________________________________ Para remover seu
>>> email desta lista, basta enviar um email em branco para
>>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com <http://www.Khomp.com>.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e
>>> SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
>>> <http://www.aligera.com.br>.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em
>>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>>
>>>
>>>
>>>
>>> --
>>> Sylvio Jollenbeck
>>> www.hosannatecnologia.com.br <http://www.hosannatecnologia.com.br/>
>>>
>>>
>>>
>>> _______________________________________________
>>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>>> www.Khomp.com.
>>> _______________________________________________
>>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>>> _______________________________________________
>>> Para remover seu email desta lista, basta enviar um email em branco
>>> para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
____________________________________________________________
FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks & orcas on your desktop!
Check it out at http://www.inbox.com/marineaquarium
Mais detalhes sobre a lista de discussão AsteriskBrasil