[AsteriskBrasil] Asterisk e suas Ameaças

Rodrigo Lang rodrigoferreiralang em gmail.com
Quinta Agosto 15 22:18:38 BRT 2013 

Fala Sylvio, beleza cara?

Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É
uma ferramente útil, mas ainda é necessário utilizar outras formas de
segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
cuidadosamente configurado.

Configurações de manager, apache e banco de dados também são muitas vezes
esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
notado no mercado, como no caso citado, com configurações padrões.

Vale lembrar que toda segurança é importante. A ameaça pode não estar do
lado externo da empresa. Usuários mal intencionados também devem ser
levados em conta. Sem contar que se alguém conseguir acesso a outro
servidor da empresa e por meio deste conseguir acesso a rede interna,
também poderá fazer um estrago feio...

Já me deparei com ataques ao Manager e SSH, mas da maneira que você
descreveu nunca. Valeu por compartilhar sua experiência.


At,


Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck <
sylvio.jollenbeck em gmail.com> escreveu:

> Pessoal, boa noite.
>
>    Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
> Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
> serviço ativo o Asterisk começou a sofrer tentativas de autenticação.
>
>    Bom, o que me chamou a atenção é que o "meu" destemido aspirante a
> invasor usou diversas técnicas diferentes, sendo:
>
>     1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
> enviava uma tentativa de autenticação. A tentativa se baseada em enviar
> extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
> mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o
> negócio mudou, o dicionário começou a ser usado.
>
>    Ops! A partir desse momento comecei a pensar................ será mesmo
> um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!
>
>     2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
> autenticação por um determinado IP, notei que comecei a receber novas
> tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
> continuei acompanhando, minha curiosidade em ver até onde o camarada era
> persistente foi maior do que o meu senso critico em dropar. Afinal de
> contas esse Asterisk ainda não esta ligado a nenhuma operadora de
> telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
> incomunicável.
>
>     3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
> Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
> tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
> de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).
>
>      4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager
> começou a ser atacado, outros serviços agregados também começaram a ser
> ameaçados, tais como: Apache, SSH e principalmente o MySQL.
>
> Bom, após 1 hora monitorando e observando posso concluir que o camarada
> não era um aspirante e sim um profissional muito cauteloso. O que me leva a
> crer nisso são os fatos:
>
> a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
> tranquilamente muitos fail2ban por ai.
> b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
> dificulta em muito sua real localização.
> c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
> ai...bingo, estrago feito.
> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>
> Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo,
> resolvi praticar também....
> Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
> de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
> cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
> acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
> quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
> sacanear o coitado, então enviei um e-mail para ele (empresa onde o
> servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.
>
> Diante de tudo isso, espero que essa experiência sirva para alertar a
> todos o quão fragilizado estamos aos inúmeros tipos de ataque.
>
> Abs,
>
> --
> Sylvio Jollenbeck
> www.hosannatecnologia.com.br
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
Rodrigo Lang
http://openingyourmind.wordpress.com/
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130815/5b1cb3cb/attachment.htm

Mais detalhes sobre a lista de discussão AsteriskBrasil