[AsteriskBrasil] Asterisk e suas Ameaças

Marcio - Google marciorp em gmail.com
Sexta Agosto 16 14:27:34 BRT 2013


Ola Sylvio, obrigado pelo compartilhamento!

Isso é fruto da quantidade absurda de "profissionais" no mercado fazendo
mer**, coisa que tenho repetido várias vezes aqui na lista.

Apesar de não concordar em expor o servidor diretamente a net, pelo que
relatou, o seu estava bem configurado. Infelizmente isso é exceção.

A maioria dos "profissionais" simplesmente instala o linux, sem nem saber o
que está sendo instalando e quais os serviços estão rodando. Depois instala
o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default.
Pronto, tá feito a mer**.

É impressionante a quantidade de sistemas vulneráveis encontrados na Net,
totalmente expostos.

Já monitorei tentativas de ataque bastante complexas e elaboradas, em
grande escala, visto que temos sistemas de grande porte transportando
diretamente pela Net.

De centenas de ataques, pouquíssimos representaram algum risco para esses
sistemas, normalmente foram parados no máximo no terceiro ou quarto nível.
Mas a grande maioria seria suficientes para comprometer sistemas expostos
diretamente, e pior ainda, se estivessem mal configurados.

Já vi casos de empresas que só descobriram que tinham sido comprometidas
porque a telecom avisou que estavam ocorrendo picos anormais de utilização
nos canais E1 de terminação. No final, acabaram tendo que pagar a conta,
bem salgada por sinal, toda equipe interna foi demitida e a empresa
responsável pelo Asterisk processada.

Essa mesma empresa que foi responsável pelo "serviço" continua posando de
especialista e fazendo mer** em outros clientes, os "profissionais" são
competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.

Conseguimos identificar a origem do ataque, aqui do país mesmo, mais
infelizmente pelas rotas internacionais usadas para ofuscamento, não
conseguimos reunir informação consistentes o suficiente para levar o caso a
justiça, ainda mais aqui, com juízes que mal sabem o que é computador.

Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o
Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos
tentativas bem articuladas.


[...]'s

Marcio

========================================
########### Campanha Ajude o Marcio! ###########
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
========================================


Em 15 de agosto de 2013 21:18, Rodrigo Lang
<rodrigoferreiralang em gmail.com>escreveu:

> Fala Sylvio, beleza cara?
>
> Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban.
> É uma ferramente útil, mas ainda é necessário utilizar outras formas de
> segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
> cuidadosamente configurado.
>
> Configurações de manager, apache e banco de dados também são muitas vezes
> esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
> notado no mercado, como no caso citado, com configurações padrões.
>
> Vale lembrar que toda segurança é importante. A ameaça pode não estar do
> lado externo da empresa. Usuários mal intencionados também devem ser
> levados em conta. Sem contar que se alguém conseguir acesso a outro
> servidor da empresa e por meio deste conseguir acesso a rede interna,
> também poderá fazer um estrago feio...
>
> Já me deparei com ataques ao Manager e SSH, mas da maneira que você
> descreveu nunca. Valeu por compartilhar sua experiência.
>
>
> At,
>
>
> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck <
> sylvio.jollenbeck em gmail.com> escreveu:
>
>> Pessoal, boa noite.
>>
>>    Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
>> Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
>> serviço ativo o Asterisk começou a sofrer tentativas de autenticação.
>>
>>    Bom, o que me chamou a atenção é que o "meu" destemido aspirante a
>> invasor usou diversas técnicas diferentes, sendo:
>>
>>     1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
>> enviava uma tentativa de autenticação. A tentativa se baseada em enviar
>> extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
>> mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o
>> negócio mudou, o dicionário começou a ser usado.
>>
>>    Ops! A partir desse momento comecei a pensar................ será
>> mesmo um aspirante ou um profissional cauteloso? Vamos continuar
>> acompanhando!
>>
>>     2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
>> autenticação por um determinado IP, notei que comecei a receber novas
>> tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
>> continuei acompanhando, minha curiosidade em ver até onde o camarada era
>> persistente foi maior do que o meu senso critico em dropar. Afinal de
>> contas esse Asterisk ainda não esta ligado a nenhuma operadora de
>> telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
>> incomunicável.
>>
>>     3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
>> Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
>> tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
>> de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).
>>
>>      4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager
>> começou a ser atacado, outros serviços agregados também começaram a ser
>> ameaçados, tais como: Apache, SSH e principalmente o MySQL.
>>
>> Bom, após 1 hora monitorando e observando posso concluir que o camarada
>> não era um aspirante e sim um profissional muito cauteloso. O que me leva a
>> crer nisso são os fatos:
>>
>> a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
>> tranquilamente muitos fail2ban por ai.
>> b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
>> dificulta em muito sua real localização.
>> c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
>> ai...bingo, estrago feito.
>> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>>
>> Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo,
>> resolvi praticar também....
>> Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
>> de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
>> cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
>> acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
>> quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
>> sacanear o coitado, então enviei um e-mail para ele (empresa onde o
>> servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.
>>
>> Diante de tudo isso, espero que essa experiência sirva para alertar a
>> todos o quão fragilizado estamos aos inúmeros tipos de ataque.
>>
>> Abs,
>>
>> --
>> Sylvio Jollenbeck
>> www.hosannatecnologia.com.br
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com.
>>
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>>
>
>
>
> --
> Rodrigo Lang
> http://openingyourmind.wordpress.com/
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130816/de858376/attachment.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil