[AsteriskBrasil] Asterisk e suas Ameaças

Hudson Cardoso hudsoncardoso em hotmail.com
Sexta Agosto 16 18:37:58 BRT 2013


   Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreuum ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o caraligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2 funcionarios, um foi demitido,mas a senha nao foi alterada, e o cara distribuiu a senha ...resultado, na epoca 80 mil de preju.

Hudson 
(048) 8413-7000
Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. 

Date: Fri, 16 Aug 2013 13:27:34 -0400
From: marciorp em gmail.com
To: asteriskbrasil em listas.asteriskbrasil.org
Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças

Ola Sylvio, obrigado pelo compartilhamento!

Isso é fruto da quantidade absurda de "profissionais" no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.

Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção.

A maioria dos "profissionais" simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**.

É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos.

Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net.

De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados.

Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada.

Essa mesma empresa que foi responsável pelo "serviço" continua posando de especialista e fazendo mer** em outros clientes, os "profissionais" são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.

Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador.

Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas.

[...]'s

Marcio
========================================
########### Campanha Ajude o Marcio! ###########http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793

========================================


Em 15 de agosto de 2013 21:18, Rodrigo Lang <rodrigoferreiralang em gmail.com> escreveu:

Fala Sylvio, beleza cara?
Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado.


Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões.


Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio...


Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência.

At,



Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck <sylvio.jollenbeck em gmail.com> escreveu:


Pessoal, boa noite.
   Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação.



   Bom, o que me chamou a atenção é que o "meu" destemido aspirante a invasor usou diversas técnicas diferentes, sendo:
    1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o negócio mudou, o dicionário começou a ser usado.



   Ops! A partir desse momento comecei a pensar................ será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!
    2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável.



    3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).



     4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL.



Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos:
a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai.


b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização.c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito.


d. O que mais me chamou a atenção foi o ataque ao MySQL.
Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também.... Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. 



Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque.
Abs,


-- 
Sylvio Jollenbeck

www.hosannatecnologia.com.br




_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




-- 
Rodrigo Langhttp://openingyourmind.wordpress.com/



_______________________________________________

KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;

Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;

Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.

_______________________________________________

ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.

Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.

Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.

_______________________________________________

Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org




_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org 		 	   		  
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130816/ffbc2a77/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil