[AsteriskBrasil] Asterisk e suas Ameaças

Sylvio Jollenbeck sylvio.jollenbeck em gmail.com
Sexta Agosto 16 22:44:05 BRT 2013


Pessoal,

   Fico contente com colaboração de cada um de vocês, acredito que se mais
pessoas puder compartilhar as informações e dizer como se protegeram, essas
informações vão ajudar os mais novatos a se protegerem também.

Abs,



Em 16 de agosto de 2013 18:37, Hudson Cardoso
<hudsoncardoso em hotmail.com>escreveu:

>    Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um
> cliente meu que sofreu
> um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa,
> com login e senha, onde o cara
> ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2
> funcionarios, um foi demitido,
> mas a senha nao foi alterada, e o cara distribuiu a senha ...
> resultado, na epoca 80 mil de preju.
>
>
> Hudson
> (048) 8413-7000
> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>
>
>
> ------------------------------
> Date: Fri, 16 Aug 2013 13:27:34 -0400
> From: marciorp em gmail.com
> To: asteriskbrasil em listas.asteriskbrasil.org
> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
>
>
> Ola Sylvio, obrigado pelo compartilhamento!
>
> Isso é fruto da quantidade absurda de "profissionais" no mercado fazendo
> mer**, coisa que tenho repetido várias vezes aqui na lista.
>
> Apesar de não concordar em expor o servidor diretamente a net, pelo que
> relatou, o seu estava bem configurado. Infelizmente isso é exceção.
>
> A maioria dos "profissionais" simplesmente instala o linux, sem nem saber
> o que está sendo instalando e quais os serviços estão rodando. Depois
> instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no
> default. Pronto, tá feito a mer**.
>
> É impressionante a quantidade de sistemas vulneráveis encontrados na Net,
> totalmente expostos.
>
> Já monitorei tentativas de ataque bastante complexas e elaboradas, em
> grande escala, visto que temos sistemas de grande porte transportando
> diretamente pela Net.
>
> De centenas de ataques, pouquíssimos representaram algum risco para esses
> sistemas, normalmente foram parados no máximo no terceiro ou quarto nível.
> Mas a grande maioria seria suficientes para comprometer sistemas expostos
> diretamente, e pior ainda, se estivessem mal configurados.
>
> Já vi casos de empresas que só descobriram que tinham sido comprometidas
> porque a telecom avisou que estavam ocorrendo picos anormais de utilização
> nos canais E1 de terminação. No final, acabaram tendo que pagar a conta,
> bem salgada por sinal, toda equipe interna foi demitida e a empresa
> responsável pelo Asterisk processada.
>
> Essa mesma empresa que foi responsável pelo "serviço" continua posando de
> especialista e fazendo mer** em outros clientes, os "profissionais" são
> competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.
>
> Conseguimos identificar a origem do ataque, aqui do país mesmo, mais
> infelizmente pelas rotas internacionais usadas para ofuscamento, não
> conseguimos reunir informação consistentes o suficiente para levar o caso a
> justiça, ainda mais aqui, com juízes que mal sabem o que é computador.
>
> Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o
> Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos
> tentativas bem articuladas.
>
>
> [...]'s
>
> Marcio
>
> ========================================
> ########### Campanha Ajude o Marcio! ###########
> http://sosmarcio.blogspot.com.br/
> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
> ========================================
>
>
> Em 15 de agosto de 2013 21:18, Rodrigo Lang <rodrigoferreiralang em gmail.com
> > escreveu:
>
> Fala Sylvio, beleza cara?
>
> Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban.
> É uma ferramente útil, mas ainda é necessário utilizar outras formas de
> segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
> cuidadosamente configurado.
>
> Configurações de manager, apache e banco de dados também são muitas vezes
> esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
> notado no mercado, como no caso citado, com configurações padrões.
>
> Vale lembrar que toda segurança é importante. A ameaça pode não estar do
> lado externo da empresa. Usuários mal intencionados também devem ser
> levados em conta. Sem contar que se alguém conseguir acesso a outro
> servidor da empresa e por meio deste conseguir acesso a rede interna,
> também poderá fazer um estrago feio...
>
> Já me deparei com ataques ao Manager e SSH, mas da maneira que você
> descreveu nunca. Valeu por compartilhar sua experiência.
>
>
> At,
>
>
> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck <
> sylvio.jollenbeck em gmail.com> escreveu:
>
>  Pessoal, boa noite.
>
>    Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
> Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
> serviço ativo o Asterisk começou a sofrer tentativas de autenticação.
>
>    Bom, o que me chamou a atenção é que o "meu" destemido aspirante a
> invasor usou diversas técnicas diferentes, sendo:
>
>     1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
> enviava uma tentativa de autenticação. A tentativa se baseada em enviar
> extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
> mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o
> negócio mudou, o dicionário começou a ser usado.
>
>    Ops! A partir desse momento comecei a pensar................ será mesmo
> um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!
>
>     2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
> autenticação por um determinado IP, notei que comecei a receber novas
> tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
> continuei acompanhando, minha curiosidade em ver até onde o camarada era
> persistente foi maior do que o meu senso critico em dropar. Afinal de
> contas esse Asterisk ainda não esta ligado a nenhuma operadora de
> telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
> incomunicável.
>
>     3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
> Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
> tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
> de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).
>
>      4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager
> começou a ser atacado, outros serviços agregados também começaram a ser
> ameaçados, tais como: Apache, SSH e principalmente o MySQL.
>
> Bom, após 1 hora monitorando e observando posso concluir que o camarada
> não era um aspirante e sim um profissional muito cauteloso. O que me leva a
> crer nisso são os fatos:
>
> a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
> tranquilamente muitos fail2ban por ai.
> b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
> dificulta em muito sua real localização.
> c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
> ai...bingo, estrago feito.
> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>
> Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo,
> resolvi praticar também....
> Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
> de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
> cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
> acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
> quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
> sacanear o coitado, então enviei um e-mail para ele (empresa onde o
> servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.
>
> Diante de tudo isso, espero que essa experiência sirva para alertar a
> todos o quão fragilizado estamos aos inúmeros tipos de ataque.
>
> Abs,
>
> --
> Sylvio Jollenbeck
> www.hosannatecnologia.com.br
>
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
>
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
>
> --
> Rodrigo Lang
> http://openingyourmind.wordpress.com/
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
>
>
> _______________________________________________ KHOMP: completa linha de
> placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP
> com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP.
> Conhe�a em www.Khomp.com. _______________________________________________
> ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank �
> Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________ Para remover seu email
> desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em
> www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para
> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>



-- 
Sylvio Jollenbeck
www.hosannatecnologia.com.br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://listas.asteriskbrasil.org/pipermail/asteriskbrasil/attachments/20130816/482db6d3/attachment-0001.htm 


Mais detalhes sobre a lista de discussão AsteriskBrasil