[AsteriskBrasil] Asterisk e suas Ameaças
Patrick El Youssef
wushumasters em gmail.com
Sábado Agosto 17 22:40:43 BRT 2013
Bem interessante Sylvio
Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo
mesmo na época pois não tinha o conhecimento que tenho hoje (claro que
não chega ainda aos pés de vocês)
Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal
deixa tudo no default ou pega os enlatados e sai usando
Talvez fazer uma wiki de segurança seria interessante e assim poderemos
compartilhar os nossos bloqueios e tentar chegar em algo proximo de
perfeito (claro que nunca será)
Bom é isso aí
Obrigado Sylvio mais um vez
Patrick
Em 17-08-2013 04:43, Deivison Moraes escreveu:
> É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
> me deparei várias vezes com ataques em asterisks também, e até mesmo
> ataques em ATA FXO que com senha forte porem com ip válido, o atacante
> conseguiu efetuar várias ligações < 1 minuto. Fui obrigado a colocar ip
> inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
> e não dar sorte pro azar.
>
>
>
> []'s
>
> Deivison Moreas
>
>
> Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
>> Pessoal,
>>
>> Fico contente com colaboração de cada um de vocês, acredito que se
>> mais pessoas puder compartilhar as informações e dizer como se
>> protegeram, essas informações vão ajudar os mais novatos a se
>> protegerem também.
>>
>> Abs,
>>
>>
>> Em 16 de agosto de 2013 18:37, Hudson Cardoso
>> <hudsoncardoso em hotmail.com <mailto:hudsoncardoso em hotmail.com>> escreveu:
>>
>> Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
>> teve um cliente meu que sofreu
>> um ataque , mas foi de funcionario interno mesmo, eles tinham uma
>> disa, com login e senha, onde o cara
>> ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
>> de 2 funcionarios, um foi demitido,
>> mas a senha nao foi alterada, e o cara distribuiu a senha ...
>> resultado, na epoca 80 mil de preju.
>>
>>
>> Hudson
>> (048) 8413-7000
>> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa.
>>
>>
>>
>> ------------------------------------------------------------------------
>> Date: Fri, 16 Aug 2013 13:27:34 -0400
>> From: marciorp em gmail.com <mailto:marciorp em gmail.com>
>> To: asteriskbrasil em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil em listas.asteriskbrasil.org>
>> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
>>
>>
>> Ola Sylvio, obrigado pelo compartilhamento!
>>
>> Isso é fruto da quantidade absurda de "profissionais" no mercado
>> fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.
>>
>> Apesar de não concordar em expor o servidor diretamente a net,
>> pelo que relatou, o seu estava bem configurado. Infelizmente isso
>> é exceção.
>>
>> A maioria dos "profissionais" simplesmente instala o linux, sem
>> nem saber o que está sendo instalando e quais os serviços estão
>> rodando. Depois instala o Asterisk com receitas de bolo, deixando
>> tudo, ou quase tudo, no default. Pronto, tá feito a mer**.
>>
>> É impressionante a quantidade de sistemas vulneráveis encontrados
>> na Net, totalmente expostos.
>>
>> Já monitorei tentativas de ataque bastante complexas e elaboradas,
>> em grande escala, visto que temos sistemas de grande porte
>> transportando diretamente pela Net.
>>
>> De centenas de ataques, pouquíssimos representaram algum risco
>> para esses sistemas, normalmente foram parados no máximo no
>> terceiro ou quarto nível. Mas a grande maioria seria suficientes
>> para comprometer sistemas expostos diretamente, e pior ainda, se
>> estivessem mal configurados.
>>
>> Já vi casos de empresas que só descobriram que tinham sido
>> comprometidas porque a telecom avisou que estavam ocorrendo picos
>> anormais de utilização nos canais E1 de terminação. No final,
>> acabaram tendo que pagar a conta, bem salgada por sinal, toda
>> equipe interna foi demitida e a empresa responsável pelo Asterisk
>> processada.
>>
>> Essa mesma empresa que foi responsável pelo "serviço" continua
>> posando de especialista e fazendo mer** em outros clientes, os
>> "profissionais" são competentíssimos, tem mais certificações do
>> que dedos, mas nenhum know-how.
>>
>> Conseguimos identificar a origem do ataque, aqui do país mesmo,
>> mais infelizmente pelas rotas internacionais usadas para
>> ofuscamento, não conseguimos reunir informação consistentes o
>> suficiente para levar o caso a justiça, ainda mais aqui, com
>> juízes que mal sabem o que é computador.
>>
>> Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o
>> gato o Tom, teremos cada vez mais notícias de ataques bem
>> sucedidos ou pelo menos tentativas bem articuladas.
>>
>>
>> [...]'s
>>
>> Marcio
>>
>> ========================================
>> ########### Campanha Ajude o Marcio! ###########
>> http://sosmarcio.blogspot.com.br/
>> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
>> ========================================
>>
>>
>> Em 15 de agosto de 2013 21:18, Rodrigo Lang
>> <rodrigoferreiralang em gmail.com
>> <mailto:rodrigoferreiralang em gmail.com>> escreveu:
>>
>> Fala Sylvio, beleza cara?
>>
>> Então, acho que o maior erro do pessoal é confiar em excesso
>> no fail2ban. É uma ferramente útil, mas ainda é necessário
>> utilizar outras formas de segurança. Eu aposto sempre em
>> utilizar senhas fortes e um firewall cuidadosamente configurado.
>>
>> Configurações de manager, apache e banco de dados também são
>> muitas vezes esquecidas. Principalmente quando se falamos dos
>> enlatados], os quais tenho notado no mercado, como no caso
>> citado, com configurações padrões.
>>
>> Vale lembrar que toda segurança é importante. A ameaça pode
>> não estar do lado externo da empresa. Usuários mal
>> intencionados também devem ser levados em conta. Sem contar
>> que se alguém conseguir acesso a outro servidor da empresa e
>> por meio deste conseguir acesso a rede interna, também poderá
>> fazer um estrago feio...
>>
>> Já me deparei com ataques ao Manager e SSH, mas da maneira que
>> você descreveu nunca. Valeu por compartilhar sua experiência.
>>
>>
>> At,
>>
>>
>> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck
>> <sylvio.jollenbeck em gmail.com
>> <mailto:sylvio.jollenbeck em gmail.com>> escreveu:
>>
>> Pessoal, boa noite.
>>
>> Desejo apenas compartilhar um fato, hoje durante a tarde
>> ativei um Asterisk em um cloud. Após 3 minutos e 24
>> segundos (precisamente) de serviço ativo o Asterisk
>> começou a sofrer tentativas de autenticação.
>>
>> Bom, o que me chamou a atenção é que o "meu" destemido
>> aspirante a invasor usou diversas técnicas diferentes, sendo:
>>
>> 1a. Tentativa de Autenticação, a cada 1 minuto o destemido
>> aspirante enviava uma tentativa de autenticação. A
>> tentativa se baseada em enviar extensions curtas com 3, 4
>> ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão
>> das extension, exemplo: Ramal 200 Senha 200.... Depois o
>> negócio mudou, o dicionário começou a ser usado.
>>
>> Ops! A partir desse momento comecei a
>> pensar................ será mesmo um aspirante ou um
>> profissional cauteloso? Vamos continuar acompanhando!
>>
>> 2a. Conexões por múltiplos IP, depois de enviar suas
>> tentativas de autenticação por um determinado IP, notei
>> que comecei a receber novas tentativas oriundas de outro
>> IP. Hahaha, Pensei comigo TOR não vale! Mas continuei
>> acompanhando, minha curiosidade em ver até onde o camarada
>> era persistente foi maior do que o meu senso critico em
>> dropar. Afinal de contas esse Asterisk ainda não esta
>> ligado a nenhuma operadora de telecom... então, mesmo que
>> ele obtivesse exido, ficaria em uma maquina incomunicável.
>>
>> 3a. Manager Asteriskl: Após alguns minutos de tentativas
>> em cima do Asterisk, em especial no SIP. Bom, depois de
>> tanto tempo acompanhando, me tornei amigo dele... rs,
>> brincadeira a partes! Vi que o padrão da tentativa de
>> ataque mudou... Comecei a ser bombardeado em cima do
>> Manager (AMI).
>>
>> 4a. Serviços Agregados: Notei que ao mesmo tempo que o
>> Manager começou a ser atacado, outros serviços agregados
>> também começaram a ser ameaçados, tais como: Apache, SSH e
>> principalmente o MySQL.
>>
>> Bom, após 1 hora monitorando e observando posso concluir
>> que o camarada não era um aspirante e sim um profissional
>> muito cauteloso. O que me leva a crer nisso são os fatos:
>>
>> a. A arte de intercalar o envio da autenticação entre 1 e
>> 1 minuto engana tranquilamente muitos fail2ban por ai.
>> b. O uso de multiplos IP indica que o camarada esta usando
>> DeepNet, o que dificulta em muito sua real localização.
>> c. Ataque ao manager, indica certo conhecimento, se
>> tivesse acesso por ai...bingo, estrago feito.
>> d. O que mais me chamou a atenção foi o ataque ao MySQL.
>>
>> Depois de ver todas essas técnicas sendo utilizadas ao
>> mesmo tempo, resolvi praticar também....
>> Após snifar um pouquinho, encontrei milhares de Asterisk
>> expostos, depois de bater no 5 servidor, estava eu quase
>> desistindo, quando veio em minha cabeça - vai pelo
>> mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
>> acessar o banco de dados e ver as senhas dos ramais, nem
>> preciso dizer o quanto foi fácil autenticar. Claro que os
>> meus princípios não me deixaram sacanear o coitado, então
>> enviei um e-mail para ele (empresa onde o servidor esta
>> hospedado) alertando sobre a vulnerabilidade do sistema.
>>
>> Diante de tudo isso, espero que essa experiência sirva
>> para alertar a todos o quão fragilizado estamos aos
>> inúmeros tipos de ataque.
>>
>> Abs,
>>
>> --
>> Sylvio Jollenbeck
>> www.hosannatecnologia.com.br
>> <http://www.hosannatecnologia.com.br/>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça
>> em www.Khomp.com <http://www.Khomp.com>.
>>
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2,
>> ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse
>> www.aligera.com.br <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email
>> em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>> --
>> Rodrigo Lang
>> http://openingyourmind.wordpress.com/
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN
>> e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
>> <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em
>> branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>> _______________________________________________ KHOMP: completa
>> linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a
>> 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso
>> remoto via rede IP. Conhe�a em www.Khomp.com
>> <http://www.Khomp.com>.
>> _______________________________________________ ALIGERA �
>> Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas
>> de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank �
>> Appliance Asterisk - Acesse www.aligera.com.br
>> <http://www.aligera.com.br>.
>> _______________________________________________ Para remover seu
>> email desta lista, basta enviar um email em branco para
>> asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em
>> www.Khomp.com <http://www.Khomp.com>.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br
>> <http://www.aligera.com.br>.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em
>> branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
>> <mailto:asteriskbrasil-unsubscribe em listas.asteriskbrasil.org>
>>
>>
>>
>>
>> --
>> Sylvio Jollenbeck
>> www.hosannatecnologia.com.br <http://www.hosannatecnologia.com.br/>
>>
>>
>>
>> _______________________________________________
>> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
>> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
>> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
>> _______________________________________________
>> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
>> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
>> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
>> _______________________________________________
>> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
> _______________________________________________
> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
> _______________________________________________
> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
> _______________________________________________
> Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe em listas.asteriskbrasil.org
Mais detalhes sobre a lista de discussão AsteriskBrasil