<div>kra eu fiz um script para meus testes que verifica via string UDP a existencia de ramais em servidores remotos fiquei pasmo com tantas possibilidades, outro problema foi que eu tbm via protocolo sip enviava no meu socket para a porta sip tentativas de senhas e pegava o retorno do protocolo com isso eu sabia se a senha tava certa ou nao .... :-(</div>
<div> </div>
<div>Eu sei de softwares que varem as redes a procura de servidores SIP para pegar estas falhas e aproveitam de senhas fracas para se logarem e fazer chamadas...</div>
<div> </div>
<div>Em minha análise percebi que todos que usam Asterisk com configurações Default de sip.conf irao sofrer ataques :-(</div>
<div> </div>
<div> </div>
<div>Att,</div>
<div> </div>
<div> </div>
<div>Eng Eder de Souza<br><br></div>
<div class="gmail_quote">Em 1 de julho de 2010 09:27, jose <span dir="ltr"><<a href="mailto:jasanchez@terra.com.br">jasanchez@terra.com.br</a>></span> escreveu:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote"><br>Pessoal<br>Realmente o Alberto tem toda razao, falha humana, fiquei só monitorando o fim de semana após deletar o ramal 100iax, e foi quando notei que na troca da senha , eu tinha um ramal 100 iax e um sip (este foi criado para teste e esqueci de deleta-lo) e foi aí que vi que o safado estava saidno pelo 100 sip com senha facil, depois de deleta-lo nao houve mais ligaçoes, estou observando , nao alterie nem senha de root nem dos ramais, qualquer novidade aviso<br>
Obrigado a todos
<div>
<div></div>
<div class="h5"><br><br><br><br>Me parece que, sempre que lidamos com (in)segurança, nosso imaginário<br>nos remete às idéias literárias de William Gibson. Invasão, bugs em<br>softwares, exploração de falhas, ...eu, sinceramente, acho que não<br>
houve nada disso.<br><br>Minha teoria tem conceitos mais simples:<br>- Massive port scan procurando servidores Asterisk que aceitem<br>conexões 'à buffet';<br>- Brute force, buscando 'ramais' com senhas null, sequenciais, etc...;<br>
- No caso do José, é possível que, após a alteração da senha, o<br>'ramal' tenha continuado com a conexão ativa, o que possibilitaria<br>originar chamadas por mais algum tempo...só saberemos disso quando o<br>José responder a thread novamente.<br>
<br>Acho que nos dias de hoje, com a explosão de profissionais de revista<br>por aí, fica muito mais fácil buscar falha humana do que perder tempo<br>buscando bugs e tentando explorar falhas de segurança em software.<br>KISS.<br>
<br>--<br>Alberto Andrade<br><br><br>2010/6/11 Mario Augusto Mania <<a href="mailto:mario.mania@gmail.com" target="_blank">mario.mania@gmail.com</a>>:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Gente, acho que eh a primeira vez que escrevo a lista. Mas, devido ao<br>assunto, nao posso me calar.<br><br>
Vejam, o asterisk eh um aplicativo servidor, ou seja, ela nada mais<br>nada menos serve conexoes TCP e UDP para os aplicativo clientes (ATAS<br>e Softfone, etc..).<br><br>A pratica normal eh instalar o asterisk no linux (normalmente centos<br>
ou debian), eu porem utilizo ele no freebsd, justamente por trabalhar<br>com administracao de servidores de rede (e nao soh asterisk) tanto em<br>windows, quanto em linux e freebsd. A escolha do FreeBSD eh justamente<br>seguranca.<br>
<br>O questao da invasao, eh muito mais provavel que o invasor tenha<br>conseguido acesso ao servidor e nao necessariamente ao asterisk, e,<br>uma vez dentro do servidor, ele pode ter subido para root atraves de<br>algum rootkit, ou entao, como muitas vezes acontece, mesmo com usuario<br>
normal ele consegue ler o sip.conf ou iax.conf porque as permissoes<br>nao foram setadas corretamente.<br><br>A partir dai ele consegue usar o asterisk sem necessariamente ter<br>invadido o mesmo, e sim o servidor onde ele se encontra.<br>
<br>Eh muito comum bugs em php e apache (que muita gente usa nos<br>servidores devido ao fato de utilizar a interface web do asterisk ou o<br>FOP), ou entao de aplicativos servidores desktop como servicos de som,<br>descoberta de rede etc... etc.., servicos esses que nem deveriam estar<br>
sendo utilizados em um servidor, mas, infelizmente, muita gente<br>configura um servidor linux e instala o ambiente grafico para<br>administracao, ou seja, mais softwares instalados, mais chance de<br>bugs, mais chances de invasao.<br>
<br>Particularmente, meus servidores nao tem nada de interface grafica<br>instalada, para terem uma ideia, um servidor freebsd com asterisk,<br>tudo compilado do source, ou seja, nada instalado binario, ocupa menos<br>de 700megas no HD, porque soh instalo o necessario.<br>
<br>Desculpem pelo e-mail longo, mas espero que seja uma pequena ajuda<br>para que possamos mehorar a utilizacao dos softwares livre que tanto<br>sao difamados pela midia.<br><br>Para finalizar, cito o PESSIMO exemplo do FENIX LINUX, pra quem nao<br>
conhece eh um verdade frankstein, todo cheio de gambiarra, que vem<br>instalado nesses computadores baratos populares vendido nas casas<br>bahia e etc..<br><br>Isso eh um pessimo exemplo de uso de linux, pois mais atrapaha que ajuda.<br>
<br>Atenciosamente<br><br>Mario A. Mania<br><br>Em 11 de junho de 2010 18:58, Leandro Augusto<br><<a href="mailto:leandro.augusto@gmail.com" target="_blank">leandro.augusto@gmail.com</a>> escreveu:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote">Provavelmente ele não deve estar utilizando o username para enviar a<br>chamada. Abaixo está alguns procedimentos que o Asterisk segue ao receber<br>
uma conexão IAX, foi retirado do Voip Info. Verique se o iax.conf não possui<br>nenhum usuário sem secret, e o principal, jamais utilize o contexto default,<br>pois ali está a origem de muitos ataques.<br><br>Incoming Connections<br>
<br>When Asterisk receives an incoming IAX connection, the initial call<br>information can include a username (in the IAX2 USERNAME field) or not. In<br>addition, the incoming connection has a source IP address that Asterisk can<br>
use for authentication as well.<br><br>If a username is supplied, Asterisk does the following:<br><br>Search iax.conf for a "type=user" entry with a section name (eg [username])<br>matching the supplied username; if no matching entry is found, refuse the<br>
connection.<br>If the found entry has allow and/or deny settings, compare the IP address of<br>the caller to these lists. If the connection is not allowed, refuse the<br>connection.<br>Perform the desired secret checking (plaintext, md5 or rsa); if it fails,<br>
refuse the connection.<br>Accept the connection and send the caller to the context specified in the<br>"context" setting for this iax.conf entry.<br><br>If a username is not supplied, Asterisk does the following:<br>
<br>Search for a "type=user" entry in iax.conf with no secret specified and also<br>allow and/or deny restrictions that do not restrict the caller from<br>connecting. If such an entry is found, accept the connection, and use the<br>
name of the found iax.conf entry as the connecting username.<br>Search for a "type=user" entry in iax.conf with no secret specified and no<br>allow and/or deny restrictions at all. If such an entry is found, accept the<br>
connection. and use the name of the found iax.conf entry as the connecting<br>username.<br>Search for a "type=user" entry in iax.conf with a secret (or RSA key)<br>specified and also allow and/or deny restrictions that do not restrict the<br>
caller from connecting. If such an entry is found, attempt to authenticate<br>the caller using the specified secret or key, and if that passes, accept the<br>connection, and use the name of the found iax.conf entry as the connecting<br>
username.<br>Search for a "type=user" entry in iax.conf with a secret (or RSA key)<br>specified and no allow and/or deny restrictions at all. If such an entry is<br>found, attempt to authenticate the caller using the specified secret or key,<br>
and if that passes, accept the connection, and use the name of the found<br>iax.conf entry as the connecting username.<br><br>Em 11 de junho de 2010 16:22, Wagner <<a href="mailto:wagner@beetelecom.com.br" target="_blank">wagner@beetelecom.com.br</a>> escreveu:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote"><br>Concordo com as alternativas dos amigos, vc também pode utilizar as linhas<br>permit e deny para liberar especificamente o IP deste seu ramal 100, se o<br>
peers estiver em local fixo fica o IP,<br>Poderia também utilizar nome ao inves de numero na criação do Peer e<br>definir o 100 no dialpan direto, não sei se em soluções baseadas em Free PBX<br>isso é possivel, no asterisk puro dá , me corrijam se estiver errado.<br>
<br>Att<br>Wagner Penha<br>Bee Telecom<br><br>----- Original Message -----<br>From: Marcel - BrasilVox Telecom<br>To: <a href="mailto:asteriskbrasil@listas.asteriskbrasil.org" target="_blank">asteriskbrasil@listas.asteriskbrasil.org</a><br>
Sent: Friday, June 11, 2010 3:56 PM<br>Subject: Re: [AsteriskBrasil] invasao<br>Se o invasor está usando Brute Force em sua senha ** PS: "Mas acho<br>improvável para uma senha de 20 digitos" **<br>é fácil de localizar isto nos logs do asterisk, verifica em:<br>
/var/log/asterisk/messages ou /var/log/asterisk/full ;; caso não os tenha<br>é necessário ativar os logs!<br><br>Para ativar os logs:<br>/etc/asterisk/logger.conf<br>full => notice,warning,error,debug,verbose<br><br>NOTICE[2708] chan_iax2.c: Host xxx.xxx.xxx.xxx failed MD5 authentication<br>
for '100' ....<br><br>terá muitas linhas com este dizer, se for sempre originado do mesmo IP ;<br>bloqueie o IP dele através de iptables:<br><br>Marcel<br>BrasilVox Telecom<br><a href="http://www.brasilvox.com.br/" target="_blank">www.brasilvox.com.br</a> / <a href="http://voip.brasilvox.com.br/" target="_blank">voip.brasilvox.com.br</a><br>
019 3323 0051<br><br>Em 11/6/2010 15:38, Alex Tavares Faiotto escreveu:<br><br>Eles podem estar usando um scan, que bate todos os digtos de senha a<br>descobrir a nova, a maneira e voce pearo ip de quem esta invadindo e<br>
bloquear o mesmo.<br><br>Em 1 de junho de 2010 15:34, jose <<a href="mailto:jasanchez@terra.com.br" target="_blank">jasanchez@terra.com.br</a>> escreveu:<br>
<blockquote style="BORDER-LEFT: #ccc 1px solid; MARGIN: 0px 0px 0px 0.8ex; PADDING-LEFT: 1ex" class="gmail_quote"><br><br>Boa tarde a todos<br>Tive probelmas com invasao , entraram no meu asterisk e fizeram ligaçao<br>para slovenia, egito, etc...., bom após ter descoberto, isso se deu em um<br>
ramal numero 100 , esse ramal é IAX2, bom o que eu fiz mudei a senha do<br>ramal coloquei com 20 numeros e letras, e para minha surpresa<br>invadiram novamente. com o mesmo numero de ramal. Nao posso fechar esse<br>ramal , alugume sabe me dizer de que forma estao descobrindo a minha<br>
senha?o unico jeito que vejo é que essa pessoa descobriu a senha de root, ou<br>tem outra maneira?<br><br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>
- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>
_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de<br>Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>
______________________________________________<br>Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
</blockquote><br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de<br>Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>______________________________________________<br>
Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
<br>________________________________<br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de<br>Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>
______________________________________________<br>Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
<br>________________________________<br><br>No virus found in this incoming message.<br>Checked by AVG - <a href="http://www.avg.com/" target="_blank">www.avg.com</a><br>Version: 8.5.437 / Virus Database: 271.1.1/2931 - Release Date: 06/11/10<br>
06:35:00<br><br>________________________________<br>Estou utilizando a versão gratuita de SPAMfighter para usuários privados.<br>Foi removido 1854 emails de spam até hoje.<br>Os usuários pagantes não têm esta mensagem nos seus emails.<br>
Experimente SPAMfighter de graça agora!<br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>
- Suporte técnico local qualificado e gratuito<br>Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>
Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de<br>Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>
______________________________________________<br>Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
</blockquote><br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de<br>Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>______________________________________________<br>
Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
<br></blockquote><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>______________________________________________<br>
Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
<br></blockquote><br><br><br></div></div>--------------------------------------------------------------------------------
<div>
<div></div>
<div class="h5"><br><br><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>______________________________________________<br>
Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org" target="_blank">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a> <br>
</div></div><br>_______________________________________________<br>KHOMP: qualidade em placas de E1, GSM, FXS e FXO para Asterisk.<br>- Hardware com alta disponibilidade de recursos e qualidade KHOMP<br>- Suporte técnico local qualificado e gratuito<br>
Conheça a linha completa de produtos KHOMP em <a href="http://www.khomp.com.br/" target="_blank">www.khomp.com.br</a><br>_______________________________________________<br>Participe do I Encontro VoIPCenter, 08 a 10 de junho – Rio de Janeiro.<br>
Área de exposição, palestras e cursos de VoIP, Asterisk e Convergência de Redes.<br><a href="http://www.encontrovoipcenter.com.br/" target="_blank">http://www.encontrovoipcenter.com.br</a><br>______________________________________________<br>
Lista de discussões AsteriskBrasil.org<br><a href="mailto:AsteriskBrasil@listas.asteriskbrasil.org">AsteriskBrasil@listas.asteriskbrasil.org</a><br><a href="http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil" target="_blank">http://listas.asteriskbrasil.org/mailman/listinfo/asteriskbrasil</a><br>
</blockquote></div><br>