<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 12pt;
font-family:Calibri
}
--></style></head>
<body class='hmmessage'><div dir='ltr'><font face="Arial" size="3" style="font-size:12pt;"> Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreu</font><div><font face="Arial" size="3" style="font-size:12pt;">um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o cara</font></div><div><font face="Arial" size="3" style="font-size:12pt;">ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao </font><span style="font-size: 12pt; font-family: Arial;">de 2 funcionarios, um foi demitido,</span></div><div><span style="font-size: 12pt; font-family: Arial;">mas a senha nao foi alterada, e o cara distribuiu a senha ...</span></div><div><font face="Arial" size="3" style="font-size:12pt;">resultado, na epoca 80 mil de preju.</font></div><div><br><br><pre style="line-height:17px;white-space:normal;color:rgb(42, 42, 42);background-color:rgb(255, 255, 255)">Hudson <br>(048) 8413-7000<br>Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. </pre><br><br><div><hr id="stopSpelling">Date: Fri, 16 Aug 2013 13:27:34 -0400<br>From: marciorp@gmail.com<br>To: asteriskbrasil@listas.asteriskbrasil.org<br>Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças<br><br><div dir="ltr"><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Ola Sylvio, obrigado pelo compartilhamento!</div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Isso é fruto da quantidade absurda de "profissionais" no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">A maioria dos "profissionais" simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Essa mesma empresa que foi responsável pelo "serviço" continua posando de especialista e fazendo mer** em outros clientes, os "profissionais" são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador.</div>
<div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;"><br></div><div class="ecxgmail_default" style="font-family:arial,helvetica,sans-serif;">Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas.</div>
</div><div class="ecxgmail_extra"><br clear="all"><div><div dir="ltr"><br>[...]'s<br><br>Marcio<div><br></div><div><div style="font-family:arial;font-size:small;">========================================</div><div style="font-family:arial;font-size:small;">
########### Campanha Ajude o Marcio! ###########</div><div style="font-family:arial;font-size:small;"><a href="http://sosmarcio.blogspot.com.br/" style="color:rgb(17,85,204);" target="_blank">http://sosmarcio.blogspot.com.br/</a></div>
<div style="font-family:arial;font-size:small;"><a href="http://www.vakinha.com.br/VaquinhaP.aspx?e=195793" style="color:rgb(17,85,204);" target="_blank">http://www.vakinha.com.br/VaquinhaP.aspx?e=195793</a><br></div><div style="font-family:arial;font-size:small;">
========================================</div></div></div></div>
<br><br><div class="ecxgmail_quote">Em 15 de agosto de 2013 21:18, Rodrigo Lang <span dir="ltr"><<a href="mailto:rodrigoferreiralang@gmail.com" target="_blank">rodrigoferreiralang@gmail.com</a>></span> escreveu:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">
<div dir="ltr">Fala Sylvio, beleza cara?<div><br></div><div>Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado.</div>
<div><br></div><div>Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões.</div>
<div><br></div><div>Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio...</div>
<div><br></div><div>Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência.</div><div><br></div><div><br></div><div>At,</div></div><div class="ecxgmail_extra">
<br><br><div class="ecxgmail_quote">Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck <span dir="ltr"><<a href="mailto:sylvio.jollenbeck@gmail.com" target="_blank">sylvio.jollenbeck@gmail.com</a>></span> escreveu:<br><blockquote class="ecxgmail_quote" style="border-left:1px #ccc solid;padding-left:1ex;">
<div><div class="h5">
<div dir="ltr">Pessoal, boa noite.<div><br></div><div> Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação.</div>
<div><br></div><div> Bom, o que me chamou a atenção é que o "meu" destemido aspirante a invasor usou diversas técnicas diferentes, sendo:</div><div><br></div><div> 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200.... Depois o negócio mudou, o dicionário começou a ser usado.</div>
<div><br></div><div> Ops! A partir desse momento comecei a pensar................ será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!</div><div><br></div><div> 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável.</div>
<div><br></div><div> 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).</div>
<div><br></div><div> 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL.</div>
<div><br></div><div>Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos:</div><div><br></div><div>a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai.</div>
<div>b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização.</div><div>c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito.</div>
<div>d. O que mais me chamou a atenção foi o ataque ao MySQL.</div><div><br></div><div>Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também.... </div><div>Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. </div>
<div><br></div><div>Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque.</div><div><br></div><div>Abs,</div><span><font color="#888888"><div>
<div><br></div>-- <br><span style="font-family:trebuchet ms,sans-serif;">Sylvio Jollenbeck<br>
<font size="1"><a href="http://www.hosannatecnologia.com.br/" target="_blank">www.hosannatecnologia.com.br</a></font></span><br><img><br>
</div></font></span></div>
<br></div></div><div class="ecxim">_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br></div>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<div class="ecxim"><br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org" target="_blank">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></div>
</blockquote></div><span class="ecxHOEnZb"><font color="#888888">
<br><br clear="all"><div><br></div>-- <br>Rodrigo Lang<div><a href="http://openingyourmind.wordpress.com/" target="_blank">http://openingyourmind.wordpress.com/</a><br></div>
</font></span></div>
<br>_______________________________________________<br>
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;<br>
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;<br>
Intercomunicadores para acesso remoto via rede IP. Conheça em <a href="http://www.Khomp.com" target="_blank">www.Khomp.com</a>.<br>
_______________________________________________<br>
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.<br>
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.<br>
Channel Bank – Appliance Asterisk - Acesse <a href="http://www.aligera.com.br" target="_blank">www.aligera.com.br</a>.<br>
_______________________________________________<br>
Para remover seu email desta lista, basta enviar um email em branco para <a href="mailto:asteriskbrasil-unsubscribe@listas.asteriskbrasil.org">asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</a><br></blockquote></div>
<br></div>
<br>_______________________________________________
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
_______________________________________________
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
_______________________________________________
Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscribe@listas.asteriskbrasil.org</div></div> </div></body>
</html>