Bem interessante Sylvio Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo mesmo na época pois não tinha o conhecimento que tenho hoje (claro que não chega ainda aos pés de vocês)
Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal deixa tudo no default ou pega os enlatados e sai usando Talvez fazer uma wiki de segurança seria interessante e assim poderemos compartilhar os nossos bloqueios e tentar chegar em algo proximo de perfeito (claro que nunca será) Bom é isso aí Obrigado Sylvio mais um vez Patrick Em 17-08-2013 04:43, Deivison Moraes escreveu: > É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já > me deparei várias vezes com ataques em asterisks também, e até mesmo > ataques em ATA FXO que com senha forte porem com ip válido, o atacante > conseguiu efetuar várias ligações < 1 minuto. Fui obrigado a colocar ip > inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado > e não dar sorte pro azar. > > > > []'s > > Deivison Moreas > > > Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu: >> Pessoal, >> >> Fico contente com colaboração de cada um de vocês, acredito que se >> mais pessoas puder compartilhar as informações e dizer como se >> protegeram, essas informações vão ajudar os mais novatos a se >> protegerem também. >> >> Abs, >> >> >> Em 16 de agosto de 2013 18:37, Hudson Cardoso >> <hudsoncard...@hotmail.com <mailto:hudsoncard...@hotmail.com>> escreveu: >> >> Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, >> teve um cliente meu que sofreu >> um ataque , mas foi de funcionario interno mesmo, eles tinham uma >> disa, com login e senha, onde o cara >> ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao >> de 2 funcionarios, um foi demitido, >> mas a senha nao foi alterada, e o cara distribuiu a senha ... >> resultado, na epoca 80 mil de preju. >> >> >> Hudson >> (048) 8413-7000 >> Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma >> prova precisa. >> >> >> >> ------------------------------------------------------------------------ >> Date: Fri, 16 Aug 2013 13:27:34 -0400 >> From: marci...@gmail.com <mailto:marci...@gmail.com> >> To: asteriskbrasil@listas.asteriskbrasil.org >> <mailto:asteriskbrasil@listas.asteriskbrasil.org> >> Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças >> >> >> Ola Sylvio, obrigado pelo compartilhamento! >> >> Isso é fruto da quantidade absurda de "profissionais" no mercado >> fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. >> >> Apesar de não concordar em expor o servidor diretamente a net, >> pelo que relatou, o seu estava bem configurado. Infelizmente isso >> é exceção. >> >> A maioria dos "profissionais" simplesmente instala o linux, sem >> nem saber o que está sendo instalando e quais os serviços estão >> rodando. Depois instala o Asterisk com receitas de bolo, deixando >> tudo, ou quase tudo, no default. Pronto, tá feito a mer**. >> >> É impressionante a quantidade de sistemas vulneráveis encontrados >> na Net, totalmente expostos. >> >> Já monitorei tentativas de ataque bastante complexas e elaboradas, >> em grande escala, visto que temos sistemas de grande porte >> transportando diretamente pela Net. >> >> De centenas de ataques, pouquíssimos representaram algum risco >> para esses sistemas, normalmente foram parados no máximo no >> terceiro ou quarto nível. Mas a grande maioria seria suficientes >> para comprometer sistemas expostos diretamente, e pior ainda, se >> estivessem mal configurados. >> >> Já vi casos de empresas que só descobriram que tinham sido >> comprometidas porque a telecom avisou que estavam ocorrendo picos >> anormais de utilização nos canais E1 de terminação. No final, >> acabaram tendo que pagar a conta, bem salgada por sinal, toda >> equipe interna foi demitida e a empresa responsável pelo Asterisk >> processada. >> >> Essa mesma empresa que foi responsável pelo "serviço" continua >> posando de especialista e fazendo mer** em outros clientes, os >> "profissionais" são competentíssimos, tem mais certificações do >> que dedos, mas nenhum know-how. >> >> Conseguimos identificar a origem do ataque, aqui do país mesmo, >> mais infelizmente pelas rotas internacionais usadas para >> ofuscamento, não conseguimos reunir informação consistentes o >> suficiente para levar o caso a justiça, ainda mais aqui, com >> juízes que mal sabem o que é computador. >> >> Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o >> gato o Tom, teremos cada vez mais notícias de ataques bem >> sucedidos ou pelo menos tentativas bem articuladas. >> >> >> [...]'s >> >> Marcio >> >> ======================================== >> ########### Campanha Ajude o Marcio! ########### >> http://sosmarcio.blogspot.com.br/ >> http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 >> ======================================== >> >> >> Em 15 de agosto de 2013 21:18, Rodrigo Lang >> <rodrigoferreiral...@gmail.com >> <mailto:rodrigoferreiral...@gmail.com>> escreveu: >> >> Fala Sylvio, beleza cara? >> >> Então, acho que o maior erro do pessoal é confiar em excesso >> no fail2ban. É uma ferramente útil, mas ainda é necessário >> utilizar outras formas de segurança. Eu aposto sempre em >> utilizar senhas fortes e um firewall cuidadosamente configurado. >> >> Configurações de manager, apache e banco de dados também são >> muitas vezes esquecidas. Principalmente quando se falamos dos >> enlatados], os quais tenho notado no mercado, como no caso >> citado, com configurações padrões. >> >> Vale lembrar que toda segurança é importante. A ameaça pode >> não estar do lado externo da empresa. Usuários mal >> intencionados também devem ser levados em conta. Sem contar >> que se alguém conseguir acesso a outro servidor da empresa e >> por meio deste conseguir acesso a rede interna, também poderá >> fazer um estrago feio... >> >> Já me deparei com ataques ao Manager e SSH, mas da maneira que >> você descreveu nunca. Valeu por compartilhar sua experiência. >> >> >> At, >> >> >> Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck >> <sylvio.jollenb...@gmail.com >> <mailto:sylvio.jollenb...@gmail.com>> escreveu: >> >> Pessoal, boa noite. >> >> Desejo apenas compartilhar um fato, hoje durante a tarde >> ativei um Asterisk em um cloud. Após 3 minutos e 24 >> segundos (precisamente) de serviço ativo o Asterisk >> começou a sofrer tentativas de autenticação. >> >> Bom, o que me chamou a atenção é que o "meu" destemido >> aspirante a invasor usou diversas técnicas diferentes, sendo: >> >> 1a. Tentativa de Autenticação, a cada 1 minuto o destemido >> aspirante enviava uma tentativa de autenticação. A >> tentativa se baseada em enviar extensions curtas com 3, 4 >> ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão >> das extension, exemplo: Ramal 200 Senha 200.... Depois o >> negócio mudou, o dicionário começou a ser usado. >> >> Ops! A partir desse momento comecei a >> pensar................ será mesmo um aspirante ou um >> profissional cauteloso? Vamos continuar acompanhando! >> >> 2a. Conexões por múltiplos IP, depois de enviar suas >> tentativas de autenticação por um determinado IP, notei >> que comecei a receber novas tentativas oriundas de outro >> IP. Hahaha, Pensei comigo TOR não vale! Mas continuei >> acompanhando, minha curiosidade em ver até onde o camarada >> era persistente foi maior do que o meu senso critico em >> dropar. Afinal de contas esse Asterisk ainda não esta >> ligado a nenhuma operadora de telecom... então, mesmo que >> ele obtivesse exido, ficaria em uma maquina incomunicável. >> >> 3a. Manager Asteriskl: Após alguns minutos de tentativas >> em cima do Asterisk, em especial no SIP. Bom, depois de >> tanto tempo acompanhando, me tornei amigo dele... rs, >> brincadeira a partes! Vi que o padrão da tentativa de >> ataque mudou... Comecei a ser bombardeado em cima do >> Manager (AMI). >> >> 4a. Serviços Agregados: Notei que ao mesmo tempo que o >> Manager começou a ser atacado, outros serviços agregados >> também começaram a ser ameaçados, tais como: Apache, SSH e >> principalmente o MySQL. >> >> Bom, após 1 hora monitorando e observando posso concluir >> que o camarada não era um aspirante e sim um profissional >> muito cauteloso. O que me leva a crer nisso são os fatos: >> >> a. A arte de intercalar o envio da autenticação entre 1 e >> 1 minuto engana tranquilamente muitos fail2ban por ai. >> b. O uso de multiplos IP indica que o camarada esta usando >> DeepNet, o que dificulta em muito sua real localização. >> c. Ataque ao manager, indica certo conhecimento, se >> tivesse acesso por ai...bingo, estrago feito. >> d. O que mais me chamou a atenção foi o ataque ao MySQL. >> >> Depois de ver todas essas técnicas sendo utilizadas ao >> mesmo tempo, resolvi praticar também.... >> Após snifar um pouquinho, encontrei milhares de Asterisk >> expostos, depois de bater no 5 servidor, estava eu quase >> desistindo, quando veio em minha cabeça - vai pelo >> mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de >> acessar o banco de dados e ver as senhas dos ramais, nem >> preciso dizer o quanto foi fácil autenticar. Claro que os >> meus princípios não me deixaram sacanear o coitado, então >> enviei um e-mail para ele (empresa onde o servidor esta >> hospedado) alertando sobre a vulnerabilidade do sistema. >> >> Diante de tudo isso, espero que essa experiência sirva >> para alertar a todos o quão fragilizado estamos aos >> inúmeros tipos de ataque. >> >> Abs, >> >> -- >> Sylvio Jollenbeck >> www.hosannatecnologia.com.br >> <http://www.hosannatecnologia.com.br/> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça >> em www.Khomp.com <http://www.Khomp.com>. >> >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, >> ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse >> www.aligera.com.br <http://www.aligera.com.br>. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email >> em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> <mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> >> >> >> >> >> -- >> Rodrigo Lang >> http://openingyourmind.wordpress.com/ >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com <http://www.Khomp.com>. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN >> e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br >> <http://www.aligera.com.br>. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em >> branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> <mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> >> >> >> >> _______________________________________________ KHOMP: completa >> linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a >> 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso >> remoto via rede IP. Conhe�a em www.Khomp.com >> <http://www.Khomp.com>. >> _______________________________________________ ALIGERA � >> Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas >> de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank � >> Appliance Asterisk - Acesse www.aligera.com.br >> <http://www.aligera.com.br>. >> _______________________________________________ Para remover seu >> email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> <mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em >> www.Khomp.com <http://www.Khomp.com>. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br >> <http://www.aligera.com.br>. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em >> branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org >> <mailto:asteriskbrasil-unsubscr...@listas.asteriskbrasil.org> >> >> >> >> >> -- >> Sylvio Jollenbeck >> www.hosannatecnologia.com.br <http://www.hosannatecnologia.com.br/> >> >> >> >> _______________________________________________ >> KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; >> Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; >> Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. >> _______________________________________________ >> ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. >> Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. >> Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. >> _______________________________________________ >> Para remover seu email desta lista, basta enviar um email em branco para >> asteriskbrasil-unsubscr...@listas.asteriskbrasil.org > _______________________________________________ > KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; > Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; > Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. > _______________________________________________ > ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. > Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. > Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. > _______________________________________________ > Para remover seu email desta lista, basta enviar um email em branco para > asteriskbrasil-unsubscr...@listas.asteriskbrasil.org _______________________________________________ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. _______________________________________________ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. _______________________________________________ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
