Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Deivison Moraes]

É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
me deparei várias vezes com ataques em asterisks também, e até mesmo
ataques em ATA FXO que com senha forte porem com ip válido, o atacante
conseguiu efetuar várias ligações  1 minuto. Fui obrigado a colocar ip
inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
e não dar sorte pro azar.



[]'s

Deivison Moreas


Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
 Pessoal,

 Fico contente com colaboração de cada um de vocês, acredito que se
 mais pessoas puder compartilhar as informações e dizer como se
 protegeram, essas informações vão ajudar os mais novatos a se
 protegerem também.

 Abs,


 Em 16 de agosto de 2013 18:37, Hudson Cardoso
 hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu:

 Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
 teve um cliente meu que sofreu
 um ataque , mas foi de funcionario interno mesmo, eles tinham uma
 disa, com login e senha, onde o cara
 ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
 de 2 funcionarios, um foi demitido,
 mas a senha nao foi alterada, e o cara distribuiu a senha ...
 resultado, na epoca 80 mil de preju.


 Hudson 
 (048) 8413-7000
 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma 
 prova precisa. 



 
 Date: Fri, 16 Aug 2013 13:27:34 -0400
 From: marci...@gmail.com mailto:marci...@gmail.com
 To: asteriskbrasil@listas.asteriskbrasil.org
 mailto:asteriskbrasil@listas.asteriskbrasil.org
 Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças


 Ola Sylvio, obrigado pelo compartilhamento!

 Isso é fruto da quantidade absurda de profissionais no mercado
 fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.

 Apesar de não concordar em expor o servidor diretamente a net,
 pelo que relatou, o seu estava bem configurado. Infelizmente isso
 é exceção.

 A maioria dos profissionais simplesmente instala o linux, sem
 nem saber o que está sendo instalando e quais os serviços estão
 rodando. Depois instala o Asterisk com receitas de bolo, deixando
 tudo, ou quase tudo, no default. Pronto, tá feito a mer**.

 É impressionante a quantidade de sistemas vulneráveis encontrados
 na Net, totalmente expostos.

 Já monitorei tentativas de ataque bastante complexas e elaboradas,
 em grande escala, visto que temos sistemas de grande porte
 transportando diretamente pela Net.

 De centenas de ataques, pouquíssimos representaram algum risco
 para esses sistemas, normalmente foram parados no máximo no
 terceiro ou quarto nível. Mas a grande maioria seria suficientes
 para comprometer sistemas expostos diretamente, e pior ainda, se
 estivessem mal configurados.

 Já vi casos de empresas que só descobriram que tinham sido
 comprometidas porque a telecom avisou que estavam ocorrendo picos
 anormais de utilização nos canais E1 de terminação. No final,
 acabaram tendo que pagar a conta, bem salgada por sinal, toda
 equipe interna foi demitida e a empresa responsável pelo Asterisk
 processada.

 Essa mesma empresa que foi responsável pelo serviço continua
 posando de especialista e fazendo mer** em outros clientes, os
 profissionais são competentíssimos, tem mais certificações do
 que dedos, mas nenhum know-how.

 Conseguimos identificar a origem do ataque, aqui do país mesmo,
 mais infelizmente pelas rotas internacionais usadas para
 ofuscamento, não conseguimos reunir informação consistentes o
 suficiente para levar o caso a justiça, ainda mais aqui, com
 juízes que mal sabem o que é computador.

 Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o
 gato o Tom, teremos cada vez mais notícias de ataques bem
 sucedidos ou pelo menos tentativas bem articuladas.


 [...]'s

 Marcio

 
 ### Campanha Ajude o Marcio! ###
 http://sosmarcio.blogspot.com.br/
 http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
 


 Em 15 de agosto de 2013 21:18, Rodrigo Lang
 rodrigoferreiral...@gmail.com
 mailto:rodrigoferreiral...@gmail.com escreveu:

 Fala Sylvio, beleza cara?

 Então, acho que o maior erro do pessoal é confiar em excesso
 no fail2ban. É uma ferramente útil, mas ainda é necessário
 utilizar outras formas de segurança. Eu aposto sempre em
 utilizar senhas fortes e um firewall cuidadosamente configurado.

 Configurações de manager, apache e banco de dados também são
 muitas vezes esquecidas. Principalmente quando se falamos dos
 enlatados], os quais tenho notado no mercado, como no caso
 citado, com

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Patrick El Youssef]

Bem interessante Sylvio

Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo 
mesmo na época pois não tinha o conhecimento que tenho hoje (claro que 
não chega ainda aos pés de vocês)

Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal 
deixa tudo no default ou pega os enlatados e sai usando

Talvez fazer uma wiki de segurança seria interessante e assim poderemos 
compartilhar os nossos bloqueios e tentar chegar em algo proximo de 
perfeito (claro que nunca será)

Bom é isso aí

Obrigado Sylvio mais um vez

Patrick

Em 17-08-2013 04:43, Deivison Moraes escreveu:
 É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
 me deparei várias vezes com ataques em asterisks também, e até mesmo
 ataques em ATA FXO que com senha forte porem com ip válido, o atacante
 conseguiu efetuar várias ligações  1 minuto. Fui obrigado a colocar ip
 inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
 e não dar sorte pro azar.



 []'s

 Deivison Moreas


 Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
 Pessoal,

 Fico contente com colaboração de cada um de vocês, acredito que se
 mais pessoas puder compartilhar as informações e dizer como se
 protegeram, essas informações vão ajudar os mais novatos a se
 protegerem também.

 Abs,


 Em 16 de agosto de 2013 18:37, Hudson Cardoso
 hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu:

  Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
  teve um cliente meu que sofreu
  um ataque , mas foi de funcionario interno mesmo, eles tinham uma
  disa, com login e senha, onde o cara
  ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
  de 2 funcionarios, um foi demitido,
  mas a senha nao foi alterada, e o cara distribuiu a senha ...
  resultado, na epoca 80 mil de preju.


  Hudson
  (048) 8413-7000
  Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma 
 prova precisa.



  
  Date: Fri, 16 Aug 2013 13:27:34 -0400
  From: marci...@gmail.com mailto:marci...@gmail.com
  To: asteriskbrasil@listas.asteriskbrasil.org
  mailto:asteriskbrasil@listas.asteriskbrasil.org
  Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças


  Ola Sylvio, obrigado pelo compartilhamento!

  Isso é fruto da quantidade absurda de profissionais no mercado
  fazendo mer**, coisa que tenho repetido várias vezes aqui na lista.

  Apesar de não concordar em expor o servidor diretamente a net,
  pelo que relatou, o seu estava bem configurado. Infelizmente isso
  é exceção.

  A maioria dos profissionais simplesmente instala o linux, sem
  nem saber o que está sendo instalando e quais os serviços estão
  rodando. Depois instala o Asterisk com receitas de bolo, deixando
  tudo, ou quase tudo, no default. Pronto, tá feito a mer**.

  É impressionante a quantidade de sistemas vulneráveis encontrados
  na Net, totalmente expostos.

  Já monitorei tentativas de ataque bastante complexas e elaboradas,
  em grande escala, visto que temos sistemas de grande porte
  transportando diretamente pela Net.

  De centenas de ataques, pouquíssimos representaram algum risco
  para esses sistemas, normalmente foram parados no máximo no
  terceiro ou quarto nível. Mas a grande maioria seria suficientes
  para comprometer sistemas expostos diretamente, e pior ainda, se
  estivessem mal configurados.

  Já vi casos de empresas que só descobriram que tinham sido
  comprometidas porque a telecom avisou que estavam ocorrendo picos
  anormais de utilização nos canais E1 de terminação. No final,
  acabaram tendo que pagar a conta, bem salgada por sinal, toda
  equipe interna foi demitida e a empresa responsável pelo Asterisk
  processada.

  Essa mesma empresa que foi responsável pelo serviço continua
  posando de especialista e fazendo mer** em outros clientes, os
  profissionais são competentíssimos, tem mais certificações do
  que dedos, mas nenhum know-how.

  Conseguimos identificar a origem do ataque, aqui do país mesmo,
  mais infelizmente pelas rotas internacionais usadas para
  ofuscamento, não conseguimos reunir informação consistentes o
  suficiente para levar o caso a justiça, ainda mais aqui, com
  juízes que mal sabem o que é computador.

  Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o
  gato o Tom, teremos cada vez mais notícias de ataques bem
  sucedidos ou pelo menos tentativas bem articuladas.


  [...]'s

  Marcio

  
  ### Campanha Ajude o Marcio! ###
  http://sosmarcio.blogspot.com.br/
  http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
  


  Em 15

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[sergio]

Eu tenho visto muitas fraudes com Elastix.

O Invasor consegue acesso a Interface do FreePBX e cria Ramal lá e alteta para 
uma rota Internacional.

No Final tudo isso é ligado a uma Fraude Internacional de Interconexão pois 
quando você vai ouvir os audios dá pra notar que é apenas audios gravados e que 
não é uma pessoa falando.

E quando mais Canais você tiver em seu tronco de saída maior é o problema!!!

O negócio está tão preocupante que algumas empresas estão desenvolvendo módulos 
Anti Fraude para o Asterisk dos seus clientes de VoIP.



 -Original Message-
 From: wushumast...@gmail.com
 Sent: Sat, 17 Aug 2013 22:40:43 -0300
 To: asteriskbrasil@listas.asteriskbrasil.org
 Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
 
 Bem interessante Sylvio
 
 Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo
 mesmo na época pois não tinha o conhecimento que tenho hoje (claro que
 não chega ainda aos pés de vocês)
 
 Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal
 deixa tudo no default ou pega os enlatados e sai usando
 
 Talvez fazer uma wiki de segurança seria interessante e assim poderemos
 compartilhar os nossos bloqueios e tentar chegar em algo proximo de
 perfeito (claro que nunca será)
 
 Bom é isso aí
 
 Obrigado Sylvio mais um vez
 
 Patrick
 
 Em 17-08-2013 04:43, Deivison Moraes escreveu:
 É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já
 me deparei várias vezes com ataques em asterisks também, e até mesmo
 ataques em ATA FXO que com senha forte porem com ip válido, o atacante
 conseguiu efetuar várias ligações  1 minuto. Fui obrigado a colocar ip
 inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado
 e não dar sorte pro azar.
 
 
 
 []'s
 
 Deivison Moreas
 
 
 Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu:
 Pessoal,
 
 Fico contente com colaboração de cada um de vocês, acredito que se
 mais pessoas puder compartilhar as informações e dizer como se
 protegeram, essas informações vão ajudar os mais novatos a se
 protegerem também.
 
 Abs,
 
 
 Em 16 de agosto de 2013 18:37, Hudson Cardoso
 hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com
 escreveu:
 
  Aqui em Florianopolis, em 94, antes mesmo do asterisk existir,
  teve um cliente meu que sofreu
  um ataque , mas foi de funcionario interno mesmo, eles tinham uma
  disa, com login e senha, onde o cara
  ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao
  de 2 funcionarios, um foi demitido,
  mas a senha nao foi alterada, e o cara distribuiu a senha ...
  resultado, na epoca 80 mil de preju.
 
 
  Hudson
  (048) 8413-7000
  Para quem nao cre, nenhuma prova converte,Para aquele que cre,
 nenhuma prova precisa.
 
 
 
 
 
  Date: Fri, 16 Aug 2013 13:27:34 -0400
  From: marci...@gmail.com mailto:marci...@gmail.com
  To: asteriskbrasil@listas.asteriskbrasil.org
  mailto:asteriskbrasil@listas.asteriskbrasil.org
  Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças
 
 
  Ola Sylvio, obrigado pelo compartilhamento!
 
  Isso é fruto da quantidade absurda de profissionais no mercado
  fazendo mer**, coisa que tenho repetido várias vezes aqui na
 lista.
 
  Apesar de não concordar em expor o servidor diretamente a net,
  pelo que relatou, o seu estava bem configurado. Infelizmente isso
  é exceção.
 
  A maioria dos profissionais simplesmente instala o linux, sem
  nem saber o que está sendo instalando e quais os serviços estão
  rodando. Depois instala o Asterisk com receitas de bolo, deixando
  tudo, ou quase tudo, no default. Pronto, tá feito a mer**.
 
  É impressionante a quantidade de sistemas vulneráveis encontrados
  na Net, totalmente expostos.
 
  Já monitorei tentativas de ataque bastante complexas e elaboradas,
  em grande escala, visto que temos sistemas de grande porte
  transportando diretamente pela Net.
 
  De centenas de ataques, pouquíssimos representaram algum risco
  para esses sistemas, normalmente foram parados no máximo no
  terceiro ou quarto nível. Mas a grande maioria seria suficientes
  para comprometer sistemas expostos diretamente, e pior ainda, se
  estivessem mal configurados.
 
  Já vi casos de empresas que só descobriram que tinham sido
  comprometidas porque a telecom avisou que estavam ocorrendo picos
  anormais de utilização nos canais E1 de terminação. No final,
  acabaram tendo que pagar a conta, bem salgada por sinal, toda
  equipe interna foi demitida e a empresa responsável pelo Asterisk
  processada.
 
  Essa mesma empresa que foi responsável pelo serviço continua
  posando de especialista e fazendo mer** em outros clientes, os
  profissionais são competentíssimos, tem mais certificações do
  que dedos, mas nenhum know-how

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Marcio - Google]

Ola Sylvio, obrigado pelo compartilhamento!

Isso é fruto da quantidade absurda de profissionais no mercado fazendo
mer**, coisa que tenho repetido várias vezes aqui na lista.

Apesar de não concordar em expor o servidor diretamente a net, pelo que
relatou, o seu estava bem configurado. Infelizmente isso é exceção.

A maioria dos profissionais simplesmente instala o linux, sem nem saber o
que está sendo instalando e quais os serviços estão rodando. Depois instala
o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default.
Pronto, tá feito a mer**.

É impressionante a quantidade de sistemas vulneráveis encontrados na Net,
totalmente expostos.

Já monitorei tentativas de ataque bastante complexas e elaboradas, em
grande escala, visto que temos sistemas de grande porte transportando
diretamente pela Net.

De centenas de ataques, pouquíssimos representaram algum risco para esses
sistemas, normalmente foram parados no máximo no terceiro ou quarto nível.
Mas a grande maioria seria suficientes para comprometer sistemas expostos
diretamente, e pior ainda, se estivessem mal configurados.

Já vi casos de empresas que só descobriram que tinham sido comprometidas
porque a telecom avisou que estavam ocorrendo picos anormais de utilização
nos canais E1 de terminação. No final, acabaram tendo que pagar a conta,
bem salgada por sinal, toda equipe interna foi demitida e a empresa
responsável pelo Asterisk processada.

Essa mesma empresa que foi responsável pelo serviço continua posando de
especialista e fazendo mer** em outros clientes, os profissionais são
competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.

Conseguimos identificar a origem do ataque, aqui do país mesmo, mais
infelizmente pelas rotas internacionais usadas para ofuscamento, não
conseguimos reunir informação consistentes o suficiente para levar o caso a
justiça, ainda mais aqui, com juízes que mal sabem o que é computador.

Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o
Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos
tentativas bem articuladas.


[...]'s

Marcio


### Campanha Ajude o Marcio! ###
http://sosmarcio.blogspot.com.br/
http://www.vakinha.com.br/VaquinhaP.aspx?e=195793



Em 15 de agosto de 2013 21:18, Rodrigo Lang
rodrigoferreiral...@gmail.comescreveu:

 Fala Sylvio, beleza cara?

 Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban.
 É uma ferramente útil, mas ainda é necessário utilizar outras formas de
 segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
 cuidadosamente configurado.

 Configurações de manager, apache e banco de dados também são muitas vezes
 esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
 notado no mercado, como no caso citado, com configurações padrões.

 Vale lembrar que toda segurança é importante. A ameaça pode não estar do
 lado externo da empresa. Usuários mal intencionados também devem ser
 levados em conta. Sem contar que se alguém conseguir acesso a outro
 servidor da empresa e por meio deste conseguir acesso a rede interna,
 também poderá fazer um estrago feio...

 Já me deparei com ataques ao Manager e SSH, mas da maneira que você
 descreveu nunca. Valeu por compartilhar sua experiência.


 At,


 Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck 
 sylvio.jollenb...@gmail.com escreveu:

 Pessoal, boa noite.

Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
 Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
 serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

Bom, o que me chamou a atenção é que o meu destemido aspirante a
 invasor usou diversas técnicas diferentes, sendo:

 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
 enviava uma tentativa de autenticação. A tentativa se baseada em enviar
 extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
 mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o
 negócio mudou, o dicionário começou a ser usado.

Ops! A partir desse momento comecei a pensar será
 mesmo um aspirante ou um profissional cauteloso? Vamos continuar
 acompanhando!

 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
 autenticação por um determinado IP, notei que comecei a receber novas
 tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
 continuei acompanhando, minha curiosidade em ver até onde o camarada era
 persistente foi maior do que o meu senso critico em dropar. Afinal de
 contas esse Asterisk ainda não esta ligado a nenhuma operadora de
 telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
 incomunicável.

 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
 Asterisk, em especial no SIP. Bom, depois de tanto tempo 

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Sylvio Jollenbeck]

Pessoal,

   Fico contente com colaboração de cada um de vocês, acredito que se mais
pessoas puder compartilhar as informações e dizer como se protegeram, essas
informações vão ajudar os mais novatos a se protegerem também.

Abs,



Em 16 de agosto de 2013 18:37, Hudson Cardoso
hudsoncard...@hotmail.comescreveu:

Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um
 cliente meu que sofreu
 um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa,
 com login e senha, onde o cara
 ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2
 funcionarios, um foi demitido,
 mas a senha nao foi alterada, e o cara distribuiu a senha ...
 resultado, na epoca 80 mil de preju.


 Hudson
 (048) 8413-7000
 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova 
 precisa.



 --
 Date: Fri, 16 Aug 2013 13:27:34 -0400
 From: marci...@gmail.com
 To: asteriskbrasil@listas.asteriskbrasil.org
 Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças


 Ola Sylvio, obrigado pelo compartilhamento!

 Isso é fruto da quantidade absurda de profissionais no mercado fazendo
 mer**, coisa que tenho repetido várias vezes aqui na lista.

 Apesar de não concordar em expor o servidor diretamente a net, pelo que
 relatou, o seu estava bem configurado. Infelizmente isso é exceção.

 A maioria dos profissionais simplesmente instala o linux, sem nem saber
 o que está sendo instalando e quais os serviços estão rodando. Depois
 instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no
 default. Pronto, tá feito a mer**.

 É impressionante a quantidade de sistemas vulneráveis encontrados na Net,
 totalmente expostos.

 Já monitorei tentativas de ataque bastante complexas e elaboradas, em
 grande escala, visto que temos sistemas de grande porte transportando
 diretamente pela Net.

 De centenas de ataques, pouquíssimos representaram algum risco para esses
 sistemas, normalmente foram parados no máximo no terceiro ou quarto nível.
 Mas a grande maioria seria suficientes para comprometer sistemas expostos
 diretamente, e pior ainda, se estivessem mal configurados.

 Já vi casos de empresas que só descobriram que tinham sido comprometidas
 porque a telecom avisou que estavam ocorrendo picos anormais de utilização
 nos canais E1 de terminação. No final, acabaram tendo que pagar a conta,
 bem salgada por sinal, toda equipe interna foi demitida e a empresa
 responsável pelo Asterisk processada.

 Essa mesma empresa que foi responsável pelo serviço continua posando de
 especialista e fazendo mer** em outros clientes, os profissionais são
 competentíssimos, tem mais certificações do que dedos, mas nenhum know-how.

 Conseguimos identificar a origem do ataque, aqui do país mesmo, mais
 infelizmente pelas rotas internacionais usadas para ofuscamento, não
 conseguimos reunir informação consistentes o suficiente para levar o caso a
 justiça, ainda mais aqui, com juízes que mal sabem o que é computador.

 Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o
 Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos
 tentativas bem articuladas.


 [...]'s

 Marcio

 
 ### Campanha Ajude o Marcio! ###
 http://sosmarcio.blogspot.com.br/
 http://www.vakinha.com.br/VaquinhaP.aspx?e=195793
 


 Em 15 de agosto de 2013 21:18, Rodrigo Lang rodrigoferreiral...@gmail.com
  escreveu:

 Fala Sylvio, beleza cara?

 Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban.
 É uma ferramente útil, mas ainda é necessário utilizar outras formas de
 segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
 cuidadosamente configurado.

 Configurações de manager, apache e banco de dados também são muitas vezes
 esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
 notado no mercado, como no caso citado, com configurações padrões.

 Vale lembrar que toda segurança é importante. A ameaça pode não estar do
 lado externo da empresa. Usuários mal intencionados também devem ser
 levados em conta. Sem contar que se alguém conseguir acesso a outro
 servidor da empresa e por meio deste conseguir acesso a rede interna,
 também poderá fazer um estrago feio...

 Já me deparei com ataques ao Manager e SSH, mas da maneira que você
 descreveu nunca. Valeu por compartilhar sua experiência.


 At,


 Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck 
 sylvio.jollenb...@gmail.com escreveu:

  Pessoal, boa noite.

Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
 Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
 serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

Bom, o que me chamou a atenção é que o meu destemido aspirante a
 invasor usou diversas técnicas diferentes, sendo:

 1a. Tentativa de Autenticação, a cada 1 minuto o destemido

[AsteriskBrasil] Asterisk e suas Ameaças

[Sylvio Jollenbeck]

Pessoal, boa noite.

   Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

   Bom, o que me chamou a atenção é que o meu destemido aspirante a
invasor usou diversas técnicas diferentes, sendo:

1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
enviava uma tentativa de autenticação. A tentativa se baseada em enviar
extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o
negócio mudou, o dicionário começou a ser usado.

   Ops! A partir desse momento comecei a pensar será mesmo
um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!

2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
autenticação por um determinado IP, notei que comecei a receber novas
tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
continuei acompanhando, minha curiosidade em ver até onde o camarada era
persistente foi maior do que o meu senso critico em dropar. Afinal de
contas esse Asterisk ainda não esta ligado a nenhuma operadora de
telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
incomunicável.

3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).

 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou
a ser atacado, outros serviços agregados também começaram a ser ameaçados,
tais como: Apache, SSH e principalmente o MySQL.

Bom, após 1 hora monitorando e observando posso concluir que o camarada não
era um aspirante e sim um profissional muito cauteloso. O que me leva a
crer nisso são os fatos:

a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
tranquilamente muitos fail2ban por ai.
b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
dificulta em muito sua real localização.
c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
ai...bingo, estrago feito.
d. O que mais me chamou a atenção foi o ataque ao MySQL.

Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi
praticar também
Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
sacanear o coitado, então enviei um e-mail para ele (empresa onde o
servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.

Diante de tudo isso, espero que essa experiência sirva para alertar a todos
o quão fragilizado estamos aos inúmeros tipos de ataque.

Abs,

-- 
Sylvio Jollenbeck
www.hosannatecnologia.com.br
___
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
___
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
___
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Daniel Feliciano]

Mto Bom Sylvio,obrigado por compartilharAbs

Date: Thu, 15 Aug 2013 21:17:37 -0300
From: sylvio.jollenb...@gmail.com
To: asteriskbrasil@listas.asteriskbrasil.org
Subject: [AsteriskBrasil] Asterisk e suas Ameaças

Pessoal, boa noite.
   Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk 
em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o 
Asterisk começou a sofrer tentativas de autenticação.

   Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor 
usou diversas técnicas diferentes, sendo:
1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante 
enviava uma tentativa de autenticação. A tentativa se baseada em enviar 
extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo 
padrão das extension, exemplo: Ramal 200 Senha 200 Depois o negócio mudou, 
o dicionário começou a ser usado.

   Ops! A partir desse momento comecei a pensar será mesmo um 
aspirante ou um profissional cauteloso? Vamos continuar acompanhando!
2a. Conexões por múltiplos IP, depois de enviar suas tentativas de 
autenticação por um determinado IP, notei que comecei a receber novas 
tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas 
continuei acompanhando, minha curiosidade em ver até onde o camarada era 
persistente foi maior do que o meu senso critico em dropar. Afinal de contas 
esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, 
mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável.

3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do 
Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me 
tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de 
ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).

 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a 
ser atacado, outros serviços agregados também começaram a ser ameaçados, tais 
como: Apache, SSH e principalmente o MySQL.

Bom, após 1 hora monitorando e observando posso concluir que o camarada não era 
um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso 
são os fatos:
a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana 
tranquilamente muitos fail2ban por ai.
b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que 
dificulta em muito sua real localização.c. Ataque ao manager, indica certo 
conhecimento, se tivesse acesso por ai...bingo, estrago feito.
d. O que mais me chamou a atenção foi o ataque ao MySQL.
Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi 
praticar também Após snifar um pouquinho, encontrei milhares de Asterisk 
expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando 
veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! 
Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso 
dizer o quanto foi fácil autenticar. Claro que os meus princípios não me 
deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o 
servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. 

Diante de tudo isso, espero que essa experiência sirva para alertar a todos o 
quão fragilizado estamos aos inúmeros tipos de ataque.
Abs,
-- 
Sylvio Jollenbeck

www.hosannatecnologia.com.br




___
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com.
___
ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br.
___
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
 ___
KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com.
___
ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
___
Para remover seu email desta lista, basta enviar um email em branco para 
asteriskbrasil-unsubscr...@listas.asteriskbrasil.org

Re: [AsteriskBrasil] Asterisk e suas Ameaças

[Rodrigo Lang]

Fala Sylvio, beleza cara?

Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É
uma ferramente útil, mas ainda é necessário utilizar outras formas de
segurança. Eu aposto sempre em utilizar senhas fortes e um firewall
cuidadosamente configurado.

Configurações de manager, apache e banco de dados também são muitas vezes
esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho
notado no mercado, como no caso citado, com configurações padrões.

Vale lembrar que toda segurança é importante. A ameaça pode não estar do
lado externo da empresa. Usuários mal intencionados também devem ser
levados em conta. Sem contar que se alguém conseguir acesso a outro
servidor da empresa e por meio deste conseguir acesso a rede interna,
também poderá fazer um estrago feio...

Já me deparei com ataques ao Manager e SSH, mas da maneira que você
descreveu nunca. Valeu por compartilhar sua experiência.


At,


Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck 
sylvio.jollenb...@gmail.com escreveu:

 Pessoal, boa noite.

Desejo apenas compartilhar um fato, hoje durante a tarde ativei um
 Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de
 serviço ativo o Asterisk começou a sofrer tentativas de autenticação.

Bom, o que me chamou a atenção é que o meu destemido aspirante a
 invasor usou diversas técnicas diferentes, sendo:

 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante
 enviava uma tentativa de autenticação. A tentativa se baseada em enviar
 extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o
 mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o
 negócio mudou, o dicionário começou a ser usado.

Ops! A partir desse momento comecei a pensar será mesmo
 um aspirante ou um profissional cauteloso? Vamos continuar acompanhando!

 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de
 autenticação por um determinado IP, notei que comecei a receber novas
 tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas
 continuei acompanhando, minha curiosidade em ver até onde o camarada era
 persistente foi maior do que o meu senso critico em dropar. Afinal de
 contas esse Asterisk ainda não esta ligado a nenhuma operadora de
 telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina
 incomunicável.

 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do
 Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me
 tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa
 de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI).

  4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager
 começou a ser atacado, outros serviços agregados também começaram a ser
 ameaçados, tais como: Apache, SSH e principalmente o MySQL.

 Bom, após 1 hora monitorando e observando posso concluir que o camarada
 não era um aspirante e sim um profissional muito cauteloso. O que me leva a
 crer nisso são os fatos:

 a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana
 tranquilamente muitos fail2ban por ai.
 b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que
 dificulta em muito sua real localização.
 c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por
 ai...bingo, estrago feito.
 d. O que mais me chamou a atenção foi o ataque ao MySQL.

 Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo,
 resolvi praticar também
 Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois
 de bater no 5 servidor, estava eu quase desistindo, quando veio em minha
 cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de
 acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o
 quanto foi fácil autenticar. Claro que os meus princípios não me deixaram
 sacanear o coitado, então enviei um e-mail para ele (empresa onde o
 servidor esta hospedado) alertando sobre a vulnerabilidade do sistema.

 Diante de tudo isso, espero que essa experiência sirva para alertar a
 todos o quão fragilizado estamos aos inúmeros tipos de ataque.

 Abs,

 --
 Sylvio Jollenbeck
 www.hosannatecnologia.com.br


 ___
 KHOMP: completa linha de placas externas FXO, FXS, GSM e E1;
 Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7;
 Intercomunicadores para acesso remoto via rede IP. Conheça em
 www.Khomp.com.
 ___
 ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7.
 Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express.
 Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br.
 ___
 Para remover seu email desta lista, basta enviar um email em branco para
 asteriskbrasil-unsubscr...@listas.asteriskbrasil.org




-- 
Rodrigo Lang