Re: [AsteriskBrasil] Asterisk e suas Ameaças
É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já me deparei várias vezes com ataques em asterisks também, e até mesmo ataques em ATA FXO que com senha forte porem com ip válido, o atacante conseguiu efetuar várias ligações 1 minuto. Fui obrigado a colocar ip inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado e não dar sorte pro azar. []'s Deivison Moreas Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu: Pessoal, Fico contente com colaboração de cada um de vocês, acredito que se mais pessoas puder compartilhar as informações e dizer como se protegeram, essas informações vão ajudar os mais novatos a se protegerem também. Abs, Em 16 de agosto de 2013 18:37, Hudson Cardoso hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu: Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreu um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o cara ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2 funcionarios, um foi demitido, mas a senha nao foi alterada, e o cara distribuiu a senha ... resultado, na epoca 80 mil de preju. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. Date: Fri, 16 Aug 2013 13:27:34 -0400 From: marci...@gmail.com mailto:marci...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org mailto:asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças Ola Sylvio, obrigado pelo compartilhamento! Isso é fruto da quantidade absurda de profissionais no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção. A maioria dos profissionais simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**. É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos. Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net. De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados. Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada. Essa mesma empresa que foi responsável pelo serviço continua posando de especialista e fazendo mer** em outros clientes, os profissionais são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how. Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador. Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 15 de agosto de 2013 21:18, Rodrigo Lang rodrigoferreiral...@gmail.com mailto:rodrigoferreiral...@gmail.com escreveu: Fala Sylvio, beleza cara? Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado. Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Bem interessante Sylvio Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo mesmo na época pois não tinha o conhecimento que tenho hoje (claro que não chega ainda aos pés de vocês) Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal deixa tudo no default ou pega os enlatados e sai usando Talvez fazer uma wiki de segurança seria interessante e assim poderemos compartilhar os nossos bloqueios e tentar chegar em algo proximo de perfeito (claro que nunca será) Bom é isso aí Obrigado Sylvio mais um vez Patrick Em 17-08-2013 04:43, Deivison Moraes escreveu: É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já me deparei várias vezes com ataques em asterisks também, e até mesmo ataques em ATA FXO que com senha forte porem com ip válido, o atacante conseguiu efetuar várias ligações 1 minuto. Fui obrigado a colocar ip inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado e não dar sorte pro azar. []'s Deivison Moreas Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu: Pessoal, Fico contente com colaboração de cada um de vocês, acredito que se mais pessoas puder compartilhar as informações e dizer como se protegeram, essas informações vão ajudar os mais novatos a se protegerem também. Abs, Em 16 de agosto de 2013 18:37, Hudson Cardoso hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu: Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreu um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o cara ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2 funcionarios, um foi demitido, mas a senha nao foi alterada, e o cara distribuiu a senha ... resultado, na epoca 80 mil de preju. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. Date: Fri, 16 Aug 2013 13:27:34 -0400 From: marci...@gmail.com mailto:marci...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org mailto:asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças Ola Sylvio, obrigado pelo compartilhamento! Isso é fruto da quantidade absurda de profissionais no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção. A maioria dos profissionais simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**. É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos. Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net. De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados. Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada. Essa mesma empresa que foi responsável pelo serviço continua posando de especialista e fazendo mer** em outros clientes, os profissionais são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how. Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador. Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 15
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Eu tenho visto muitas fraudes com Elastix. O Invasor consegue acesso a Interface do FreePBX e cria Ramal lá e alteta para uma rota Internacional. No Final tudo isso é ligado a uma Fraude Internacional de Interconexão pois quando você vai ouvir os audios dá pra notar que é apenas audios gravados e que não é uma pessoa falando. E quando mais Canais você tiver em seu tronco de saída maior é o problema!!! O negócio está tão preocupante que algumas empresas estão desenvolvendo módulos Anti Fraude para o Asterisk dos seus clientes de VoIP. -Original Message- From: wushumast...@gmail.com Sent: Sat, 17 Aug 2013 22:40:43 -0300 To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças Bem interessante Sylvio Pela minha experiencia só sofri um ataque bem sucedido mas foi vacilo mesmo na época pois não tinha o conhecimento que tenho hoje (claro que não chega ainda aos pés de vocês) Eu acho que o que o Marcio disse reflete mais a realidade pois o pessoal deixa tudo no default ou pega os enlatados e sai usando Talvez fazer uma wiki de segurança seria interessante e assim poderemos compartilhar os nossos bloqueios e tentar chegar em algo proximo de perfeito (claro que nunca será) Bom é isso aí Obrigado Sylvio mais um vez Patrick Em 17-08-2013 04:43, Deivison Moraes escreveu: É realmente muito bom esse compartilhamento agradeço aos envolvidos. Já me deparei várias vezes com ataques em asterisks também, e até mesmo ataques em ATA FXO que com senha forte porem com ip válido, o atacante conseguiu efetuar várias ligações 1 minuto. Fui obrigado a colocar ip inválido no ata modelo TAITEL. O jeito é colocar um firewall bem fechado e não dar sorte pro azar. []'s Deivison Moreas Em 17-08-2013 01:44, Sylvio Jollenbeck escreveu: Pessoal, Fico contente com colaboração de cada um de vocês, acredito que se mais pessoas puder compartilhar as informações e dizer como se protegeram, essas informações vão ajudar os mais novatos a se protegerem também. Abs, Em 16 de agosto de 2013 18:37, Hudson Cardoso hudsoncard...@hotmail.com mailto:hudsoncard...@hotmail.com escreveu: Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreu um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o cara ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2 funcionarios, um foi demitido, mas a senha nao foi alterada, e o cara distribuiu a senha ... resultado, na epoca 80 mil de preju. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. Date: Fri, 16 Aug 2013 13:27:34 -0400 From: marci...@gmail.com mailto:marci...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org mailto:asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças Ola Sylvio, obrigado pelo compartilhamento! Isso é fruto da quantidade absurda de profissionais no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção. A maioria dos profissionais simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**. É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos. Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net. De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados. Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada. Essa mesma empresa que foi responsável pelo serviço continua posando de especialista e fazendo mer** em outros clientes, os profissionais são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Ola Sylvio, obrigado pelo compartilhamento! Isso é fruto da quantidade absurda de profissionais no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção. A maioria dos profissionais simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**. É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos. Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net. De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados. Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada. Essa mesma empresa que foi responsável pelo serviço continua posando de especialista e fazendo mer** em outros clientes, os profissionais são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how. Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador. Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 15 de agosto de 2013 21:18, Rodrigo Lang rodrigoferreiral...@gmail.comescreveu: Fala Sylvio, beleza cara? Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado. Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões. Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio... Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência. At, Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck sylvio.jollenb...@gmail.com escreveu: Pessoal, boa noite. Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação. Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor usou diversas técnicas diferentes, sendo: 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o negócio mudou, o dicionário começou a ser usado. Ops! A partir desse momento comecei a pensar será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando! 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável. 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Pessoal, Fico contente com colaboração de cada um de vocês, acredito que se mais pessoas puder compartilhar as informações e dizer como se protegeram, essas informações vão ajudar os mais novatos a se protegerem também. Abs, Em 16 de agosto de 2013 18:37, Hudson Cardoso hudsoncard...@hotmail.comescreveu: Aqui em Florianopolis, em 94, antes mesmo do asterisk existir, teve um cliente meu que sofreu um ataque , mas foi de funcionario interno mesmo, eles tinham uma disa, com login e senha, onde o cara ligava a cobrar, e decidia o que fazer dentro do pabx, isso na mao de 2 funcionarios, um foi demitido, mas a senha nao foi alterada, e o cara distribuiu a senha ... resultado, na epoca 80 mil de preju. Hudson (048) 8413-7000 Para quem nao cre, nenhuma prova converte,Para aquele que cre, nenhuma prova precisa. -- Date: Fri, 16 Aug 2013 13:27:34 -0400 From: marci...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org Subject: Re: [AsteriskBrasil] Asterisk e suas Ameaças Ola Sylvio, obrigado pelo compartilhamento! Isso é fruto da quantidade absurda de profissionais no mercado fazendo mer**, coisa que tenho repetido várias vezes aqui na lista. Apesar de não concordar em expor o servidor diretamente a net, pelo que relatou, o seu estava bem configurado. Infelizmente isso é exceção. A maioria dos profissionais simplesmente instala o linux, sem nem saber o que está sendo instalando e quais os serviços estão rodando. Depois instala o Asterisk com receitas de bolo, deixando tudo, ou quase tudo, no default. Pronto, tá feito a mer**. É impressionante a quantidade de sistemas vulneráveis encontrados na Net, totalmente expostos. Já monitorei tentativas de ataque bastante complexas e elaboradas, em grande escala, visto que temos sistemas de grande porte transportando diretamente pela Net. De centenas de ataques, pouquíssimos representaram algum risco para esses sistemas, normalmente foram parados no máximo no terceiro ou quarto nível. Mas a grande maioria seria suficientes para comprometer sistemas expostos diretamente, e pior ainda, se estivessem mal configurados. Já vi casos de empresas que só descobriram que tinham sido comprometidas porque a telecom avisou que estavam ocorrendo picos anormais de utilização nos canais E1 de terminação. No final, acabaram tendo que pagar a conta, bem salgada por sinal, toda equipe interna foi demitida e a empresa responsável pelo Asterisk processada. Essa mesma empresa que foi responsável pelo serviço continua posando de especialista e fazendo mer** em outros clientes, os profissionais são competentíssimos, tem mais certificações do que dedos, mas nenhum know-how. Conseguimos identificar a origem do ataque, aqui do país mesmo, mais infelizmente pelas rotas internacionais usadas para ofuscamento, não conseguimos reunir informação consistentes o suficiente para levar o caso a justiça, ainda mais aqui, com juízes que mal sabem o que é computador. Isso é uma briga de gato e rato, e enquanto o rato for o Jerry e o gato o Tom, teremos cada vez mais notícias de ataques bem sucedidos ou pelo menos tentativas bem articuladas. [...]'s Marcio ### Campanha Ajude o Marcio! ### http://sosmarcio.blogspot.com.br/ http://www.vakinha.com.br/VaquinhaP.aspx?e=195793 Em 15 de agosto de 2013 21:18, Rodrigo Lang rodrigoferreiral...@gmail.com escreveu: Fala Sylvio, beleza cara? Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado. Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões. Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio... Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência. At, Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck sylvio.jollenb...@gmail.com escreveu: Pessoal, boa noite. Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação. Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor usou diversas técnicas diferentes, sendo: 1a. Tentativa de Autenticação, a cada 1 minuto o destemido
[AsteriskBrasil] Asterisk e suas Ameaças
Pessoal, boa noite. Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação. Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor usou diversas técnicas diferentes, sendo: 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o negócio mudou, o dicionário começou a ser usado. Ops! A partir desse momento comecei a pensar será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando! 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável. 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI). 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL. Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos: a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai. b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização. c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito. d. O que mais me chamou a atenção foi o ataque ao MySQL. Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque. Abs, -- Sylvio Jollenbeck www.hosannatecnologia.com.br ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Mto Bom Sylvio,obrigado por compartilharAbs Date: Thu, 15 Aug 2013 21:17:37 -0300 From: sylvio.jollenb...@gmail.com To: asteriskbrasil@listas.asteriskbrasil.org Subject: [AsteriskBrasil] Asterisk e suas Ameaças Pessoal, boa noite. Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação. Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor usou diversas técnicas diferentes, sendo: 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o negócio mudou, o dicionário começou a ser usado. Ops! A partir desse momento comecei a pensar será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando! 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável. 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI). 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL. Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos: a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai. b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização.c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito. d. O que mais me chamou a atenção foi o ataque ao MySQL. Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque. Abs, -- Sylvio Jollenbeck www.hosannatecnologia.com.br ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conhe�a em www.Khomp.com. ___ ALIGERA � Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank � Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org
Re: [AsteriskBrasil] Asterisk e suas Ameaças
Fala Sylvio, beleza cara? Então, acho que o maior erro do pessoal é confiar em excesso no fail2ban. É uma ferramente útil, mas ainda é necessário utilizar outras formas de segurança. Eu aposto sempre em utilizar senhas fortes e um firewall cuidadosamente configurado. Configurações de manager, apache e banco de dados também são muitas vezes esquecidas. Principalmente quando se falamos dos enlatados], os quais tenho notado no mercado, como no caso citado, com configurações padrões. Vale lembrar que toda segurança é importante. A ameaça pode não estar do lado externo da empresa. Usuários mal intencionados também devem ser levados em conta. Sem contar que se alguém conseguir acesso a outro servidor da empresa e por meio deste conseguir acesso a rede interna, também poderá fazer um estrago feio... Já me deparei com ataques ao Manager e SSH, mas da maneira que você descreveu nunca. Valeu por compartilhar sua experiência. At, Em 15 de agosto de 2013 21:17, Sylvio Jollenbeck sylvio.jollenb...@gmail.com escreveu: Pessoal, boa noite. Desejo apenas compartilhar um fato, hoje durante a tarde ativei um Asterisk em um cloud. Após 3 minutos e 24 segundos (precisamente) de serviço ativo o Asterisk começou a sofrer tentativas de autenticação. Bom, o que me chamou a atenção é que o meu destemido aspirante a invasor usou diversas técnicas diferentes, sendo: 1a. Tentativa de Autenticação, a cada 1 minuto o destemido aspirante enviava uma tentativa de autenticação. A tentativa se baseada em enviar extensions curtas com 3, 4 ou 5 cifras, as senhas inicialmente seguiam o mesmo padrão das extension, exemplo: Ramal 200 Senha 200 Depois o negócio mudou, o dicionário começou a ser usado. Ops! A partir desse momento comecei a pensar será mesmo um aspirante ou um profissional cauteloso? Vamos continuar acompanhando! 2a. Conexões por múltiplos IP, depois de enviar suas tentativas de autenticação por um determinado IP, notei que comecei a receber novas tentativas oriundas de outro IP. Hahaha, Pensei comigo TOR não vale! Mas continuei acompanhando, minha curiosidade em ver até onde o camarada era persistente foi maior do que o meu senso critico em dropar. Afinal de contas esse Asterisk ainda não esta ligado a nenhuma operadora de telecom... então, mesmo que ele obtivesse exido, ficaria em uma maquina incomunicável. 3a. Manager Asteriskl: Após alguns minutos de tentativas em cima do Asterisk, em especial no SIP. Bom, depois de tanto tempo acompanhando, me tornei amigo dele... rs, brincadeira a partes! Vi que o padrão da tentativa de ataque mudou... Comecei a ser bombardeado em cima do Manager (AMI). 4a. Serviços Agregados: Notei que ao mesmo tempo que o Manager começou a ser atacado, outros serviços agregados também começaram a ser ameaçados, tais como: Apache, SSH e principalmente o MySQL. Bom, após 1 hora monitorando e observando posso concluir que o camarada não era um aspirante e sim um profissional muito cauteloso. O que me leva a crer nisso são os fatos: a. A arte de intercalar o envio da autenticação entre 1 e 1 minuto engana tranquilamente muitos fail2ban por ai. b. O uso de multiplos IP indica que o camarada esta usando DeepNet, o que dificulta em muito sua real localização. c. Ataque ao manager, indica certo conhecimento, se tivesse acesso por ai...bingo, estrago feito. d. O que mais me chamou a atenção foi o ataque ao MySQL. Depois de ver todas essas técnicas sendo utilizadas ao mesmo tempo, resolvi praticar também Após snifar um pouquinho, encontrei milhares de Asterisk expostos, depois de bater no 5 servidor, estava eu quase desistindo, quando veio em minha cabeça - vai pelo mysql... AHAHAAHH, bingo! Senhas defaults ! Depois de acessar o banco de dados e ver as senhas dos ramais, nem preciso dizer o quanto foi fácil autenticar. Claro que os meus princípios não me deixaram sacanear o coitado, então enviei um e-mail para ele (empresa onde o servidor esta hospedado) alertando sobre a vulnerabilidade do sistema. Diante de tudo isso, espero que essa experiência sirva para alertar a todos o quão fragilizado estamos aos inúmeros tipos de ataque. Abs, -- Sylvio Jollenbeck www.hosannatecnologia.com.br ___ KHOMP: completa linha de placas externas FXO, FXS, GSM e E1; Media Gateways de 1 a 64 E1s para SIP com R2, ISDN e SS7; Intercomunicadores para acesso remoto via rede IP. Conheça em www.Khomp.com. ___ ALIGERA – Fabricante nacional de Gateways SIP-E1 para R2, ISDN e SS7. Placas de 1E1, 2E1, 4E1 e 8E1 para PCI ou PCI Express. Channel Bank – Appliance Asterisk - Acesse www.aligera.com.br. ___ Para remover seu email desta lista, basta enviar um email em branco para asteriskbrasil-unsubscr...@listas.asteriskbrasil.org -- Rodrigo Lang