Estatísticas da insegurança do Elastix no México... E no Brasil?

Artigo traduzido da Mexico Asterisk Security
Autor Cristian Cabrera

"Hoje eu decidi realizar um estudo sobre as vulnerabilidades que seria capaz de encontrar em um ambiente utilizando centrais PABX IP embarcadas (tais como Elastix, Trixbox, etc.) aqui no México". Eu coloquei o meu chapéu branco e resolvi realizar um Packet Sniffer em todas as redes possíveis no país e olhar com detalhes de quantos equipamentos (Servidores, Centrais) fazem uso das distribuição acima (pelo menos visível na porta TCP 443), e os resultados foram alarmantes. 

Aqui estão algumas estatísticas:

  • 25,4 milhões de hosts escaneados
  • 69.000 têm a porta 443 aberta
  • 467 equipamentos com Elastix

Vamos esclarecer que, isto não quer dizer que todos estes equipamentos com Elastix se encontra no México. Isto significa que em uma noite qualquer fomos capaz de encontrar 467 equipamentos (PABX IP) totalmente abertos, vulneráveis, visíveis na Internet, os outros estão atrás de um firewall e são invisíveis para o exterior (certo!).

Agora, vamos para um número que me aterrorizou!:

  • 287 equipamentos têm algum tipo de informação "secreta" que pode ser facilmente obtida (a senha do FreePBX , a senha do Elastix, as senhas das extensões telefônicas)
  • Os mesmos 287 equipamentos têm a porta SIP aberta!
  • Destes, 261 equipamentos tinham a senha padrão do FreePBX para todos os acessos!
  • 26 equipamentos tinha a senha padrão do Elastix que é "palosanto".
  • 31 equipamentos tinha a senha padrão do Elastix (palosanto) também no FreePBX! ou vice versa!
  • 42 equipamentos, ainda utilizam o FreePBX versão 2.5.x, está versão tem uma falha de segurança, que mostra a senha do administrador em texto simples.

E talvez o mais impressionante:

  • 197 equipamentos utilizam a distribuição Elastix suficientemente aberta, a ponto de permitir descarregar o arquivo de BATCH contendo todas as extensões que estão habilitados na plataforma(PABX IP). Fornecendo ao atacante os nomes de todos as extensões telefônicas do sistema com suas respectivas senhas, dando um total de 8.300 extensões disponíveis para chamadas externas, isto é a segurança do Elastix?
Isso significa que, mesmo com uma taxa de falha de 50%, temos 4.150 possíveis extensões telefônicas a partir do qual você pode realizar chamadas sem pagar um único centavo. Vamos esclarecer novamente, que, isto não quer dizer que todos estes equipamentos com Elastix se encontre no México. Agora o que temos que ter e mente é, que com este tráfego de VoIP/ToIP, em poucas horas teremos contas de telefone milionárias.

E se você acha que eu exagero, então vamos, tomar notas:

  • Suponha que 197 equipamentos, pelo menos 170 têm algum tipo de interface E1 ou FXO.
  • Suponha que em um ataque de sessão médio, eu possa realizar chamadas pelo mesmos equipamentos (à noite) pelas 4 horas em que realizamos o teste de vulnerabilidade.
  • Suponha que a média do número de canais E1 e portas FXO, possa permitir 3 chamadas simultâneas por servidor.
Isso nos dá um total de 4 horas * 60 minutos * 3 chamadas simultâneas * 170 equipamentos = 122,400 minutos de tráfego de VoIP/ToIP. Se o destino deste tráfego custa (vamos usar uma chamada para celular aqui do Brasil) US$ 0,74 o minuto. Então estamos falando de um roubo no montante de US$ 90.576 dólares!, isto em poucas horas!

E é claro que isso são os casos conservadores eu pessoalmente conheço duas pequenas empresas que tiveram um roubo no montante de US$ 24.000 dólares em um único ataque. Façamos as contas e facilmente compreenderemos por que este tipo de roubo em VoIP/ToIP está tão na moda nas Américas (principalmente central e sul) e é tão rentável.


Agora se você não quer se tornar um fácil para os chamados hoje por "Other" (Os Outros), você tem, que seguir as medidas de segurança já super- conhecidas para qualquer ambiente PABX IP:

  1. Sempre alterar as senhas padrões;
  2. Nunca usem palavras de dicionários como senhas;
  3. Não dar acesso externo, se você não necessita. Isso se aplica a todos os serviços que esta no seu equipamento (o mais comum) UDP 5060 e TCP 22 , 443 portas;
  4. Façam uso do permit e deny para negar usuários não autorizados dentro do seu ambiente PABX IP. Faça isto para limitar quais IPs são registradas em cada extensão telefônica;
  5. Não utilize a mesma senha para todos os usuários cadastrados no seu equipamento PABX IP. (usuário:senha "100:100");
  6. Atualize suas distribuições embarcadas para a última versão(mais importante veja o porque você tem que atualizar a sua distribuição);
  7. Limitar o número de chamadas simultâneas por extensão (Por que razão o usuário Juan Pérez pode fazer 20 chamadas simultâneas?)
  8. Rejeitem maus autenticações que estão sem detalhes (alwaysauthreject=yes ) no sip.conf;
  9. Firewall, firewall, Firewall e mais Firewall!! 
  10. Use fail2ban para se defender contra ataques de força bruta;
  11. Autenticar o usuário, não só para os seus (usar senha para chamadas externas no seu PABX IP);
  12. Se sua empresa não tem o porque ligar DDI faça um context para DDI utilizando o congestion(3000). E dentro no mesmo context envie um sms para seu celular ou e-mail informando que ouve uma tentativa de DDI;
  13. Definir planos de marcação (dial plan) limitados (olho com a tecnica de injeção de dialplan);
De qualquer forma o Asterisk, como tal, é bastante seguro: O problema é que os empresários buscam a nova onda de instaladores de sistemas embarcados pelo fato de ser mais barato na folha de pagamento do que um Analista em Telecomunicações com profundos conhecimentos em desenvolvimento em Asterisk e suas tecnologias associadas. Ignorar qualquer umas destas dicas acima e outras, que podem ser encontradas em Asterisk Security leva a deixar o PABX IP inseguro.

OBS: Termina aqui a matéria. Você encontra a original no link abaixo de referencias.


Nota minha:
Agora eu Angelo Delphini vou lhe dizer o seguinte, crie coragem, e fuja de soluções embarcadas! Faça a sua solução PABX IP do zero, com todas as regras de segurança possíveis. vai ter falhas de segurança vai, com certeza, mas você sabe onde esta a falha e você pode resolver, não fica na mão de empresas que somente se preocupa em colocar um sistema embarcado de prateleira, que só se preocupa em certificações, cursos e mais cursos! 

Entenda que você esta substituindo uma das soluções mais sólidas e fieis que um empresario pode encontrar no mercado corporativo, que é o PABX de comutação lógica. Pare para analisar o PABX CL e veja se ele em algum momento esta aberto ao mundo. Seu PABX IP tem que estar aberto somente na sua rede local (lan), se você necessitar de abrir ele ao mundo faça uso de um bom SBC, de um bom FIREWALL, existe ótimas soluções no mercado.

Infelizmente não temos documentação voltado para segurança em ToIP e VoIP, vai do bom senso, mais recomendo participe da lista Asterisk Brasil, agora por favor se você usa o Elastix então vai para a lista Elastix Brasil

Boa sorte, e ... eu sei o sofrimento que é manter nossos servidores em segurança, principalmente nas Américas que a Internet, é um território sem lei...

Referencias:

Artigo original;

Artigo - Minuto do Celular no Brasil é o mais caro do mundo!
.

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informado são de cunho científico assim como as series as quais são produzidas para exibição em TV aberta. Uma vez que a serie não tenha sido ripada de um DVD ou seja a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora não é caracterizado crime pois a mesma foi produzida para exibição pública. Sera crime quando for realizado venda deste produto. Quem efetuar download de qualquer ficheiro deste blog que não tenha seu conteúdo de base Open Source (Código Aberto) ou FOSS (Free Open Source Software) deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Assista-o e procure Revendas Autorizadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contacto, que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade.

Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.