Os riscos de um PBX
Todo o PBX seja ele analógico, digital ou IP, é um sistema “exposto” ao mundo externo, tanto através da internet, como através das linhas de telefonia.
Tratando-se de modelos de PBX convencionais, pode parecer um pouco radical ou um pouco incomum, mas o risco de sermos lesados por um usuário ou sistema está sempre presente. Normalmente um invasor externo, faz uso de recursos mal-configurados de um pbx, como siga-me, disa, callback, voice mail, entre outros para realizar chamadas DDD ou internacionais.
Os fraudadores utilizam programas que geram repetidas chamadas para todos os diferentes ramais de um PABX suscetíveis à invasão. Assim que descobrem um ramal desprotegido que possibilite completar chamadas longa distância (DDD ou DDI), o ataque é feito usando as facilidades: “siga-me” , “disa*” e “correio de voz”.
Fonte: Embratel – Pequenas Empresas – Fraude de PABX
Falando agora de telefonia IP, devemos sempre lembrar que o Asterisk, Call Manager e outros, além de estarem conectados a uma rede pública de telefonia, ainda estão conectados a uma rede de dados e em diversos casos ainda expostos à internet.
Gostaria de observar que nos próximos parágrafos estarei falando especificamente do Asterisk, não que os outros sistemas não tenham problemas (todos tem), mas este eu conheço relativamente bem e sei onde se encontram os principais “furos”.
Amigo leitor, para chamar um pouco mais a sua atenção a este assunto, se você for o feliz proprietário de um PBX Asterisk das distros trixbox, elastix, PiaF ou tiver o freepbx instalado em seu sistema, sugiro um teste:
Enquanto estiver alguém falando ao telefone, discretamente levante o seu aparelho e disque para o número “555″, se a pessoa que instalou o seu PBX em 30 minutos “esqueceu” de desativar o módulo ChanSpy, você provavelmente pode ouvir na integra a conversa que está ocorrendo.
Um outro teste um pouco mais elaborado é usar um “sniffer sip” (obviamente eu não indicarei nenhum) para gravar quaisquer chamadas que estiverem acontecendo no momento através de sua rede. Já executei este procedimento e realmente fiquei abismado com a facilidade de aplicar uma “escuta telefônica” em uma rede corporativa desprotegida.
Se hoje você usa as facilidades e vantagens que o Asterisk proporciona, como por exemplo ramais remotos (através da inernet usando SIP, IAX ou H323), você pode estar em perigo.
Existem hoje alguns exploits e formas de bruteforce principalmente para o protocolo SIP (novamente sem excluir os outros), devido à rápida popularização deste.
Como exemplo, uso o caso do SSH, todo o administrador de servidores linux que as vezes dá uma “olhadinha” no messages ou secure dos seus logs, já encontrou tentativas de logon utilizando bruteforce, a mesma técnica existe para SIP, e é possivel encontrar relatos de pessoas na internet que tiveram seu PBX “invadido” deste forma e que tiveram grandes prejuízos em um curto espaço de tempo com chamadas DDD e DDI.
Ah sim, se o PBX invadido tem o ChanSpy ativo (555) ou Zapbarge, o invasor ainda pode escutar as conversas telefônicas da empresa.
Ainda temos outros fatores a estudar, como em casos onde o PBX possui controle por PINs, ou quando a empresa possui desconto em folha das chamadas realizadas. Algumas empresas que aplicam ou não estas políticas as vezes possuem “linha separada para o fax” e/ou “linha separada para o diretor”, será que quando ninguém está olhando, alguns funcionários mais “espertos” não usam estas linhas para suas chamadas? Outra possibilidade de “burlar” estes CDRs, é o usuário que tem acesso físico ao PBX, desconectar uma linha analógica e conecta-la diretamente a um aparelho telefônico, ficando totalmente livre de restrições e registros de chamadas.
Mas então, como proteger meu PBX?
Devido a grande flexibilidade que os sistemas de telefonia IP nos oferecem, é difícil dar uma receita de bolo para responder esta pergunta, mas posso dar algumas sugestões (para Asterisk, Call Manager e outros sistemas):
* Nunca use senhas fracas para extensions
* Estude os features disponíveis em seu sistema, teste todos, os que não souber usar, desabilite, se algo parar de funcionar, você provavelmente descobriu a utilidade dele 
* Mantenha o PBX em um local protegido
* Procure separar a rede de telefonia da rede de dados
* Mesmo separando as redes, você ainda corre o risco de um usuário conectar um computador em um ponto da rede de telefonia para realizar sniffing
* Cuidado com os redirecionamentos de portas, por exemplo, liberar o freepbx para a internet não é uma boa idéia
* Troque as senhas que vem por padrão (realmente preciso escrever isso?)
* Tente de todas as formas não liberar as portas SIP/IAX para a internet, se for necessário utilizar um ramal remoto, estude a possibilidade de criar uma VPN
* Muito cuidado com recursos do tipo CallBack e DISA
* Faça testes, inclua chamadas recebidas, ligue de um telefone normal para o seu PBX e tente, transferir chamadas, executar códigos de alguns features, etc… Teoricamente a pessoa que liga de fora para dentro, não poderia executar nenhum tipo de feature.
* Dedique seu tempo, pense como um usuário ou um invasor, como você poderia tirar proveito do sistema de telefonia existente?
* Encontre o equilíbrio entre a paranóia, custos e a facilidade de uso do sistema
Para finalizar, eu queria esclarecer alguns pontos:
* Escrevi este documento falando muito sobre o Asterisk, mas lembro que outros sistemas de telefonia também apresentam riscos quando mal configurados.
* Eu não apenas apoio como incentivo o uso de telefonia IP, entretanto julgo importante que sejam observados os pontos básicos de segurança
* Este documento nem de longe lista todas as opções de exploits existentes, mas lista algumas ações básicas que podemos tomar para evitar problemas no futuro
* Asterisk é a revolução e o futuro da telefonia!
Qualquer dúvida, sugestão ou itens que julgue pertinente, use o campo dos comentários, se for interessante insiro no artigo dando os respectivos créditos.
Posts Relacionados:
You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
- “… em diversos casos ainda expostos à internet.”
Não sei como andam as coisas hoje, mas no fim de 2006, inicio de 2007, este cenário era real: muitos Asterisks de cara para a Internet, seja para diminuir (?!) problemas com as chamadas, seja por firewalls mal configurados, etc.
- “… realmente fiquei abismado com a facilidade de aplicar uma “escuta telefônica” em uma rede corporativa desprotegida.”
Tem coisas que muitas vezes preferimos “não saber”. É aquele caso do cético, que diz que não acredita em bruxas, mas sabe que elas existem.
- “* Asterisk é a revolução e o futuro da telefonia!”
Discordo quanto ao “futuro”. Apenas não está sendo largamente utilizado hoje.
No mais: parabéns pelo trabalho.
- “… em diversos casos ainda expostos à internet.”
Não sei como andam as coisas hoje, mas no fim de 2006, inicio de 2007, este cenário era real: muitos Asterisks de cara para a Internet, seja para diminuir (?!) problemas com as chamadas, seja por firewalls mal configurados, etc.
- “… realmente fiquei abismado com a facilidade de aplicar uma “escuta telefônica” em uma rede corporativa desprotegida.”
Tem coisas que muitas vezes preferimos “não saber”. É aquele caso do cético, que diz que não acredita em bruxas, mas sabe que elas existem.
- “* Asterisk é a revolução e o futuro da telefonia!”
Discordo quanto ao “futuro”. Apenas não está sendo largamente utilizado hoje.
No mais: parabéns pelo trabalho.
Ruy, falando de uma maneira mais geral, a maioria das pequenas e medias empresas não se preocupam muito com segurança em TI, quanto mais na obscura área de telefonia e infelizmente as pessoas só acordam para estes “detalhes” depois de haver passado por algum incidente um pouco mais grave.
Quanto aos asterisks de cara para a internet, acredito devido ao SIP ter uma serie de particularidades e chatices referente a firewalls e NATs, muitos “instaladores” acabem preferindo tomar o caminho do mais fácil e mais simples, resolvendo seus problemas de imediato mas deixando para trás, uma potencial bomba relógio.
Agora, falando de futuro, não acho que o Asterisk vá ser “dono” da maior fatia do mercado, mas acredito que vá ter (e talvez ate já tenha) uma fatia bem considerável. Nos anos em que trabalhei no Brasil como consultor e inclusive agora em Moçambique, projetei e implementei diversos servidores de telefonia. Claro que de um modo geral, a adoção do asterisk acaba sendo mais lenta mas isto se deve a uma serie de fatores, dentre eles posso citar:
- Muitos administradores nem lembram do seu sistema de telefonia, outros quando lembram e pensam em dar uma melhorada, como nunca ouviram falar de outras alternativas, acabam indo pelo convencional
- Outros são céticos quanto ao assunto, duvidam ou não acreditam que funcione. Já tive um cliente que me chamou para uma reunião apenas para tentar me provar que não funcionava.
- E em muitos casos (principalmente com poucos ramais) para alguem que só quer um sistema de telefonia simples, sem muitos recursos, um pequeno pabx acaba saindo bem mais em conta do que um asterisk.
Obrigado pela contribuição
Ola amigo ,
gostaria de saber mais sobre o voip , pois eu tenho um escritório com um alcatel que as caixas dele já farão fraudadas, pois os meninos que fraudo o PABX tinha ate “equipe” e são muito ousados .
So uma perguntas .
* existe medidas judicial ?
*voip qual o mais segura para um empresa de médio porte ?
*indeque mais arquivos de estudo
Olá Breno,
Lamento muito pelo incidente ocorrido com o seu PBX Alcatel, entretanto fico de certa forma curioso para saber o que se passou, poderia contar o que eles fizeram com um pouco mais de detalhes? (Omitindo nomes, telefones e quaisquer outros dados pessoais). Este relato enriqueceria mais o post e também mataria a minha curiosidade. (Se não quiser falar, não tem problema também).
Respondendo as suas perguntas:
- Acredito sim que você possa abrir um processo criminal contra estas pessoas, afinal você foi lesado de alguma forma, entretanto você precisará ter provas que liguem o acusado ao crime cometido. Não conheço bem o código penal, acredito que você deveria procurar a opinião de um advogado.
- Segurança é muito relativo, depende principalmente de como o projeto foi realizado. Permita-me fazer uma simples analogia:
O mesmo acontece na telefonia, a maioria dos sistemas tem mecanismos de proteção e/ou um guia com as “best practices”, o que importa é como estas proteções ou práticas são aplicadas.
VoIP (assim como um pbx convencional) pode ser muito seguro, mas ao mesmo tempo pode ser muito inseguro, tudo depende de como for implementado. Asterisk é uma solução relativamente segura, basta ficar atento nos pequenos detalhes…
Tem uma série de técnicas/recursos interessantes para Asterisk que aumenta consideravelmente o nível de segurança do seu sistema de voz, a questão é se na hora de implementar o projeto eles serão adotados ou não.
Espero ter esclarecido a sua dúvida.
[]’s
Amigo ,
Já conversei com o representante da minha empresa e ele já disse as medidas judiciais a toma já indendifique alguns fraudadores em comunidades da internet e em sites de relacionamentos, lá encontre tudo que precisava desde de números de telefone deles ate cidade de moradia e tals e venho vendo de perto que são e o que fazem se permiti postarei aqui.
Grato.
Breno,
Bom saber que está tudo sendo encaminhado, desejo-te boa sorte com o processo e se precisar de ajuda em algo, pode me procurar.
[]’s
Bom dia amigo,
Quando fala de “sniffer sip” é bom lembrar que isso só vale para rede que possuem hubs, fora isso todo trafego da rede vai fluir por um “caminho” impossibilitando o grampo com a maquina.
Saulo
Observação válida e correta.
Mas falando em riscos, mesmo com switchs cisco, você ainda corre o risco de um usuário mal intencionado “cortar” o cabo de rede de um telefone e inserir um hub para realizar o sniff no meio do caminho.
[]’s