Os riscos de um PBX
Published março 17, 2009 | 
Todo o PBX seja ele analógico, digital ou IP, é um sistema “exposto” ao mundo externo, tanto através da internet, como através das linhas de telefonia.
Tratando-se de modelos de PBX convencionais, pode parecer um pouco radical ou um pouco incomum, mas o risco de sermos lesados por um usuário ou sistema está sempre presente. Normalmente um invasor externo, faz uso de recursos mal-configurados de um pbx, como siga-me, disa, callback, voice mail, entre outros para realizar chamadas DDD ou internacionais.
Os fraudadores utilizam programas que geram repetidas chamadas para todos os diferentes ramais de um PABX suscetíveis à invasão. Assim que descobrem um ramal desprotegido que possibilite completar chamadas longa distância (DDD ou DDI), o ataque é feito usando as facilidades: “siga-me” , “disa*” e “correio de voz”.
Fonte: Embratel – Pequenas Empresas – Fraude de PABX
Falando agora de telefonia IP, devemos sempre lembrar que o Asterisk, Call Manager e outros, além de estarem conectados a uma rede pública de telefonia, ainda estão conectados a uma rede de dados e em diversos casos ainda expostos à internet.
Gostaria de observar que nos próximos parágrafos estarei falando especificamente do Asterisk, não que os outros sistemas não tenham problemas (todos tem), mas este eu conheço relativamente bem e sei onde se encontram os principais “furos”.
Amigo leitor, para chamar um pouco mais a sua atenção a este assunto, se você for o feliz proprietário de um PBX Asterisk das distros trixbox, elastix, PiaF ou tiver o freepbx instalado em seu sistema, sugiro um teste:
Enquanto estiver alguém falando ao telefone, discretamente levante o seu aparelho e disque para o número “555″, se a pessoa que instalou o seu PBX em 30 minutos “esqueceu” de desativar o módulo ChanSpy, você provavelmente pode ouvir na integra a conversa que está ocorrendo.
Um outro teste um pouco mais elaborado é usar um “sniffer sip” (obviamente eu não indicarei nenhum) para gravar quaisquer chamadas que estiverem acontecendo no momento através de sua rede. Já executei este procedimento e realmente fiquei abismado com a facilidade de aplicar uma “escuta telefônica” em uma rede corporativa desprotegida.
Se hoje você usa as facilidades e vantagens que o Asterisk proporciona, como por exemplo ramais remotos (através da inernet usando SIP, IAX ou H323), você pode estar em perigo.
Existem hoje alguns exploits e formas de bruteforce principalmente para o protocolo SIP (novamente sem excluir os outros), devido à rápida popularização deste.
Como exemplo, uso o caso do SSH, todo o administrador de servidores linux que as vezes dá uma “olhadinha” no messages ou secure dos seus logs, já encontrou tentativas de logon utilizando bruteforce, a mesma técnica existe para SIP, e é possivel encontrar relatos de pessoas na internet que tiveram seu PBX “invadido” deste forma e que tiveram grandes prejuízos em um curto espaço de tempo com chamadas DDD e DDI.
Ah sim, se o PBX invadido tem o ChanSpy ativo (555) ou Zapbarge, o invasor ainda pode escutar as conversas telefônicas da empresa.
Ainda temos outros fatores a estudar, como em casos onde o PBX possui controle por PINs, ou quando a empresa possui desconto em folha das chamadas realizadas. Algumas empresas que aplicam ou não estas políticas as vezes possuem “linha separada para o fax” e/ou “linha separada para o diretor”, será que quando ninguém está olhando, alguns funcionários mais “espertos” não usam estas linhas para suas chamadas? Outra possibilidade de “burlar” estes CDRs, é o usuário que tem acesso físico ao PBX, desconectar uma linha analógica e conecta-la diretamente a um aparelho telefônico, ficando totalmente livre de restrições e registros de chamadas.
Mas então, como proteger meu PBX?
Devido a grande flexibilidade que os sistemas de telefonia IP nos oferecem, é difícil dar uma receita de bolo para responder esta pergunta, mas posso dar algumas sugestões (para Asterisk, Call Manager e outros sistemas):
* Nunca use senhas fracas para extensions
* Estude os features disponíveis em seu sistema, teste todos, os que não souber usar, desabilite, se algo parar de funcionar, você provavelmente descobriu a utilidade dele 
* Mantenha o PBX em um local protegido
* Procure separar a rede de telefonia da rede de dados
* Mesmo separando as redes, você ainda corre o risco de um usuário conectar um computador em um ponto da rede de telefonia para realizar sniffing
* Cuidado com os redirecionamentos de portas, por exemplo, liberar o freepbx para a internet não é uma boa idéia
* Troque as senhas que vem por padrão (realmente preciso escrever isso?)
* Tente de todas as formas não liberar as portas SIP/IAX para a internet, se for necessário utilizar um ramal remoto, estude a possibilidade de criar uma VPN
* Muito cuidado com recursos do tipo CallBack e DISA
* Faça testes, inclua chamadas recebidas, ligue de um telefone normal para o seu PBX e tente, transferir chamadas, executar códigos de alguns features, etc… Teoricamente a pessoa que liga de fora para dentro, não poderia executar nenhum tipo de feature.
* Dedique seu tempo, pense como um usuário ou um invasor, como você poderia tirar proveito do sistema de telefonia existente?
* Encontre o equilíbrio entre a paranóia, custos e a facilidade de uso do sistema
Para finalizar, eu queria esclarecer alguns pontos:
* Escrevi este documento falando muito sobre o Asterisk, mas lembro que outros sistemas de telefonia também apresentam riscos quando mal configurados.
* Eu não apenas apoio como incentivo o uso de telefonia IP, entretanto julgo importante que sejam observados os pontos básicos de segurança
* Este documento nem de longe lista todas as opções de exploits existentes, mas lista algumas ações básicas que podemos tomar para evitar problemas no futuro
* Asterisk é a revolução e o futuro da telefonia!
Qualquer dúvida, sugestão ou itens que julgue pertinente, use o campo dos comentários, se for interessante insiro no artigo dando os respectivos créditos.
Ola amigo ,
gostaria de saber mais sobre o voip , pois eu tenho um escritório com um alcatel que as caixas dele já farão fraudadas, pois os meninos que fraudo o PABX tinha ate “equipe” e são muito ousados .
So uma perguntas .
* existe medidas judicial ?
*voip qual o mais segura para um empresa de médio porte ?
*indeque mais arquivos de estudo
Olá Breno,
Lamento muito pelo incidente ocorrido com o seu PBX Alcatel, entretanto fico de certa forma curioso para saber o que se passou, poderia contar o que eles fizeram com um pouco mais de detalhes? (Omitindo nomes, telefones e quaisquer outros dados pessoais). Este relato enriqueceria mais o post e também mataria a minha curiosidade. (Se não quiser falar, não tem problema também).
Respondendo as suas perguntas:
- Acredito sim que você possa abrir um processo criminal contra estas pessoas, afinal você foi lesado de alguma forma, entretanto você precisará ter provas que liguem o acusado ao crime cometido. Não conheço bem o código penal, acredito que você deveria procurar a opinião de um advogado.
- Segurança é muito relativo, depende principalmente de como o projeto foi realizado. Permita-me fazer uma simples analogia:
O mesmo acontece na telefonia, a maioria dos sistemas tem mecanismos de proteção e/ou um guia com as “best practices”, o que importa é como estas proteções ou práticas são aplicadas.
VoIP (assim como um pbx convencional) pode ser muito seguro, mas ao mesmo tempo pode ser muito inseguro, tudo depende de como for implementado. Asterisk é uma solução relativamente segura, basta ficar atento nos pequenos detalhes…
Tem uma série de técnicas/recursos interessantes para Asterisk que aumenta consideravelmente o nível de segurança do seu sistema de voz, a questão é se na hora de implementar o projeto eles serão adotados ou não.
Espero ter esclarecido a sua dúvida.
[]‘s
Amigo ,
Já conversei com o representante da minha empresa e ele já disse as medidas judiciais a toma já indendifique alguns fraudadores em comunidades da internet e em sites de relacionamentos, lá encontre tudo que precisava desde de números de telefone deles ate cidade de moradia e tals e venho vendo de perto que são e o que fazem se permiti postarei aqui.
Grato.
Breno,
Bom saber que está tudo sendo encaminhado, desejo-te boa sorte com o processo e se precisar de ajuda em algo, pode me procurar.
[]‘s
Bom dia amigo,
Quando fala de “sniffer sip” é bom lembrar que isso só vale para rede que possuem hubs, fora isso todo trafego da rede vai fluir por um “caminho” impossibilitando o grampo com a maquina.
Saulo
Observação válida e correta.
Mas falando em riscos, mesmo com switchs cisco, você ainda corre o risco de um usuário mal intencionado “cortar” o cabo de rede de um telefone e inserir um hub para realizar o sniff no meio do caminho.
[]‘s
“Mas falando em riscos, mesmo com switchs cisco, você ainda corre o risco de um usuário mal intencionado “cortar” o cabo de rede de um telefone e inserir um hub para realizar o sniff no meio do caminho.”
Nossa já vi paranoia mais essa é a mais fodastica… claro que isso é possivel o problema é achar um hub hoje
nada contra, porém é mais barato um switch encore de 4 portas que um hub.
Outra coisa segurança tem uma probleminha chato, e este não está ligado a quem sabe e quer fazer mais sim a quem estudo e por comodidade não quer fazer, e profissional desse tipo é o que não falta no mercado….
Quem quer fazer é garoto novo sem muita experiência, e bagagem, quem sabe costuma ser “velho”, e não está muito a fim de queimar os poucos neurônios que lhe resta, resumindo, enquanto não tiver matéria obrigatória em todos os cursos pelo menos de tecnologia em segurança de ti e ao invés de treinarem ensinarem tende a melhorar esse cenário. Ainda bem que tem execeções no mundo já pessou a citação acima como sendo generalista
Bom o post é interessante, bem focado em apresentar e não defender.
Apenas para deixar o post mais rico …
Uma prática que já reparei em muitos provedores voip, que enviam o ATA configurado para o cliente ( 15 até o momento catalogados ), as senhas são default dos equipamentos, resumindo mesmo em redes separadas se tiver um roteador mesmo com firewall restrigindo acesso, se o firewall não tiver plenamente configurado para evitar o acesso a configuração do ata o mesmo está exposto.
Outra fator que vejo muito em vários clientes, inclusive clientes que tem switch Cisco de ponta no Core da rede, switch por si só não faz nada do que garantir conectividade entre todas as portas ( forward L2 ), colocar duas redes separadas logicamente ( L3 ) e um roteador tratando as duas rede e com regras de firewall nele sobre a interface conectada no switch não garante qualquer inalcançabilidade entre as redes, separar ou fisicamente entre os switch ou é sobre VLANS corretamente configuradas.
Para completar mais uma dica (um pouco complicada de entender e explicar mais vou tentar ), cuidado sempre com o termo segurança e sua real compreenção, fato, um sistema desatualizado com uma brecha de segura não passivel de exporação é mais seguro do que um sistema atualizado sem brecha de segurança porém com capacidade de exporação ( o que evitava a exporação da brecha corrigida na atualização passou a ser passivel de exporação ), antes de correr e atualizar o sistemas por favor, leia os releases notes do sistema e procure na internet não quanto a breça tampada, mais sim sobre as possibilidades de exporação da correção ou dos fatores que evitavam a exporação da mesma.
NoRm4nD, muito obrigado pela contribuição, adoro quando passa alguém por aqui para debater algum assunto, recebo vários pedidos de ajuda no blog, mas debater e expor pontos de vista são poucos. Este teu comentário e os outros comentários expostos neste post, me deixam com vontade de voltar a escrever no blog principalmente sobre mais assuntos do gênero.
Como eu disse anteriormente, é muito importante achar um ponto de equilíbrio entre segurança, necessidade, complexidade e usabilidade. Exemplo: Não adianta implementar um sistema super seguro mas complexo demais para manter ou que o usuário final acabe tendo dificuldade em manejar (bem, normalmente o usuário final sempre acaba tendo dificuldades, por mais simples que seja o problema).
Sei que pode parecer paranóia, mas eu prefiro jogar sempre pela forma mais segura, quando eu mencionei separar as redes, quis dizer separar mesmo, preferencialmente de forma física, talvez não tenha ficado bem claro ali . Já vi gente separando redes apenas utilizando subnets distintas, o que realmente não ajuda em muita coisa.
Sobre os hubs: Até onde eu sei, o switch encore de 4 portas, não funciona como um hub. Até os hubs de hoje em dia já tem algumas funções de switch incorporadas, deixando de funcionar como hub. Mas uma forma barata de fazer uma “escuta” em um cabo de rede, seria com um “Passive network tap” exemplos:
http://www.sun.com/bigadmin/content/submitted/passive_ethernet_tap.jsp
http://www.altsec.info/passive-network-tap.html
Quanto as VLANs, sempre fico com um pé atrás, dê uma olhada no google sobre VLAN Hopping e também em Voip Hopper
Claro que esta não seria uma preocupação para a maioria dos casos, mas empresas que tratam de informações sigilosas deveriam ao menos pensar sobre o assunto. Novamente, voltamos ao ponto de equilíbrio citado anteriormente…
Quanto ao problema dos atas, que você levantou, ainda cito mais um agravante: alguns destes atas vem com duas portas de rede, uma WAN e uma LAN, e já vi gente colocando o ata na frente do router porque o mesmo faz QoS.
Mas bem, apenas para finalizar, normalmente dentro de uma empresa, os “ataques” são mais simples ou menos elaborados, como por exemplo usar o FAX para telefonar sem registrar a ligação no pabx. Ou um usuário que teve a sua conta de email utilizada para enviar spam através do servidor de emails da empresa simplesmente porque verificou as suas mensagens usando pop sem criptografia com o seu notebook em uma rede pública. Já prestei consultoria para clientes nestes (e outros) tipos de casos semelhantes, obviamente eles só se preocuparam com o problema após o estrago. Mesmo com ataques menos complexos, algumas medidas de segurança deveriam ser sempre adotadas como padrão. (por exemplo: eu normalmente tento convencer o meu cliente sobre a necessidade de uma política de senhas razoável e da adoção de SSL).
Apenas comentando sobre a capacidade técnica do “elemento hostil” (faltou um termo melhor para usar), mesmo que a pessoa não tenha capacidade de “hackear” ou “crackear” o seu ambiente, dependendo do objetivo e/ou do valor da informação, ela poderia “pagar” para alguem de fora fazer. Soa paranóia? Sim, realmente me parece extremo, mas dependendo do ramo de negócio que estamos falando, a informação capturada pode valer muito dinheiro (ou ter outro valor que motive o ataque).
Acabei descambando do assunto, falando mais do que deveria, mas confesso que gosto de falar sobre segurança
Novamente, obrigado pela contribuição e sinta-se convidado a comentar novamente.
ps: esses dias precisei ligar para a VISA, e fiquei super descontente quando precisei digitar o número e a senha do meu cartão de crédito usando o teclado numérico do meu telefone. Grampear uma linha fixa é uma barbada! Mais fácil ainda é reconhecer os dígitos DTMF enviados pelo telefone. (ok este é o meu lado paranóico falando).