Eduardo Silva

Todo o PBX seja ele analógico, digital ou IP, é um sistema “exposto” ao mundo externo, tanto através da internet, como através das linhas de telefonia.

Tratando-se de modelos de PBX convencionais, pode parecer um pouco radical ou um pouco incomum, mas o risco de sermos lesados por um usuário ou sistema está sempre presente. Normalmente um invasor externo, faz uso de recursos mal-configurados de um pbx, como siga-me, disa, callback, voice mail, entre outros para realizar chamadas DDD ou internacionais.

Os fraudadores utilizam programas que geram repetidas chamadas para todos os diferentes ramais de um PABX suscetíveis à invasão. Assim que descobrem um ramal desprotegido que possibilite completar chamadas longa distância (DDD ou DDI), o ataque é feito usando as facilidades: “siga-me” , “disa*” e “correio de voz”.

Fonte: Embratel – Pequenas Empresas – Fraude de PABX

Falando agora de telefonia IP, devemos sempre lembrar que o Asterisk, Call Manager e outros, além de estarem conectados a uma rede pública de telefonia, ainda estão conectados a uma rede de dados e em diversos casos ainda expostos à internet.

Gostaria de observar que nos próximos parágrafos estarei falando especificamente do Asterisk, não que os outros sistemas não tenham problemas (todos tem), mas este eu conheço relativamente bem e sei onde se encontram os principais “furos”.

Amigo leitor, para chamar um pouco mais a sua atenção a este assunto, se você for o feliz proprietário de um PBX Asterisk das distros trixbox, elastix, PiaF ou tiver o freepbx instalado em seu sistema, sugiro um teste:

Enquanto estiver alguém falando ao telefone, discretamente levante o seu aparelho e disque para o número “555″, se a pessoa que instalou o seu PBX em 30 minutos “esqueceu” de desativar o módulo ChanSpy, você provavelmente pode ouvir na integra a conversa que está ocorrendo.

Um outro teste um pouco mais elaborado é usar um “sniffer sip” (obviamente eu não indicarei nenhum) para gravar quaisquer chamadas que estiverem acontecendo no momento através de sua rede. Já executei este procedimento e realmente fiquei abismado com a facilidade de aplicar uma “escuta telefônica” em uma rede corporativa desprotegida.

Se hoje você usa as facilidades e vantagens que o Asterisk proporciona, como por exemplo ramais remotos (através da inernet usando SIP, IAX ou H323), você pode estar em perigo.
Existem hoje alguns exploits e formas de bruteforce principalmente para o protocolo SIP (novamente sem excluir os outros), devido à rápida popularização deste.
Como exemplo, uso o caso do SSH, todo o administrador de servidores linux que as vezes dá uma “olhadinha” no messages ou secure dos seus logs, já encontrou tentativas de logon utilizando bruteforce, a mesma técnica existe para SIP, e é possivel encontrar relatos de pessoas na internet que tiveram seu PBX “invadido” deste forma e que tiveram grandes prejuízos em um curto espaço de tempo com chamadas DDD e DDI.
Ah sim, se o PBX invadido tem o ChanSpy ativo (555) ou Zapbarge, o invasor ainda pode escutar as conversas telefônicas da empresa.

Ainda temos outros fatores a estudar, como em casos onde o PBX possui controle por PINs, ou quando a empresa possui desconto em folha das chamadas realizadas. Algumas empresas que aplicam ou não estas políticas as vezes possuem “linha separada para o fax” e/ou “linha separada para o diretor”, será que quando ninguém está olhando, alguns funcionários mais “espertos” não usam estas linhas para suas chamadas? Outra possibilidade de “burlar” estes CDRs, é o usuário que tem acesso físico ao PBX, desconectar uma linha analógica e conecta-la diretamente a um aparelho telefônico, ficando totalmente livre de restrições e registros de chamadas.

Mas então, como proteger meu PBX?
Devido a grande flexibilidade que os sistemas de telefonia IP nos oferecem, é difícil dar uma receita de bolo para responder esta pergunta, mas posso dar algumas sugestões (para Asterisk, Call Manager e outros sistemas):

* Nunca use senhas fracas para extensions
* Estude os features disponíveis em seu sistema, teste todos, os que não souber usar, desabilite, se algo parar de funcionar, você provavelmente descobriu a utilidade dele
* Mantenha o PBX em um local protegido
* Procure separar a rede de telefonia da rede de dados
* Mesmo separando as redes, você ainda corre o risco de um usuário conectar um computador em um ponto da rede de telefonia para realizar sniffing
* Cuidado com os redirecionamentos de portas, por exemplo, liberar o freepbx para a internet não é uma boa idéia
* Troque as senhas que vem por padrão (realmente preciso escrever isso?)
* Tente de todas as formas não liberar as portas SIP/IAX para a internet, se for necessário utilizar um ramal remoto, estude a possibilidade de criar uma VPN
* Muito cuidado com recursos do tipo CallBack e DISA
* Faça testes, inclua chamadas recebidas, ligue de um telefone normal para o seu PBX e tente, transferir chamadas, executar códigos de alguns features, etc… Teoricamente a pessoa que liga de fora para dentro, não poderia executar nenhum tipo de feature.
* Dedique seu tempo, pense como um usuário ou um invasor, como você poderia tirar proveito do sistema de telefonia existente?
* Encontre o equilíbrio entre a paranóia, custos e a facilidade de uso do sistema

Para finalizar, eu queria esclarecer alguns pontos:
* Escrevi este documento falando muito sobre o Asterisk, mas lembro que outros sistemas de telefonia também apresentam riscos quando mal configurados.
* Eu não apenas apoio como incentivo o uso de telefonia IP, entretanto julgo importante que sejam observados os pontos básicos de segurança
* Este documento nem de longe lista todas as opções de exploits existentes, mas lista algumas ações básicas que podemos tomar para evitar problemas no futuro
* Asterisk é a revolução e o futuro da telefonia!

Qualquer dúvida, sugestão ou itens que julgue pertinente, use o campo dos comentários, se for interessante insiro no artigo dando os respectivos créditos.