Sinologic

Etiqueta: fraudes

  • Cómo funciona un ataque VoIP

    ddos

    Este mundo no es perfecto y por ese motivo existen personas que se aprovechan de descuidos, fallos y desconocimiento para ganar dinero pese al perjuicio de otros, incluso sin prestar atención al gran daño que producen estas acciones a las víctimas. Estamos hablando de los ataques VoIP que seguro, conocemos todos.

    Después de tantos años en el mundo de la VoIP y comunicaciones en general, uno descubre que muchos amigos, clientes y conocidos ven impotentes como han sufrido ataques durante sus vacaciones, en navidad, un fin de semana cualquiera, o por la noche, causándoles un perjuicio económico bestial, no solo por tener una centralita con el puerto SIP abierto y disponible, si no por tener también gateways accesibles desde internet… fallos garrafales de seguridad que terminan con una factura telefónica inmensa y poniendo denuncias a la guardia civil aunque la cosa no pinta bien.

    Existen muchos tipos de ataques: los provocados por personas ajenas o bien por personas conocidas y que están dentro de la red. Ataques de escucha de conversaciones, falsificación de cuentas, etc… pero en este artículo nos vamos a centrar en el que seguramente sea el más conocido de los ataques: el ataque remoto por millones de peticiones de llamada externa. Un día nos levantamos, vemos nuestro sistema y detectamos que no podemos realizar llamadas porque todos los canales están ocupados (o porque el operador no nos deja hacer más llamadas) y cuando miramos el registro de llamadas vemos cientos de miles de llamadas a números internacionales: China, Cuba, Albania, Pakistán, Congo, Rusia, etc… por poner unos ejemplos más característicos… tal y como anunciamos hace tiempo

    Hace unos años, la figura del Phreaker venía a ser el de una persona joven que quería poder hablar por teléfono sin pagar por la llamada. El objetivo principal estaba claro: hablar. Hoy día, el objetivo es muy diferente: ganar dinero, pero ¿cómo lo hacen? Vamos a verlo.

    (más…)

  • La VoIP mal configurada llama a Cuba

    hackerYa lo decía un empresario bloguero de un proveedor VoIP, cuando escribió un artículo comentando que por tener un Asterisk antiguo y mal configurado, alguien había descubierto una vulnerabilidad y había aprovechado su infraestructura para hacer miles de llamadas internacionales (varios miles de euros) y en aquel entonces, quizá la ignorancia, la falta de seguridad o simplemente el azar le costó su buen dinerito.

    Hace poco un amigo me lo comentaba también, parece ser que bastantes «phreakers» se están aprovechando de vulnerabilidades de cualquier sistema VoIP o de una mala configuración para enviar peticiones INVITE (SIP) y poder hacer llamadas a Cuba a costa de los dueños de este equipamiento. Claro, las llamadas deben pagarse y ver en una factura cientos o miles de llamadas a Cuba no es precisamente barato. No únicamente a Cuba, estos asaltantes aprovechan tu «libre disposición de tu sistema VoIP» para llamar a cualquier país, o incluso a números Premium (los _[89]0[3456]XXXXXX) cuyos beneficiarios son, casualmente, ellos mismos, o algún familiar.

    Al cabo de un tiempo, empecé a ver en algunos logs de varios Asterisk, intentos de registro, paquetes INVITES que llegaban desde IPs procedentes de Taiwan, China, Ukrania, Rusia, … y claro, como era evidente, cualquier petición iba diréctamente a la «i» de invalid. 😀 pero me llamó la atención la «agresividad extrema» con la que intentan enviar paquetes INVITE en cuanto descubren un puerto 5060 UDP abierto.

    Pero no es únicamente Asterisk, realmente cualquier sistema tiene sus vulnerabilidades e incluso en sistemas cerrados como Cisco, Nortel y Avaya. Ya aparecen comentarios de administradores de sistemas propietarios anunciando sus ataques a las vulnerabilidades aún no descubiertas ni parcheadas. Esto es algo que se veía venir cuando uno observa el ritmo en el que avanza la VoIP. La ventaja de Asterisk es que la vulnerabilidad generalmente se corrige a las pocas horas de ser descubiertas, mientras que otros sistemas esperan «al segundo -martes- de cada mes» para hacerla pública junto con la corrección, pero para entonces, la empresa ya está arruinada, así que ya lo sabeis… en caso de duda, siempre es más seguro apostar por el software libre. 😛

    Estos ataques no son fáciles de evitar, pero perfectamente posibles. ¿cómo?
    – Estando al día en actualizaciones, vulnerabilidades y soluciones.
    – Llevando un control exaustivo del sistema (versiones de paquetes, actualizando cada dos por tres)
    – Observando los logs del sistema (comprobando los accesos y los intentos de ataques)
    – Evitando utilizar puertos estándares (5060, 4569,  80, 22, etc…)
    – Conociendo perféctamente el sistema por dentro
    – Llevando un mantenimiento contínuo
    – Una buena «educación» que nos enseñe a programar y configurar el sistema adecuadamente.

    Ejemplo: De poco nos sirve tener en el contexto [general] del sip.conf el parámetro ‘context=default‘, si luego en el contexto [default] del extensions.conf tenemos algo como: include=>salientes
    Estos fallos son de «tarjeta roja y expulsión«, pero por desgracia cada vez más frecuentes.

    ¿Soluciones a estos ataques?
    – Un firewall, un mísero firewall puede librarnos de muchos problemas.
    – Herramientas como el «archiconocido» PortSentry para evitar escaneos y ataques DoS
    – Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos.
    – Deshabilitar el «allowguest=yes» que traen algunos interfaces habilitado de serie. ¬¬ (estas cosas mosquean).
    – DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza.
    – Configurar el «realm», «defaultuser» y el parámetro «secret» SIEMPRE.

    y sobre todo… un poco de sentido común y seguridad a la hora de permitir llamadas salientes… que ningún usuario llama 400 veces a Cuba el mismo día… 🙂

    Nada, que os sea útil este aviso. 🙂

    Basado en: SnapVoIP