Archivio

Archive for the ‘Voip:Asterisk’ Category

Analisi del 2015

I folletti delle statistiche di WordPress.com hanno preparato un rapporto annuale 2015 per questo blog.

Ecco un estratto:

Un “cable car” di San Francisco contiene 60 passeggeri. Questo blog è stato visto circa 3.600 volte nel 2015. Se fosse un cable car, ci vorrebbero circa 60 viaggi per trasportare altrettante persone.

Clicca qui per vedere il rapporto completo.

Annunci
Categorie:Voip:Asterisk

Truffe VoIP: i telefoni Grandstream della famiglia 14XX

Lo scopo di questo blog è anche quello di mettere la gente in allarme, al fine di evitare che i soliti malintenzionati abbiano strumenti per rubare il traffico telefonico. Quindi il mio obiettivo non è quello di formare nuovi ladri ma di impedire che simili cose accadano.

A tal fine, segnalo un bello scherzetto praticato dagli “amici” hacker palestinesi sui telefoni Grandstream (testato da me sulla famiglia GXP 14XX). 

Molti possessori di telefoni IP si preoccupano di mettere passwords molto complesse per l’utente ADMIN, mentre tralasciano la parte USER. Di solito, infatti, come user si può fare poco e niente. I solerti programmatori Grandstream, invece, hanno permesso all’utente di configurarsi una rubrica di numeri con funzionalità Click To Dial!!! 

Cosa significa? Si entra nell’interfaccia web del telefono, si inserisce un numero in rubrica, si clicca sul numero e il telefono compone il numero in automatico. Dall’altra parte c’è il sistema premium del truffaldino, che risponde alla chiamata e la tiene in piedi fino a che non cade per timeout dell’operatore. 

Risultato? La nostra bolletta telefonica esplode e gli amici palestinesi ingrassano a nostre spese.

Cosa fare per proteggesi? Due cose molto semplici:

1 – Il telefono non deve essere accessibile da internet sulla sua interfaccia web (porta TCP 80)

2 – Anche la password USER (oltre a quella ADMIN) deve essere complessa!

A buon intenditore, poche parole!

 

 

Categorie:Voip:Asterisk

Buco colossale su Elastix (Marzo 2012)

27/03/2012 12 commenti

Un mio amico è stato bucato sul suo centralino Elastix, perdendo diversi eurini, grazie alla solita cricca di palestinesi (almeno da li è l’IP sorgente) che da anni impazza per internet in cerca di IP-PBX da bucare. La colpa, come al solito, è la sua: un firewall (fisico , iptables, quello che volete) è necessario sempre se la macchina viene esposta su internet.

Verificato tutto questo ci siamo posti il problema di come sia stato possibile la truffa, dato che i palestinesi usavano direttamente gli account VoIP del mio amico, e non triangolavano sul suo centralino!

La ricerca è stata breve: Elastix ammette una vulnerabilità da paura, dovuta al nuovo CRM che integra, vTiger. Per gli esperti rimando qui per i dettagli. In soldoni, bastava con un browser all’indirizzo IP del centralino, inserendo un path specifico, per avere in chiaro tutte le password di accesso al centralino, con cui poi si poteva vedere le password SIP!

Ribadisco ancora una volta il concetto: il VoIP non è qualcosa in cui ci si può avventurare in modo inesperto, perché si rischia di perderci tanti soldini!

A fin di cronaca vi dico che gli account VoIP del mio amico sono stati svuotati del credito essendo usati su una batteria di softphones che chiamavano numeri satellitari. Trecento euro di traffico spariti in cinque minuti.

A buon intenditore…

Categorie:Voip:Asterisk

Il software VoIP Open Source è affidabile?

Quando vado dai clienti per presentare progetti che coprano le loro esigenze, vedo subito le loro facce cambiare quando dichiaro l’uso di software Open Source. I più educati chiedono “Ma è robusto?”, gli altri declinano l’offerta dicendo “Spendiamo qualcosa di più ma usiamo software di marca “. Allora chiedo loro quali sono i softwares di marca e, ricevuta la risposta, gli snocciolo tutto l’open source che questi coinvolgono. Vogliamo parlare, che so, del sistema operativo Red Hat presente nelle centrali Alcatel e nei Call Managers CISCO? Vogliamo parlare dei vari routers che usano IP Tables come firewall, Zebra per il routing e OpenVPN per le reti private virtuali? La lista non avrebbe fine, ma siccome la legge e le varie licenze open source obbligano i costruttori di apparati a dichiarare l’uso di tali software, andate a vedere alla fine del manuale di un qualsiasi apparato di rete per avere la riprova.

Mi si dirà: una cosa è il sistema operativo o i software per il routing e una cosa è maneggiare la voce. Tanto più che molte aziende, se non tutte, vivono di contatti telefonici. Per rispondere a questa osservazione, diamo un’occhiata oltre oceano, dove , su queste cose, sono sempre un passo avanti. Sapevate che Bandwidth.com, la quarta azienda americana per velocità di crescita e con un fatturato di milioni di dollari, è un carrier VoIP la cui infrastruttura telefonica è largamente basata su software Open? Sapevate che Jajah, azienda specializzata nel click to call, nata da un gruppo di giovani imprenditori che hanno sviluppato il servizio con Asterisk, è stata acquistata da Telefonica per 207 milioni di dollari? Sapevate che i più grossi carriers VoIP italiani (Eutelia, Messagenet, etc) hanno piattaforme basate sul software aperto? Ebbene sì, è così.

Quali sono, allora, le dolenti note? Una, tra tutte, la professionalità e l’esperienza tecnica richiesta. Nel VoIP infatti entrano concetti teorici legati ai protocolli, conoscenze sulle reti dati, conoscenze di programmazione e di telefonia in generale. I prodotti commerciali invece offrono strumenti per facilitare l’utente, che non richiedono tutto il know-how appena elencato.

L’utente inesperto che, dopo aver passato notti insonni per configurare il suo centralino Asterisk, si vede rubare il traffico telefonico dal primo orientale che si affitta i servers virtuali da Amazon, rimane talmente scioccato da non volerne più sentir parlare. E si affretta velocemente a ricontattare il vecchio venditore di centralini in puro ferro! Ma il problema era il software o il configuratore?

In conclusione il software Open Source è qualcosa che cambia quotidianamente il nostro modo di vivere senza che neanche ce ne accorgiamo (vedi Android e iPhone, sì anche iPhone), ma va saputo maneggiare con cura. C’è bisogno di studiare e non di smanettare. Solo così le truffe possono essere arginate e potremo godere delle meraviglie generate dalle menti di programmatori senza fini di lucro.

Viva il software Open!

Categorie:Voip:Asterisk

Selezione passante e FreePBX

27/04/2011 9 commenti

Il mio operatore VoIP di riferimento, Eutelia, fornisce GNR VoIP con selezione passante su un unico account. L’utente viene dotato di un semplice account (numero,password) sul quale sono “appoggiati” archi di cento numeri.

Quando uno dei cento numeri viene chiamato, si riceve un INVITE con il numero geografico dell’account nella SIP Request URI, e l’effettivo chiamato nella TO URI.

Es.

ricevo l’account 0655566777 con relativa password sul quale viene appoggiato il centinaio 06111223XX. Se chiamo 0611122301 ricevo una cosa del genere

INVITE sip:0655566777@voip.eutelia.it SIP/2.0.
From: 06XXXXXXXX <sip:06XXXXXXXX@voip.eutelia.it>;tag=2867999082.
To: <sip:0611122301@voip.eutelia.it>.
Call-ID: 1348388247@192.168.1.3.
CSeq: 200 INVITE.

[…]

Per chi usa tale account su FreePBX è possibile, con quattro righe di configurazione non invasiva, utilizzare la selezione passante come se le chiamate arrivassero da un flusso primario ISDN.

Il tutto è possibile sfruttando un contesto incluso già in extensions.conf ma non dichiarato, proprio per lasciare all’utente la possibilità di inserire personalizzazioni in maniera indolore. Basta edita extensions_custom.conf ed inserire un contesto che si chiama esattamente come quello riportato a breve, e che gestisce lo/gli account con selezione passante associata:

[from-pstn-custom]

exten => 0655566777,1,Set(RDID=${SIP_HEADER(TO)})
exten => 0655566777,n,Set(RDID=${CUT(RDID,:,2)})
exten => 0655566777,n,Set(RDID=${CUT(RDID,@,1)})
exten => 0655566777,n,Goto(${RDID},1)

Così facendo sarà possibile inserire regole di inbound routes per i singoli aggiuntivi come si fa con una selezione passante che arriva via ISDN. Si evita inoltre di indurre errori nella configurazione di FreePBX modificando pesantemente l’extensions.conf e i suoi inclusi.

Categorie:Voip:Asterisk

Mettiamo in sicurezza il nostro IP-Pbx!

Il 99% delle truffe telefoniche, fatte ai danni dei possessori di centralini IP, si basano sul registrarsi (autenticarsi) al PBX come interno (extension) , per poi chiamare numerazioni a tariffazione aggiunta, numeri di cellulari  ricaricabili o rivendere il traffico a phone shops.

La cosa da evitare dunque è rendere vulnerabile dall’esterno il PBX. Ci sono dei piccoli accorgimenti che non richiedono di essere maghi della sicurezza informatica per essere implementati. Eppure limitano molto il rischio di subire una truffa, anche perché i sistemi per la localizzazione delle vittime sono automatizzati, e dopo aver testato le solite falle dei sistemi, se non bucano nulla, vanno avanti, non importunando più il malcapitato.

Ecco i miei consigli:

1. Usare password difficili anche per gli interni

Password solo numeriche o di sole lettere, sotto gli 8 caratteri, sono craccabili nel giro di pochi minuti. E’ buona prassi usare caratteri minuscoli e maiuscoli, insieme a numeri e segni di interpunzione. La lunghezza giusta sono 10 caratteri. Es. Mich8Ael3!

2. Proteggere il PBX

L’errore più comune, spesso commesso anche dagli installatori, è lasciare aperta sul router la porta 5060 UDP per tutti. E’ invece buona prassi aprire tale porta solo per l’indirizzo del SIP Proxy Server. Nel caso del multisede, in cui ad esempio si permette ad un dipendente di registrare il suo telefono VoIP da casa, è necessario che il telefono remoto sia dietro una connessione con IP pubblico statico e che tale IP sia ammesso dal firewall della sede dove si trova il PBX.

3. Proteggere la LAN

Se tutti gli accorgimenti proposti al punto 2 sono stati rispettati, ma nella LAN del cliente arriva una seconda connessione ad internet non protetta, il sistema è sempre insicuro: accertarsi di aver protetto tutte le connessioni.

4. Proteggere le applicazioni CTI

Ci sono telefoni IP (alcuni modelli SNOM ad esempio) che accettano connessioni TCP su porte non standard da parte di software dedicati per operare sul telefono da PC. Questi software permettono, ad esempio, di far chiamare al telefono un proprio contatto Outlook direttamente dal client di posta (se si è impostato nella scheda del contatto il suo numero di telefono). Anche queste porte (non conoscibili a priori perché cambiano col produttore dei telefoni) vanno protette. Sono capitati casi di chiamate fatte dal telefono dell’utente lasciato in vivavoce mentre nessuno era in ufficio, il tutto attivato dall’esterno!

5. Controllare le chiamate effettuate

I ladri di traffico fanno delle chiamate civetta per valutare la sbadataggine della vittima e, spesso, queste chiamate precedono l’attacco vero e proprio. Un occhio ai cartellini (CDR) e notare chiamate verso destinazioni strane, possono aiutare ad accorgersi che il PBX è stato violato per poi correre ai ripari.

6. Impostare il barring

Molti providers (i più seri, per lo meno) offrono ai propri clienti la possibilità di sbarrare (rendere non raggiungibili) certe destinazioni. Se il cliente sa che non chiama mai all’estero, deve escludere le chiamate internazionali. Se chiama solo alcuni paesi, può sbarrare le internazionali e mettere quei paesi come eccezioni.

 

Come vedete sono regole banali ma che proteggono dalla stragrande maggioranza degli attacchi ai PBX VoIP!

Categorie:Voip:Asterisk

Truffe Asterisk: nulla di più facile!

17/09/2010 1 commento

Ho detto Asterisk per citare il più famoso IP-PBX del momento, nonché quello che è alla base della maggior parte delle distribuzioni chiavi in mano che troviamo sul mercato. In verità la cosa riguarda i centralini VoIP in generale. O meglio riguarda l’ingenuità degli istallatori. Vediamo perché.

Il fatto. Attoniti possessori di centralini IP arrivano la mattina in ufficio e vedono che il loro centralino, notte tempo, ha fatto una miriade di chiamate verso destinazioni del centro Africa, piuttosto che verso qualche isola sud americana, piuttosto che qualche sperduto faro degli atolli del Pacifico meridionale. Indagando più approfonditamente, nove volte su dieci, si tratta di numeri di cellulare, probabilmente associati a servizi di autoricarica in base al traffico entrante.

La truffa. Incalliti malandrini (cinesi, est europei, africani o sud americani), sono riusciti a registrare un apparato VoIP (un server tipicamente) al centralino del malcapitato e hanno lanciato più chiamate possibili verso uno o più numeri di loro conoscenza. Quasi mai le chiamate vanno verso numeri europei o nord americani, perché la tracciabilità del proprietario della SIM è più alta.

La tecnica. All’origine della truffa c’è la dabbenaggine di chi vende e installa questi centralini, aprendo la porta 5060 UDP del router del cliente verso l’IP-PBX, in maniera indiscriminata. I truffatori fanno girare su server (spesso presi in affitto) dei  software che sparano registrazioni SIP (REGISTER) verso intere classi di indirizzi IP pubblici (verso la porta 5060 UDP, appunto) e ne verificano la risposta.

Se non ritorna niente, non indagano molto: si passa all’IP successivo. Se dietro quella porta c’è un Asterisk, il software del malandrino facilemente riceve come risposta un bel “404 Not Found”, che vuol dire: “il numero che stai cercando di registrare, non è tra quelli che conosco”. Tanto basta perché il software del truffatore festeggi il ritrovamento di una possibile vittima.

A quel punto, il software inizia a spazzolare interi archi di interni: dal 200 al 299, dal 300 al 399, dal 1000 al 1999, e così via. Fino a quando non riceve dal nostro Asterisk o affine un bel “401 Unauthorized”, traducibile in “il numero lo conosco ma hai sbagliato la password”.

I truffatori sparano sul mucchio. Raramente usano sofisticati (seppur gratuiti) software per l’individuazione di password difficili, anche perché richiedono troppo tempo di elaborazione. Contano sulla stupidità di chi usa il numero stesso come password, o chi mette “topolino” o baggianate simili. Hanno le loro belle liste e le provano tutte, tenendo fermo il numero, ormai individuato.

Se una delle loro password buca, la frittata è fatta: addio soldini!

La soluzione. L’uovo di colombo è inserire nel router (ormai anche i più economici lo permettono) una regola di firewall che accetta traffico sulla 5060 UDP, per l’indirizzo del centralino, solo dall’IP pubblico del provider. E’ vero che in teoria potrebbe cambiare, lasciandoci senza telefono, ma accade moooolto di rado: mediamente ogni cinque anni…se accade.

Altra buona pratica è usare password complesse con lettere (grandi e piccole), numeri e segni di interpunzione anche per gli interni. Nell’eventualità che la macchina vada sul pubblico involontariamente, almeno i malandrini meno scafati rinunciano all’attacco.

Deprecabile inoltre è lasciare accessi ssh,telnet,snmp o altro aperti alla Grande Rete: lascereste mai la porta di casa aperta? La stessa cura dovete averla per le vostre macchine che si affacciano su Internet.

In conclusione. Con la configurazione via web dei centralini Asterisk based, tutti si sono buttati sul business, senza avere le competenze necessarie. Prima di mettere il vostro credito telefonico nelle mani del ragazzetto sotto casa che ha appena aperto il negozio di informatica dei suoi sogni, assicuratevi che sia davvero competente. Altrimenti rivolgetevi ai professionisti: spendere qualcosa più prima, per non spendere molto di più dopo.

Categorie:Voip:Asterisk