התקפות על מרכזיות IP – מחקר ותוצאות – מרכזיות VoIP – אסטריסק

לאחרונה איתרו מערכות הניטור שלנו גידול של 35 אחוז בכמות המתקפות וניסיונות פריצה של מרכזיות IP.

גידול זה נכון לנובמבר 2011 לעומת אוקטובר 2011 ומהווה עליה של 120 אחוז בכמות משנה שעברה.

מאפייני ההתקפות:
1. גידול ניכר הינו משרתים הנמצאים בארה"ב ומשמשים BOTים לסריקת כתובות IP וכן קצב הסריקה גדל בצורה ניכרת (מאופיין בגידול יכולות העיבוד של המחשבים).
2. אם עד כה כ 40% מהסריקות בוצעו על פורט 5060 בלבד כיום רק בין 10-15 אחוז מבוצעות על פורט 5060 בלבד כאשר כ 85-90 אחוז סורקים את כל הפורטים הפתוחים.

כיצד מבוצעת הסריקה/התקפה:
1. שליחת בקשת OPTION ו/או REGISTER.
2. עם קבלת תגובה מבוצע ניסיונות רישום של שלוחות (מ 0 ועד בד"כ 9999) רגילות וכן brute force של alias.
3. מתוך הסריקה המתוארת לעיל מתקבלת רשימה של שלוחות קיימות ושל שלוחות לא קיימות.
4. מייד לאחר מכן יתבצע brute force על השלוחות הקיימות למציאת הסיסמא.
5. ניסיונות הסריקה/התקפה מתחילות לאחר השעה 1 לפנות בוקר ומסתיימות בסביבות השעה 5 (אחוז קטן נצפה במשך כל שעות היממה) ע"פ שעון מקומי של השרת וזאת למזעור ניסיונות הגילוי והארכת יכולת זמן התקיפה.
6. כ-70 אחוז מהניסיונות הינם על סיסמאות בעלות 2-5 תווים.
כ 10 אחוז הם סיסמאות בעלות 2-6 תווים.
השאר הם התפלגויות בין הגרלות מספרים באורכים שונים.

הנקודות הבאות ממוקדות בעיקר על הפצות אסטריסק
7. ניסיונות חיבור לממשק הניהול במרכזיה תוך שימוש בסיסמאות ברירת המחדל בהפצות.
8. ניסיונות פריצה לDB תוך שימוש בסיסמאות ברירת מחדל, דלתות אחוריות ו brute force.
9. התחברות לממשק הטלפוניה TAPI וניסיונות ביצוע חיוג למספרי פרימיום (בעיקר מערב אפריקה) בעיקר בסיסמאות ברירת המחדל של ההפצות השונות

תוצאות ההתקפה:
1. סיסמאות מספריות עד 4 תווים התגלו תוך כ 4 שעות בלבד.
2. סיסמאות בת 4 תווים הכוללות מספרים ואותיות התגלו תוך כ 10 שעות
3. סיסמאות באורך 6 תווים (מספרים ואותיות) – פחות מ5 אחוז התגלו אחרי כשבוע.
4. סיסמאות באורך 8 תווים ומעלה,אותיות ומספרים, לא התגלו כלל במשך מחזור ניטור (3 חודשים).
5. סטטיסטיקת התקפה על הפצות אסטריסק במיוחד חסרות נתונים בעיקר משום שאכן לא היה שום דבר שאכן ניתן היה להתחבר.
שלוש מהשרתים שהזדהו כמרכזיית אסטריסק לא זכו ל"ביקורים" מיוחדים מאשר שרתים שהזדהו אחרת. במחזור הבא יבדקו אף סטטיסטיקת חשיפת סיסמאות במרכזיות אלו.

מסקנות:
1. כל מרכזיה הפתוחה לעולם החיצון תסרק תוך פחות משבועיים.
2. הסבירות לגילוי סיסמא בת תו אחד בודד נמוכה עד מאוד מסיסמא מספרית בת 2-4 תווים (הפתעה!!!!)
3. אין לתת סיסמאות בעלות פחות מ8 תווים מעורבים (וכל המרבה הרי זה משובח).
4. אין כיום כמעט משמעות בשינוי פורט הSIP מ 5060 לכל פורט אחר.
5. ההשקעה בניסיונות התחברות תוך מימוש החוליות החלשות בהפצות אסטריסק מלמדות על אחוז חדירה גבוה של מרכזיות מסוג זה בעולם.
6. בשונה מהפירסומים השונים בכתבות באינטרנט על התקפות מיוחדות מאירן/טורקיה/פלסטין וכו על ישראל, מירב הדאגה צריך להגיע מארה"ב ורוסיה אשר השיגו את התוצאות הטובות ביותר ויכולות עיבוד גבוהות בפער משמעותי עד מאוד מאחרים.
7. כ 60 אחוז מההתקפות מקורם בכתובות IP אשר לא מזוהות עם שום בסיס נתונים קיים של ספאמרים ומתקיפים. מכאן ניתן להבין שדרכי ההגנה מפגרים רבות מאחור מנסיונות ההתקפה.
8. קיים שיתוף פעולה דיי פורה באתרים ובפורומים על דרכי פריצה למרכזיות שונות לא פחות מאשר על ניסיונות ההגנה.

דרכי התגוננות:
1. באם לא נדרש אל תפתחו/תחשפו את המרכזיה לעולם החיצון.
כן למרות שקביעה זו סותרת את עצם השימוש במרכזיות IP כיום לא פחות מכ 50% מהמרכזיות משמשות כמרכזיה משרדית לכל דבר ללא שימוש בשלוחות מרוחקות אך עדיין הם פתוחים לעולם (למה? אין לי מושג).
2. יש להפעיל מנגנוני הגנה אף במרכזיה ולא רק ב FW ואף מלכודות דבש.
במרכזיית MyPBX
א. יש להפעיל את ה FW ולהגדיר IP TABLE לאיפשור ממשק ניהול ו SSH מכתובת (או כתובות) פנימית בלבד וכן איפשור שלוחות חיצוניות ע"י כתובת IP ספציפית ומידת האפשר ו/או כתובת ה MAC.
ב. את מנגנון Auto Defense – להגדרת כמות החיבורים המותרת בפרק זמן מוגדר.
ג. והכי חשוב את ה SIP Defense אשר מגדיר את כמות תעבורת ה SIP המותרת בפרק זמן כלשהוא. מנגנון זה נמצא ב FW מתקדמים ביותר ולכן כדאי מאוד לאפשר מנגנון זהץ
3. אין שום סיבה לחשוף את ממשקי הניהול HTTP ו SSH לעולם. סופם להתגלות במהירות לא פחותה מאשר השלוחות.
השתלטות על מנגנון הניהול או חמור מכך על דרך החיבור למרכזיה ב SSH מאפשרת  לתוקף פעילות חופשית לחלוטין ללא צורך בהמשך ניסיונות חיפוש סיסמאות.
4. במידת האפשר להשתמש במספרי שלוחות באורך של 5 תוווים ויותר.
למרות שפעולה זו תקטין משמעותית, עד כדי אפס הצלחה, הרי שהיא הקשה ביותר לשימוש יומיומי במרכזיה.
5. למה לעזאזל להשתמש בסיסמאות בעלות 4 תווים (שאחוז די גדול מההתקנות נצפו סיסמאות של 1234 לכל השלוחות)? הרי אין מדובר בהקשה קבועה של הסיסמא בכל פעם. אני לדוגמא, בהתקנות מרקיד את האצבעות על המקלדת ומה שיוצא מועתק פשוט לשלוחה.
עד היום אפילו סיסמא אחת לא נפרצה (ומדובר על סיסמאות בעלות יותר משנתיים עם חשיפה מלאה לאינטרנט בכל זמן זה).
6. התקנה של הפצות אסטריסק בצורה סטנדרטית ללא שינוי כל הסיסמאות והכרות מעמיקה על אפשרויות הכניסה הקיימות כמוהן כהחבאת מפתח הדירה מתחת לשטיח או בארון חשמל 🙂

דרכי ההתגוננות הרשומים מעלה לא נרשמו ע"פ סדר חשיבותם אלא בכתיבה חופשית.

נתונים אלו הושגו ונמדדו ע"י 8 שרתים מפוזרים בעולם (3 באירופה, 2 בישראל, 2 בארה"ב ו-1 בסין) אשר בנוסף לפעילות ניטור ופעילויות אחרות משמשות דימוי מרכזיית IP לניתוח נתונים.
בשום מצב "גילוי" סיסמא אינו איפשר לתוקף אפשרות ביצוע שיחה או פעולה כלשהיא.
עם סיום הבדיקה עודכנו קרוב ל 9,000 כתובות IP חדשות בבסיסי נתונים של כתובות IP המזוהות/חשודות כספאמרים/בוטים ופורצים בעולם.

אין בנתונים אלו להציג מצג אמיתי ומדוייק אלא נתונים סטטיסטיים בלבד אשר קרובים ככל האפשר והניתן לנתוני אמת. הנתונים לעיל נכונים לזמן הכתיבה ומן הסתם בחלוף הזמן יכולות ההתקפה רק ישתפרו ויתחזקו.

נשמח להמשיך לעזור לכל הפונים בכל שאלה קיימת.

פורסם בקטגוריה מרכזיות, עם התגים , , , , , . אפשר להגיע לכאן עם קישור ישיר.

תגובה אחת על התקפות על מרכזיות IP – מחקר ותוצאות – מרכזיות VoIP – אסטריסק

סגור לתגובות.