Asterisk をクラックされた ( 前編 ）

1. Asteriskをクラックされた(前編） By mac

2. Agenda • 前編 • 被害の実態 • 解析手法- awkで統計処理 • なぜAsteriskは狙われるのか？ • 再発防止策 • 後編 • 弁護士との相談 – 100万円以下の損害は… • 警察への届け出 • NTT-Eとの交渉

3. 被害の実態(1)

4. 被害の実態(2)

5. 被害の実態(3)

6. 被害の実態(4) 通話料金明細内訳書 　【ＮＴＴ東日本ご利用分】 ＊　ひかり電話（通話料）合計160円 ＊　ひかり電話（海外への通話料）合計407,641円 　【ＮＴＴ東日本ご利用分】 ＊　ひかり電話（通話料）合計56円 ＊　ひかり電話（海外への通話料）合計90,810円

7. 解析手法 国際電話を抜き出す cat Master.csv | awk -F, ' $9 ~ /SIP\/010/ && $15 ~ /ANSWERED/ { print $11 "," $9 "," $14; }' | sed 's/"SIP\/\([0-9][0-9]*\)@rt200ne|60|T"/\1/' 番号別発信回数 cat Master.csv | awk -F, ' $9 ~ /SIP\/010/ && $15 ~ /ANSWERED/ { cnt[$6]++; } END { for (i in cnt) { print cnt[i], i; } }' | sort -nr

8. なぜAsteriskは狙われるか • usernameに3～4桁の数字を使う傾向 • 内線番号=userである必要はないが、そうしなければダメなIP電話機もある • passwordも数字だけ（全く必要性なし） • make samplesで生成されるお手本がダメすぎ • 63個の設定ファイルが生成される • 接続に必要なのはそのうち2個 • 後で実例を示します • Patchが本流にmergeされない • いつまでたってもソースからコンパイル (RT200NE) • 独自の日付形式　→　fail2banを使うにもpatch

9. 再発防止策 • Asteriskの設定 • アクセス権を徹底して絞る • LAN内で出来るだけIPを固定する(dhcpd) • passwdがあっている通話は「異常」として扱われない（LogにIPが記録されない） • Serverにはntpdを立てる • 時刻は極めて重要な証拠。秒単位で合わせておく。 • ルーターの設定は手を抜かない • DMZの甘い罠 - 絶対設定してはいけない • UPnP– Crackerにオールを渡すな • iptablesで築く城壁

10. Iptablesの設定 • 難解だけど頑張る • 大学や企業の複雑な構成から学び始めない • シンプルに手堅く

11. まとめと予告 • どんなに零細なサイトでもクラッカーは狙っている • サイトの規模には関係ない • ポートスキャンと総当り法プログラムでクラック • 必要のないポートは開けない • iptablesでしっかり固める • DMZ, UPnP, DHCPなど「楽な設定」に気をつける • 次回は社会的側面での後始末