{"id":5856,"date":"2016-08-04T11:50:36","date_gmt":"2016-08-04T16:50:36","guid":{"rendered":"http:\/\/www.servervoip.com\/blog\/?p=5856"},"modified":"2019-06-11T09:20:51","modified_gmt":"2019-06-11T14:20:51","slug":"como-funciona-un-ataque-voip","status":"publish","type":"post","link":"http:\/\/www.servervoip.com\/blog\/como-funciona-un-ataque-voip\/","title":{"rendered":"C\u00f3mo funciona un ataque VoIP"},"content":{"rendered":"
\n
\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n
\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n
\n
<\/div>\n <\/div>\n <\/div>\n<\/div>\n
\n <\/span>\n <\/div>\n<\/div>\n

Este mundo no es perfecto y por ese motivo existen personas que se aprovechan de descuidos, fallos y desconocimiento para ganar dinero pese al perjuicio de otros, incluso sin prestar atenci\u00f3n al gran da\u00f1o que producen estas acciones a las v\u00edctimas. Estamos hablando de los ataques VoIP que seguro, conocemos todos.<\/p>\n

Despu\u00e9s de tantos a\u00f1os en el mundo de la VoIP y comunicaciones en general, uno descubre que muchos amigos, clientes y conocidos ven impotentes como han sufrido ataques durante sus vacaciones, en navidad, un fin de semana cualquiera, o por la noche, caus\u00e1ndoles un perjuicio econ\u00f3mico bestial, no solo por tener una centralita con el puerto SIP abierto y disponible, si no por tener tambi\u00e9n gateways accesibles desde internet\u2026 fallos garrafales de seguridad que terminan con una factura telef\u00f3nica inmensa y poniendo denuncias a la guardia civil aunque la cosa no pinta bien.<\/p>\n

Existen muchos tipos de ataques: los provocados por personas ajenas o bien por personas conocidas y que est\u00e1n dentro de la red. Ataques de escucha de conversaciones, falsificaci\u00f3n de cuentas, etc\u2026 pero en este art\u00edculo nos vamos a centrar en el que seguramente sea el m\u00e1s conocido de los ataques: el ataque remoto por millones de peticiones de llamada externa. Un d\u00eda nos levantamos, vemos nuestro sistema y detectamos que no podemos realizar llamadas porque todos los canales est\u00e1n ocupados (o porque el operador no nos deja hacer m\u00e1s llamadas) y cuando miramos el registro de llamadas vemos cientos de miles de llamadas a n\u00fameros internacionales: China, Cuba, Albania, Pakist\u00e1n, Congo, Rusia, etc\u2026 por poner unos ejemplos m\u00e1s caracter\u00edsticos\u2026 tal y como anunciamos hace tiempo\u2026<\/p>\n

Hace unos a\u00f1os, la figura del Phreaker ven\u00eda a ser el de una persona joven que quer\u00eda poder hablar por tel\u00e9fono sin pagar por la llamada. El objetivo principal estaba claro: hablar. Hoy d\u00eda, el objetivo es muy diferente: ganar dinero, pero \u00bfc\u00f3mo lo hacen? Vamos a verlo.<\/p>\n

El primer paso para recibir un ataque, es pensar que no lo vamos a recibir, que nuestro firewall cost\u00f3 un dineral y est\u00e1 perfectamente configurado por lo que es imposible que nos ataquen. Adem\u00e1s, hemos bloqueado todos los puertos entrantes, as\u00ed que, asunto solucionado. Mal comienzo: muchos routers incorporan un sistema llamado UPnP que abren el puerto 5060 de forma autom\u00e1tica tras detectar un dispositivo como un tel\u00e9fono o un gateway de la red interna. Incluso muchos de los routers que ofrecen los operadores incorporan sistemas que imposibilitan bloquear\/cerrar esos puertos.<\/p>\n

No obstante, si tenemos la necesidad de ofrecer cuentas remotas, tendremos que abrir puertos, incluso si estas cuentas est\u00e1n detr\u00e1s de conexiones con direcciones IP din\u00e1micas, pr\u00e1cticamente estamos a la merced de la configuraci\u00f3n. Una buena configuraci\u00f3n es m\u00e1s importante que un firewall.<\/p>\n

ZombieAttackWUn ataque suele ser algo autom\u00e1tico ejecutado por aplicaciones ejecutadas en servidores \u201czombies\u201d, por lo que bloquear una IP no suele tener el efecto deseado, al igual que contraatacar a la IP que nos est\u00e1 atacando\u2026 ya que recibiremos el mismo ataque desde otras direcciones IP unos minutos m\u00e1s tarde. Denunciar al responsable de la direcci\u00f3n IP atacante tampoco suele tener el resultado esperado y es muy dif\u00edcil seguir el rastro al verdadero atacante. Conste en acta que soy de los que prefieren no bloquear los puertos VoIP y prestar m\u00e1s atenci\u00f3n a la configuraci\u00f3n, el problema de este sistema es que hay que conocer bastante bien toda la configuraci\u00f3n para evitar da\u00f1os a medio y largo plazo, pero conociendo un poco c\u00f3mo funcionan los atacantes, podemos estar m\u00e1s tranquilos.<\/p>\n

Para descubrir el motivo de estos ataques hay que conocer un poco el funcionamiento del negocio de algunos operadores y empresas de comunicaciones que consiguen beneficios creando \u201credes virtuales de abonados\u201d y ajustando costes haciendo de pasarelas de llamadas entre varios operadores (esto puede parecer un poco complicado de entender, as\u00ed que voy a explicarlo con un ejemplo simple)<\/p>\n

[rev_slider captions]
\n[rev_slider ServerVoip]
\n <\/p>\n

\n

Vamos a partir de un caso muy sencillo. Los operadores m\u00f3viles en Espa\u00f1a: Movistar, Orange, Vodafone, Yoigo\u2026 todos estos operadores tiene varios millones de usuarios cada uno. Cada usuario dispone de uno o varios n\u00fameros y cada operador le cobra a sus usuarios cuando estos hacen llamadas (no se paga nada cuando se reciben llamadas)<\/p>\n

\u2013 Juan (usuario de Movistar) quiere llamar a Pepe (usuario de Vodafone).
\n\u2013 Como Juan inicia la llamada, le pagar\u00e1 a Movistar un dinero en concepto de establecimiento y otro en funci\u00f3n del tiempo que est\u00e9 hablando.
\n\u2013 Movistar establecer\u00e1 una conexi\u00f3n con la red de Vodafone y este enviar\u00e1 la llamada a Pepe.
\n\u2013 Vodafone le cobra a Movistar una cantidad peque\u00f1a de dinero por utilizar la red de Vodafone para poder enviar la llamada a su propio usuario Pepe.<\/p>\n

Por lo tanto: Vodafone gana dinero por recibir una llamada y envi\u00e1rsela a su usuario a modo de \u2018compensaci\u00f3n\u2018 por el uso de la red.<\/p>\n

Esto es as\u00ed porque Movistar y Vodafone est\u00e1n conectados y pueden pasarse las llamadas entre ellas pero \u00bfqu\u00e9 ocurre cuando el destinatario es Paco que vive en Cuba?<\/p>\n

El resultado es que los operadores deben pasar las llamadas de unos a otros hasta llegar a Paco en Cuba y luego:<\/p>\n

\u2013 Movistar pagar\u00e1 a su proveedor AmericaTelecom,
\n\u2013 AmericaTelecom a su vez, pagar\u00e1 a CubaTel,
\n\u2013 CubaTel a la compa\u00f1\u00eda de m\u00f3viles CubaMobile de quien es usuario Paco<\/p>\n

En resumen: en una llamada, hay varios operadores que ganan dinero, aunque sea \u00ednfimo, casi simb\u00f3lico, apenas una d\u00e9cima parte de un c\u00e9ntimo de euro o incluso menos (estamos hablando de cantidades rid\u00edculas: 0,0001\u20ac por llamada). No es un negocio interesante ya que el beneficio es m\u00ednimo por cada llamada, pero cuando se hacen cientos de millones de llamadas (aunque sea de forma ilegal), y tanto el coste de la infraestructura como el gasto que supone recibir una llamada es pr\u00e1cticamente cero por no tener usuarios propios y dedicarse a transferir llamadas entre operadores, el negocio pasa a ser muy lucrativo.<\/p>\n

Por supuesto, este ejemplo est\u00e1 simplificado para que se entienda mejor y existen muchas variantes, otros beneficiarios,\u2026 el tema se complica bastante y siempre hay alguien perjudicado (la v\u00edctima) y alguien beneficiado.<\/p>\n

daleksEl objetivo final es conseguir tr\u00e1fico para poder \u201ccobrar\u201d por cada llamada. Cuantas m\u00e1s llamadas, m\u00e1s dinero y para eso, se hace uso de aplicaciones que escanean redes, detectan servidores, explotan vulnerabilidades y hacen llamadas a destinatarios y lugares para poder hacer dinero. Para eso existen aplicaciones bastante complejas pero muy lucrativas que al funcionar casi de forma autom\u00e1tica se consideran bots.<\/p>\n

Cuando un bot hace un mill\u00f3n de llamadas en un fin de semana, ese mill\u00f3n de llamadas se transforma en unos pocos cientos de d\u00f3lares de beneficio por \u201cinterconexi\u00f3n de llamadas\u201c, quiz\u00e1 no hace falta descolgar la llamada, aunque si lo hace, el beneficio es a\u00fan mayor y m\u00e1s si cabe, si el n\u00famero destino es un n\u00famero \u2018premium\u2018 con un alto coste de establecimiento. El beneficiario suele ser una de las empresas intermedias o incluso la empresa que recibe la llamada, aunque est\u00e1 lo suficientemente oculto como para que no haya pruebas acerca de qui\u00e9n se beneficia del ataque del bot.<\/p>\n

El bot no se ejecuta \u00fanicamente en un sistema, si no en decenas de ellos de forma simultanea, por lo que es habitual que cuando detectemos un ataque procedente de una direcci\u00f3n IP, r\u00e1pidamente recibamos otros tantos de muchas otras m\u00e1quinas.<\/p>\n

Vale, ya sabemos c\u00f3mo ganan dinero, ahora \u00bfc\u00f3mo funciona?<\/p>\n

Lo primero que hacen es escanear rangos de IP de redes en busca de Servidores VoIP o Gateways con el puerto 5060 abierto, 5061, 5062, \u2026 un escaneo completo de este tipo tan solo requiere de 2 segundos por direcci\u00f3n IP, as\u00ed que una vez que encontramos un servidor con ese puerto abierto, pasamos al siguiente paso. Con decenas de servidores zombies, es cuesti\u00f3n de tiempo encontrar alg\u00fan servidor o gateway disponible.<\/p>\n

Lo siguiente es probar a enviar una petici\u00f3n de llamada an\u00f3nima a un n\u00famero de tel\u00e9fono de la red beneficiaria (por ejemplo, un n\u00famero premium 902 remunerado pero de un pa\u00eds donde la empresa tenga acuerdos, por ejemplo: Namibia) Si el sistema devuelve Ringing, entonces estamos de enhorabuena\u2026 la llamada progresa y la red est\u00e1 ganando dinero, tras lo cual enviar\u00e1 \u201ccientos\u201d de peticiones simultaneas de la misma manera. Pero si el sistema devuelve un \u201cForbidden\u201d o un \u201cDeclined\u201d, entonces el bot probar\u00e1 medidas m\u00e1s dr\u00e1sticas y pasar\u00e1 al siguiente paso.<\/p>\n

El siguiente paso es el m\u00e1s duro, la b\u00fasqueda de una cuenta SIP vulnerable con la que registrarse y poder hacer llamadas utiliz\u00e1ndola como pasarela. Para ello, empieza con un n\u00famero: 100 y contin\u00faa hasta el 999999.<\/p>\n

Por cada cuenta, el bot prueba diversas contrase\u00f1as:<\/p>\n

Usuario: 100
\nContrase\u00f1a: 100
\nContrase\u00f1a: 0100
\nContrase\u00f1a: 00100
\nContrase\u00f1a: abc100
\nContrase\u00f1a: 000
\nContrase\u00f1a: 1234
\nContrase\u00f1a: 12345
\nContrase\u00f1a: pass100
\n\u2026. y as\u00ed\u2026 cientos de miles de pruebas m\u00e1s\u2026<\/p>\n

Si no hemos logrado encontrar la contrase\u00f1a, el bot probar\u00e1 con el siguiente n\u00famero: 101 y as\u00ed, continuar\u00e1 hasta que encuentre una cuenta vulnerable, llegue a la cuenta 999999 o el servidor se quede sin ancho de banda y nuestro operador detecte un \u201cataque DOS\u201d y nos desconecte temporalmente.<\/p>\n

La ventaja de que el bot pueda hacer llamadas sin autentificar, es que \u201csolo prueba cientos de llamadas\u201c, mientras que si no puede hacer llamadas sin autentificar, intentar\u00e1 autentificarse por fuerza bruta y ser\u00e1 mucho peor (m\u00e1s intentos, m\u00e1s ancho de banda, m\u00e1s carga de procesador o peores consecuencias si encuentra una cuenta vulnerable).<\/p>\n

man in desperate pain-resized-600Si por desgracia encuentra una cuenta vulnerable (por ejemplo: 1000 y contrase\u00f1a: pass1000) el procedimiento que sigue es muy llamativo:<\/p>\n

El bot se registra como si fuera un softphone y empieza a hacer llamadas a n\u00fameros de pa\u00edses donde se encuentra la red beneficiada, a ser posible a n\u00fameros premium aunque si el n\u00famero no descuelga, alg\u00fan operador intermedio descolgar\u00e1\u2026 y nos cobrar\u00e1 la llamada internacional, esto no suele ser legal, pero que es tremendamente dif\u00edcil de detectar y mucho m\u00e1s dif\u00edcil, de denunciar.<\/p>\n

El bot detecta el n\u00famero de canales salientes disponibles, de forma que env\u00eda 100 peticiones de llamada y cuenta el n\u00famero de llamadas en progreso y cuantas han fallado, de esta forma, si recibe 60 llamadas en progreso, las llamadas ir\u00e1n de 60 en 60\u2026 para maximizar el n\u00famero de llamadas por tiempo y minimizar el n\u00famero de peticiones a realizar.<\/p>\n

Las llamadas suelen hacerse por la noche o los fines de semana, b\u00e1sicamente cuando la detecci\u00f3n es m\u00e1s dif\u00edcil y de esta forma, se estima que los atacantes se encuentran en pa\u00edses con diferente zona horaria que coincide con nuestras horas de sue\u00f1o. Tambi\u00e9n es posible que ataquen de d\u00eda, pero no es tan frecuente.<\/p>\n

Seguramente est\u00e9s pensando que despu\u00e9s de leer esto (si has llegado hasta aqu\u00ed) lo mejor es configurar un firewall y cerrarlo todo para prohibir cualquier acceso del exterior de tu red. Normal, muchas personas optan por esta opci\u00f3n, aunque es posible que depender al 100% de tu firewall no sea lo m\u00e1s recomendable. Ofrecer acceso remoto y redirigir las llamadas externas a un Hangup directo es otra posibilidad. Revisar la seguridad de tus cuentas SIP, forzar contrase\u00f1as duras, revisar los par\u00e1metros, etc\u2026 tambi\u00e9n es importante\u2026 hay muchas formas de prepararse para un ataque, lo importante es evitar huir y estar siempre alerta para ser capaz de detectar cuanto antes cualquier tipo de ataque y preparar las contramedidas necesarias para el caso que detectemos un ataque.<\/p>\n

Tomado de: https:\/\/www.sinologic.net\/blog\/2013-08\/como-funciona-ataque-voip-nuestra-centralita.html<\/p>\n

Telefon\u00eda VoIP con SoftSwitch<\/h2>\n

ServerVoIP<\/strong> te proporciona todas las herramientas necesarias para que crees y desarrolles tu negocio de comunicaci\u00f3n por internet.<\/strong><\/p>\n

Pertenece al Selecto Grupo de Emprendedores que decidieron cambiar su vida invirtiendo en un Server con ServerVoIP.<\/strong><\/p>\n

\"empresario\"<\/a>
\n