ФБР бросает тень на Asterisk

Skip to end of metadata
Go to start of metadata


5 декабря, подразделение ФБР под названием IC3 (Internet Crime Complaint Center), опубликовало (подарок Asterisk на его 9-ти летие) предупреждение об опасности использования АТС основанных на базе Asterisk. По утверждению ФБР, используя уязвимость в Asterisk, злоумышленник мог получить доступ к системе, и использовать её в своих целях.

Как выяснилось позже, ФБР имел ввиду  AST-2008-003 обнаруженную и исправленную в марте (завидная оперативность). Digium опубликовал на своем сайте  разъяснения, IC3 исправили первоначальный текст предупреждения - дополнив его новой информацией. Все бы закончилось хорошо, если бы не повальная любовь к копи-пейсту. Тысячи сайтов посвященных безопасности растиражировали (networkworld.com, arstechnica.com, xakep.ru, …) новость в первые же часы, нанеся вред деловой репутации компанииDigium и ПО Asterisk.

Западные коллеги отметились лишь копи-пейстом, а некоторые (например arstechnica.com) и вовсе исправили свое предупреждение в след за IC3. А вот наши отечественные “специалисты по безопасности” в лице сайта xakep.ru шагнули далеко вперед, дополнив перевод предупреждения, непонятным пассажем:

Сценарий атаки выглядит следующим образом. Киберпреступники создают фальшивый call-центр, а затем рассылают пользователям спам-сообщения,           призывающие их набрать его номер. После того, как номер набран, пользователя принуждают к разглашению конфиденциальных сведений. А в случае, который     описывает ФБР, преступники вообще используют легальные пользовательские системы, чтобы звонить своим жертвам напрямую. В течение часа с зараженной машины могут совершаться тысячи таких звонков.

Откуда берутся такие пассажи? виновато ли тут недостаточное знание английского языка? недостаточное знание мат.части? а может быть была использована очень старая версия промта? Это навсегда останется для меня секретом. В оригинале же ФБР писали вот что:

Vishing utilizes caller ID spoofing via [VoIP] to contact potential victims in order to gain access to their PII by convincing the victim that the criminal is associated with a legitimate business with a need to know the victim’s PII.

Т.е. речь идет о звонках с поддельным [CallerID] через захваченные компьютеры. Никаких злобных коллцентров, никто не просит набирать каких-то номеров.. Обыкновенный ботнет.

Что касается уязвимости - она была исправлена в марте, в версиях: 1.2.27, 1.4.18.1, 1.4.19-rc3 и 1.6.0-beta6. Так что всем кто ставил Asterisk после марта 2008 года, бояться нечего.

 Источник (спасибо,  sergee!)

Enter labels to add to this page:
Please wait 
Looking for a label? Just start typing.