5 декабря, подразделение ФБР под названием IC3 (Internet Crime Complaint Center), опубликовало (подарок Asterisk на его 9-ти летие) предупреждение об опасности использования АТС основанных на базе Asterisk. По утверждению ФБР, используя уязвимость в Asterisk, злоумышленник мог получить доступ к системе, и использовать её в своих целях.
Как выяснилось позже, ФБР имел ввиду AST-2008-003 обнаруженную и исправленную в марте (завидная оперативность). Digium
опубликовал на своем сайте разъяснения
, IC3 исправили первоначальный текст предупреждения - дополнив его новой информацией. Все бы закончилось хорошо, если бы не повальная любовь к копи-пейсту. Тысячи сайтов посвященных безопасности растиражировали (networkworld.com, arstechnica.com, xakep.ru, …) новость в первые же часы, нанеся вред деловой репутации компанииDigium
и ПО Asterisk.
Западные коллеги отметились лишь копи-пейстом, а некоторые (например arstechnica.com) и вовсе исправили свое предупреждение в след за IC3. А вот наши отечественные “специалисты по безопасности” в лице сайта xakep.ru шагнули далеко вперед, дополнив перевод предупреждения, непонятным пассажем:
Сценарий атаки выглядит следующим образом. Киберпреступники создают фальшивый call-центр, а затем рассылают пользователям спам-сообщения, призывающие их набрать его номер. После того, как номер набран, пользователя принуждают к разглашению конфиденциальных сведений. А в случае, который описывает ФБР, преступники вообще используют легальные пользовательские системы, чтобы звонить своим жертвам напрямую. В течение часа с зараженной машины могут совершаться тысячи таких звонков.
Откуда берутся такие пассажи? виновато ли тут недостаточное знание английского языка? недостаточное знание мат.части? а может быть была использована очень старая версия промта? Это навсегда останется для меня секретом. В оригинале же ФБР писали вот что:
Vishing utilizes caller ID spoofing via [VoIP] to contact potential victims in order to gain access to their PII by convincing the victim that the criminal is associated with a legitimate business with a need to know the victim’s PII.
Т.е. речь идет о звонках с поддельным [CallerID] через захваченные компьютеры. Никаких злобных коллцентров, никто не просит набирать каких-то номеров.. Обыкновенный ботнет.
Что касается уязвимости - она была исправлена в марте, в версиях: 1.2.27, 1.4.18.1, 1.4.19-rc3 и 1.6.0-beta6. Так что всем кто ставил Asterisk после марта 2008 года, бояться нечего.