<div dir="ltr">Hugh,<div><br></div><div>I am not sure about the legality of contacting the people with publicly accessible </div><div>unprotected devices. Even if we could identify the (responsible) person, and their email; those kinds of mails usually need to done as opt-in. As we discussed at Astricon there is a fine line between letting people know about a general problem and being perceived as being responsible for it. Someone even suggested that Digium create a database and let users know, but we were all sure that their legal department would not approve it. Hence putting it here in the mailing list.</div>

<div><br></div><div>As to these unprotected phones not affecting us, in most cases I would disagree. These phones are either:</div><div>1 - potential fraud point on our: customer/company networks</div><div>2 - potentially able to be used to hit other networks of our customer/company</div>

<div><br></div><div>Education and proper configuration seem to be the only option.</div><div><br></div><div>Eric</div><div><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex">


----------------------------------------------------------------------<br>
<br>
Message: 1<br>
Date: Mon, 14 Oct 2013 18:13:43 -0500<br>
From: Hugh McLenaghan <<a href="mailto:hughmcl@hotmail.com">hughmcl@hotmail.com</a>><br>
To: "<a href="mailto:asterisk-security@lists.digium.com">asterisk-security@lists.digium.com</a>"<br>
        <<a href="mailto:asterisk-security@lists.digium.com">asterisk-security@lists.digium.com</a>><br>
Subject: Re: [asterisk-security] Sometimes, Reality is far more scary?<br>
Message-ID: <BAY172-W227D6BC6A94E52090C622FBF1A0@phx.gbl><br>
Content-Type: text/plain; charset="iso-8859-1"<br>
<br>
<br>
It is definitely scary how many IP phone devices out there are unprotected and have their credentials easily crackable.  Luckily most of the people that were at the convention are there for good purposes.   Just think what kind of damage that can be done if the information gets into the wrong hands.   Of course the information is readily accessible, but at the moment I don't think that those who do damage know about the site in the blog.<br>


<br>
I'm wondering if it would be smart to set up a communication network to notify or at least assist in notifying all those people with unprotected devices on the internet.  I for one, would be interested and willing to participate in such a 'movement' or security move.   Of course I don't want to get in trouble for attempting to hack which is the other downside here, in that although we're wanting to do this for good, it may end up in hurting us.<br>


<br>
These easily hackable devices, may not directly affect us, however at some point it will, as those who have those devices might end up using our networks, and then we'd also be the targets of these attacks.<br>
<br>
Thoughts?<br>
<br>
            Hugh McLenaghan<br>
<br>
<br></blockquote></div>
</div></div></div>