Categoría: Seguridad

Asterisk 1.4.16 y 1.2.26 Released!
El equipo de desarrolladores de Asterisk nos anuncian que acaban de publicar la versión 1.4.16 y 1.2.26 de Asterisk que soluciona unos bugs reportado hace un par de semanas.
Entre los bugs más destacados se encuentra uno que afecta a los usuarios que configuran las cuentas IAX2 en RealTime con autentificación por «host» (host=X.X.X.X)
Podeis descargar la nueva versión desde donde siempre:
http://downloads.digium.com/pub/asterisk/asterisk-1.4.16.tar.gz
Y el ChangeLog correspondiente con los cambios de los bugs encontrados:
http://downloads.digium.com/pub/asterisk/ChangeLog-1.4.16
2007-12-18
TrixBox viene con spyware y exploit incluido!!!
Alucinado me quedo cuando leo en AsteriskGuru que acaban de descubrir que TrixBox incluye una aplicación oculta y controlada remotamente que envía datos recopilados de los usuarios. (alucina!)
La cosa mejora cuando descubren que no solo recopilan datos si no que además es capaz de ejecutar comandos desde el exterior provocando no solo agujeros de seguridad, si no el control del sistema a manos de personas que tienen acceso pero no el permiso correspondiente. (alucina más…)
Para colmo, en los foros de TrixBox se está liando un revuelo bastante grande con esto, ya que los trabajadores de Fonality intentan tranquilizar a los usuarios que preguntan constantemente por este nuevo descubrimiento.
Ahora es cuando recuerdo un viejo post que escribí hace algún tiempo y donde algunas personas dijeron que el código estaba disponible en la web de los distintos proyectos y claro, a la vista de esto ¿pensais que si realmente TrixBox fuera código abierto, los usuarios hubieran permitido semejante abuso?
Más información: http://nerdvittles.com/index.php?p=198
(Nota: veo que también Saúl se hizo eco de la primera parte)
2007-12-18
SIP MasterClass con Asterisk y OpenSER
Por un correo de Olle Johanson me entero que el curso SIP MasterClass que dará el próximo mes de Enero en Estocolmo además de con Asterisk también se añadirá una nueva aplicación al curso: OpenSER
Para dar la parte del curso relativa a OpenSER se contará con una persona especial: Daniel-Constatin Mierla (co-fundador y desarrollador de OpenSER), por lo que si el curso ya era MUY INTERESANTE, ahora lo será doblemente: Olle Johanson para la parte de Asterisk y Daniel Constantin para la parte de OpenSER.
El curso estará enfocado a la construcción de una infraestructura de tipo «carrier» o proveedor IP en una arquitectura de red escalable con Asterisk y OpenSER.
Como requisito para aprovechar el máximo el curso es necesario conocer Asterisk como mínimo al nivel que se da en la BootCamp, e imagino que algo de redes, y seguro que se agradece algo de experiencia SIP (entender un poco el ‘sip debug‘ o similar).
Podeis ver el currículum de los profesores, así como la estructura del horario del curso en la página web donde os podeis inscribir: http://edvina.net/training/sipmasterclass/index.shtm
2007-12-11
Descubierta vulnerabilidad en el SJphone por RTP
El SJPhone es uno de los softphones SIP opensource más utilizados debido a que es gratis, funciona en Windows, Linux, Mac, WindowsMobile y WindowsCE, y pese a que las últimas versiones a veces les da por hacer raros como consumir el 100% del procesador, es uno de los softphones más recomendados de la red.
Leo en VOIPSEC que han descubierto que una implementación especial de paquetes RTP podrían ocasionar la ejecución de código no deseado como lo demuestra un tal Christian en esta web:
http://www.ee.oulu.fi/research/ouspg/protos/sota/SSI2006-rtp/
2007-12-05
Cuidado con el phishing de Skype
Había recibido emails de falsos bancos, de falsos paypal, etc, lo que no me imaginaba es que iba a recibir un phising de skype.
Recibo un correo solicitándome los datos de una supuesta cuenta de skype que en ningún momento indica cual es, y que si para el 15 de diciembre no lo ha recibido, la cuenta será suspendida.
Como siempre el correo trae un enlace que apunta a un dominio brasileño, con tan mala fortuna que en el whois aparecen los datos del responsable: duplitec@vitalmaster.com
Vamos, que si se descuida, hasta da el número de carné y el de celda, porque con lo torpe que es, seguro que ya está entre rejas.
A lo importante, que tengais cuidados los usuarios de Skype, que hay gente mala.
2007-12-03
Asterisk Addons 1.4.5 y nueva versión códec G729
Del equipo de desarrolladores de Asterisk recibo un correo con dos actualizaciones interesantes:
Asterisk-addons-1.4.5:
Compatible con la versión actual de Asterisk 1.4.15 y algunos errores solucionados.
Version 33 del códec G729:
Es una actualización para que funcione el códec G729a con la última versión de Asterisk.
Podeis descargarlo de http://downloads.digium.com/pub
2007-12-01
Asterisk 1.4.15 y 1.2.25 Released!
El equipo de desarrolladores de Asterisk nos avisa de una nueva versión tanto de la versión 1.4 como de la 1.2
A muchos les sonará extraño que se actualice la versión 1.2 ya que se conoce que esta versión quedó fuera de mantenimiento desde el mes de Agosto, pero debido a la gravedad de los bugs corregidos, y conociendo la cantidad de personas que todavía utilizan la versión 1.2, han decidido sacar una actualización también para esta versión.
Los bugs que corrige esta versión los podeis ver en los informes de seguridad que acompañaba el anuncio de esta nueva versión:
http://downloads.digium.com/pub/asa/AST-2007-025.pdf
* This is a SQL injection vulnerability in the res_config_pgsql module.
Default installations of Asterisk are not affected. However, any system using
the Postgres Realtime Engine may be remotely exploitable. This issue only
affects Asterisk 1.4, as this module was not in Asterisk 1.2.
http://downloads.digium.com/pub/asa/AST-2007-026.pdf
* This is another SQL injection vulnerability. The input for the ANI and DNIS
fields were not properly escaped. Default installations of Asterisk are not
vulnerable. However, systems that use the Postgres CDR logging module may be
remotely exploitable. This issue affects both Asterisk 1.2 and 1.4.
Y la nueva versión la podeis descargar desde donde siempre:
http://downloads.digium.com/pub/asterisk
2007-11-30
SipTap: Grabador, organizador y monitorizador SIP
Viendo alguna que otra noticia sobre que los «juankers» amenazan las redes VoIP instalando troyanos en los servidores, he topado con una aplicación que tiene una pinta estupenda.
La aplicación se llama «siptap» y pese a que oficialmente sirve para monitorizar llamadas VoIP y comprobar lo vulnerable que puede llegar a ser nuestra infraestructura, su utilización puede incluso sernos más útil como un sistema de grabación separado de Asterisk, algo que seguro que a más de uno le interesa bastante.
Lo mejor, como suele ser en estos casos, es que la aplicación sea código libre, pero en esta ocasión parece que no lo es, aún así, la demostración que tienen publicada, seguro que deja a más de uno con un buen sabor de boca.
Enlace: http://siptap.voipcode.org
Cuando se requieren de aplicaciones profesionales, conozco dos con mejor pinta:
– Oreka: Una aplicación sniffer opensource y comercial aunque algo pesadilla (tomcat+java+jsp+…)
– Oak: Un sistema comercial completo y profesional de grabación.
2007-11-27
Asterisk 1.4.14 Released!
Ayer publicaron la versión 1.4.14 de Asterisk, una versión que soluciona algunos bugs interesantes.Podeis ver la lista de cambios en el Changelog.Y descargarlo de aquí: asterisk-1.4.14.tar.gz
2007-11-18
El nuevo firewall del Leopard bloquea Skype!
Ya había leído alguna «crítica» con respecto al firewall que trae la última versión del MacOSX, que si viene deshabilitado por defecto, que si no funciona corréctamente, y algunas cosas más. ( http://www.kriptopolis.org/primeras-criticas-cortafuegos-macosx-leopard )
Lo último que he leído me ha llamado la atención y es que, por muy malo que pueda parecer el firewall, consigue hacer algo que no hacen ni siquiera programas especializados en firewalls: consigue bloquear Skype!
http://www.voip-news-net.com/2007/11/new-firewall-fo.html
2007-11-05