Aprovechando que es viernes, y tras algunos comentarios sobre la importancia del bug de SSL conocido como Heartbleed, hemos encontrado una explicación gráfica muy simpática de la gente de XKCD.
Categoría: Seguridad
Atención: Heartbleed muestra cómo tus servidores pueden ser vulnerables
Todos los sistemas operativos utilizan las librerías SSL (Secure Socket Layer) para cifrar y descifrar contenido, y ha sido en estas librerías donde se ha encontró un bug que permite a cualquiera con acceso a la red robar información protegida en un servidor web. Este bug es conocido con el nombre Heartbleed y no hay que confundirlo con el bug que se encontró en el GNUTLS hace poco que afectó a todas las distribuciones Linux, este es mucho más genérico y afecta a todo tipo de sistemas operativos.Concretamente lo que puede hacer el bug encontrado es mucho peor de lo que se supuso en un principio y es que permite «inyectar» información directamente a la memoria, lo que puede ser utilizado por exploits para ejecutar comandos como el que hace poco utilizaron para obtener usuarios y contraseñas en los servidores de correo de Yahoo o incluso algo mucho peor.
Cuando un fallo de seguridad puede arruinar tu negocio
Desde que alguien empieza a prepararse como administrador de sistemas y aprende cómo configurar servidores, leer tutoriales y configurar herramientas de monitorización, siempre le ha dado un especial interés a la seguridad, más aún si se relaciona con otros administradores de sistemas que hablan sobre la importancia de disponer de un sistema de detección de intrusos, anti-escaneos de puertos, y un largo etcétera de términos que haría dar marcha atrás a todo aquel que se intentara aventurar en el mundo de la seguridad informática.
Uno debe siempre tener claro que en cuanto a «seguridad informática» nunca se está a salvo, nadie puede garantizar que tus sistemas están a cubierto y que son completamente infranqueables. Creo que tantas películas sobre hackers pueden llevar la razón en que, basta con que alguien diga «este sistema es 100% seguro» empieza una cuenta atrás para que alguien acceda a él y haga perder aquello que pensaba que estaba a buen recaudo.
Una copia de seguridad es algo que debemos tener siempre. Alguien puede entrar en nuestro sistema, robarnos información, formatear nuestro disco duro,… pero mientras tengamos una copia de seguridad, siempre podremos volver a restaurar el sistema y todo (o casi todo) habrá pasado. El problema viene cuando perder los datos no es tan importante y lo que realmente nos da miedo es que hagan cosas que nos cuesten dinero, como por ejemplo, hacer llamadas internacionales a través de nuestro sistema de comunicaciones. Es entonces es cuando empieza la aventura.
Cómo funciona un ataque VoIP
Este mundo no es perfecto y por ese motivo existen personas que se aprovechan de descuidos, fallos y desconocimiento para ganar dinero pese al perjuicio de otros, incluso sin prestar atención al gran daño que producen estas acciones a las víctimas. Estamos hablando de los ataques VoIP que seguro, conocemos todos.
Después de tantos años en el mundo de la VoIP y comunicaciones en general, uno descubre que muchos amigos, clientes y conocidos ven impotentes como han sufrido ataques durante sus vacaciones, en navidad, un fin de semana cualquiera, o por la noche, causándoles un perjuicio económico bestial, no solo por tener una centralita con el puerto SIP abierto y disponible, si no por tener también gateways accesibles desde internet… fallos garrafales de seguridad que terminan con una factura telefónica inmensa y poniendo denuncias a la guardia civil aunque la cosa no pinta bien.
Existen muchos tipos de ataques: los provocados por personas ajenas o bien por personas conocidas y que están dentro de la red. Ataques de escucha de conversaciones, falsificación de cuentas, etc… pero en este artículo nos vamos a centrar en el que seguramente sea el más conocido de los ataques: el ataque remoto por millones de peticiones de llamada externa. Un día nos levantamos, vemos nuestro sistema y detectamos que no podemos realizar llamadas porque todos los canales están ocupados (o porque el operador no nos deja hacer más llamadas) y cuando miramos el registro de llamadas vemos cientos de miles de llamadas a números internacionales: China, Cuba, Albania, Pakistán, Congo, Rusia, etc… por poner unos ejemplos más característicos… tal y como anunciamos hace tiempo…
Hace unos años, la figura del Phreaker venía a ser el de una persona joven que quería poder hablar por teléfono sin pagar por la llamada. El objetivo principal estaba claro: hablar. Hoy día, el objetivo es muy diferente: ganar dinero, pero ¿cómo lo hacen? Vamos a verlo.
Múltiples vulnerabilidades en Cisco Unified Communications Manager
Cisco ha publicado en su último boletín de seguridad la existencia de múltiples vulnerabilidades y fallos de seguridad en su Cisco Unified Communications Manager que permiten a un atacante remoto tomar el control de los sistemas afectados.
Cisco Unified Communications Manager (Unified CM) contains multiple vulnerabilities that could be used together to allow an unauthenticated, remote attacker to gather user credentials, escalate privileges, and execute commands to gain full control of the vulnerable system. A successful attack could allow an unauthenticated attacker to access, create or modify information in Cisco Unified CM.
El pasado 6 de Junio, una empresa de seguridad francesa hizo público un informe sobre seguridad VoIP que incluía una demostración sobre varias maneras de atacar un sistema Cisco Unified Comunication Manager aprovechando vulnerabilidades no solucionadas.
Las versiones afectadas son desde la 7.1 hasta la 9.1, así como los distintos productos:
- Cisco Emergency Responder
- Cisco Unified Contact Center Express
- Cisco Unified Customer Voice Portal
- Cisco Unified Presence Server/Cisco IM and Presence Service
- Cisco Unity Connection
Más información sobre estas vulnerabilidades las podéis encontrar en Hispasec y en el mensaje oficial de Cisco.
¿Cuánto te importa que te escuchen las conversaciones?
La semana pasada apareció en todos los medios que la CIA, la NSA y el FBI tienen acceso directo a todos los sistemas Windows y MacOSX mediante puertas traseras instaladas en el propio sistema operativo (fuente), asimismo también nos enteramos que el gobierno de los EEUU tiene acceso y posibilidad de escuchar todas las conversaciones, mensajes, emails, chat, etc… de conocidas operadoras americanas (fuente).Anteriormente también supimos que el gobierno chino había ordenado crear puertas traseras que permiten el acceso remoto directamente en circuitos integrados de fabricación localizada en China, lo que le permite tener acceso a cualquier sistema, independientemente del sistema operativo (fuente)
También nos enteramos que Reino Unido está listo para empezar a hacer lo mismo que EEUU y escuchar llamadas, así como grabar y procesar mensajes que aparecen en Internet (fuente).
Todas estas vulneraciones a la intimidad/privacidad tienen una excusa: la lucha contra el terrorismo.
De hecho, desde hace varios años, todas las PBX, todos los operadores y todos los sistemas por los que pasa una conversación, tiene un requisito legal: tiene que ser capaz de realizar escuchas en tiempo real a petición de la policía y generalmente bajo una orden del juez. Cualquier administrador de centralitas conoce formas de escuchar conversaciones, grabarlas, … Todos los operadores de telefonía, o de VoIP tienen que guardar sus logs varios meses por si la policía así lo requiere, por lo que: ¿Cuán seguras son nuestras conversaciones?
La pregunta entonces es fundamental: Sabiendo que los gobiernos tienen las leyes y la capacidad de escuchar conversaciones telefónicas, leer tus emails, tu lista de llamadas telefónicas, acceso a tus Timeline de tus redes sociales, …
Generalmente siempre pensamos que, de todos los datos que generamos todos… nadie va a poner la mirada en alguien tan particular como nosotros, lo que se conoce como seguridad del tipo «arbol en el bosque».
No sabemos quién tiene acceso a nuestras conversaciones, a nuestros listados de llamadas, a nuestros mensajes de email, pero podemos esperar tranquilos en que no sea familia o amigo de nuestra competencia.
Hacking y Seguridad VoIP: El libro que todo administrador Asterisk debería tener
Por diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un administrador de sistemas, pero tan profunda como para ayudar a un experto a mejorar su seguridad y mantenerse al corriente de las nuevas técnicas.Otras de las ventajas, el idioma ¿cuantos libros serios sobre seguridad VoIP hay en español?
Pero hay más… ¿y cuantos se distribuyen en latinoamérica? ¿cuantos libros profesionales cuestan 20€?
Sobre el autor… quizá os suene @Pepeluxx (twitter) 😉
Sin duda, son todo ventajas.
Siempre me he considerado un administrador de sistemas con cierto nivel de paranoia sobre los ámbitos de seguridad, quizá la vida real no sea consciente de cuanta importancia tiene la seguridad en el día a día que vivimos y no se le dedique los suficientes recursos como debería, en otros casos, los recursos son bastante inútiles y se peca de inutilidad, como aquellos que tienen 3 firewalls uno detrás de otro, tienen prohibido dar acceso SSH porque es «inseguro» pero en cambio piden conectar por Teamviewer. La seguridad es algo imprescindible pero debe ser transparente, no debe perjudicar el funcionamiento habitual de una empresa, no debe ser un impedimento, debe proteger, no prohibir.
En cuanto a la seguridad en sistemas de comunicaciones, el 90% de los problemas de seguridad vienen por falta de conocimientos, no saber cómo funciona un dialplan y los parámetros de un usuario SIP, cerrar el puerto SIP o cambiar de puerto puede ser una solución, aunque sin duda no es la mejor. Lo más peligroso no son los ataques que nos puedan hacer por configurar mal un dialplan, si no aquellos ataques de los que no somos conscientes y no sabemos cómo solucionar. Esos son los verdaderos quebraderos de cabeza.
Sin duda, Hacking y Seguridad VoIP es un gran libro, algo que deberíamos tener todos los que nos dedicamos a la VoIP y más aún si hemos tenido alguna vez algún problema de seguridad, porque aunque sepas dónde está el problema, seguro que hay cientos de problemas que aún no conoces.
Os indico el índice del libro, únicamente para que podáis ver el contenido tan completo que tiene:
Ataques SIP y cómo protegernos
Una de las páginas de seguridad que me gustan (security by default), acaba de publicar un artículo sobre seguridad en VoIP, quizás algo breve, pero muy completa y donde enumeran los tipos de ataques SIP más conocidos, así como las herramientas que podemos utilizar para simular ataques y otras herramientas para detectarlos.
El artículo en cuestión es este: http://www.securitybydefault.com/2012/09/riesgos-reales-en-voip.html
Pero profundizando más sobre el autor del artículo (Jesús Pérez) he encontrado su blog que tiene mejor pinta y al que animo a que le echéis un vistazo en profundidad: http://nicerosniunos.blogspot.com.es/
DCAC: El departamento del FBI que te espía mientras hablamos
Cuando escuchamos a alguien diciendo que existe una organización secreta que se dedica a analizar todo el tráfico de internet, escuchar conversaciones telefónicas o leer los correos postales, lo primero que nos viene a la cabeza es el típico loco conspiranoico que cree que el gobierno le persigue y utiliza sus satélites para vigilarle día y noche. Películas como Public Enemy o Conspiración son algunos ejemplos que vienen a la mente en estos casos.Lo cierto es que, por raro que parezca, los satélites posiblemente no los utilicen para vigilarnos, pero todo lo demás no anda muy desencaminado.
La compañía del «Don’t be evil» tiene en su poder, la información de dónde vive un usuario que tiene Android, dónde trabaja, dónde pasa el fin de semana, si ha volado en los últimos años, además tiene acceso a su correo electrónico, a sus términos de búsquedas, a las páginas que ha previsualizado en su «Búsqueda Instantánea», qué le interesa en cada momento, incluso mucha más información que tardaríamos bastante en describir.
La compañía de la «fruta de Blancanieves» y el del «microblando» se abren apuestas sobre el número de puertas traseras que tienen instaladas para que ciertos organismos puedan acceder en cualquier momento a los datos, incluso cuando el usuario no tiene puertos mapeados en el router… por supuesto, todas estas teorías compiranoicas están a la orden del día. Hay quién se las cree y hay quién no, lo que ocurre es que cuando leemos cosas como «Descubierta puerta trasera en Windows» o cosas como «FBI crea unidad secreta para interceptar comunicaciones inalámbricas«, o cosas como «El FBI obliga a Facebook y a Google a permitir acceso para ver los datos personales de sus usuarios«, la mosca que tenemos todos detrás de la oreja y que nos molesta cuando empezamos a pensar mal, ya tiene hasta compañera.
Skype permite que puedan ver lo que descargas por BitTorrent
Muchos políticos en todo el mundo llevan bastante tiempo buscando la forma de «monitorizar» cómo la gente utiliza sus ordenadores, qué descargan, cuando y cómo obtener beneficios con esta información (denuncias, patentes, publicidad, etc). Incluso está a debate en la Unión Europea instalar una especie de «caja negra» que informe de todo lo que se descargan los usuarios.
Pues esa «caja negra» parece que ya está desarrollada, ahora sólo falta que la hagan legal:
Linux-Magazine, una de las mejores revistas sobre software libre, se hacen eco de un estudio donde se concluye que gracias a las vulnerabilidades de privacidad de la aplicación Skype, se puede facilmente explotarla para averiguar qué archivos se está descargando vía BitTorrent.
«Un estudio de investigadores del MPI-SWS de Alemania, la Universidad de Nueva York y del INRIA de Francia, demuestra que Skype es susceptible de un hack trivial que permitiría a un tercero acceder a información personal del usuario, incluyendo la monitorización de las descargas de BT, hasta el punto de saber que fichero se está bajando en cada momento.
Los investigadores advierten que otros sistemas de mensajería pueden ser susceptibles a ser hackeado, pero que se concentraron en Skype por contener «una vulnerabilidad de privacidad notable».
Concretamente, el estudio se centra en Skype, pero igualmente se puede conseguir con otras aplicaciones de mensajería basadas en P2P como Messenger MSN Live o Google Talk.
Aquí podéis ver el estudio:
http://cis.poly.edu/~ross/papers/skypeIMC2011.pdf
Todos los sistemas operativos utilizan las librerías SSL (Secure Socket Layer) para cifrar y descifrar contenido, y ha sido en estas librerías donde se ha encontró un bug que permite a cualquiera con acceso a la red robar información protegida en un servidor web. Este bug es conocido con el nombre Heartbleed y no hay que confundirlo con el bug que se encontró en el GNUTLS hace poco que afectó a todas las distribuciones Linux, este es mucho más genérico y afecta a todo tipo de sistemas operativos.
La semana pasada apareció en todos los medios que la CIA, la NSA y el FBI tienen acceso directo a todos los sistemas Windows y MacOSX mediante puertas traseras instaladas en el propio sistema operativo (
Por diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un administrador de sistemas, pero tan profunda como para ayudar a un experto a mejorar su seguridad y mantenerse al corriente de las nuevas técnicas.
Cuando escuchamos a alguien diciendo que existe una organización secreta que se dedica a analizar todo el tráfico de internet, escuchar conversaciones telefónicas o leer los correos postales, lo primero que nos viene a la cabeza es el típico loco conspiranoico que cree que el gobierno le persigue y utiliza sus satélites para vigilarle día y noche. Películas como Public Enemy o Conspiración son algunos ejemplos que vienen a la mente en estos casos.