Sinologic

Categoría: Seguridad

  • Anonymous amenaza con publicar el código fuente de Nimbuzz

    Nimbuzz, una compañía holandesa que ofrece una aplicación para dispositivos móviles similar a Fring y que permite interactuar con redes sociales y mensajería instantánea, es acusada por Anonymous de bloquear el tráfico VoIP en países que están inmersos en revoluciones populares como Egipto o Siria.

    Como esta acusación sin más apenas tiene respuesta, Anonymous advierte en un comunicado, que se hna hecho con el código fuente de esta aplicación y más aún: con todo el contenido del servidor Subversion (más de 120Gb de código) por lo que amenazan con hacerlo público si no revierten su actuación y dejan de bloquear el servicio de VoIP en estos países.

    Para dar a entender que disponen de los datos, han liberado algunos archivos «inocentes» procedentes del portal web procedentes del servidor SVN para que se den cuenta que hablan en serio.

    We DO NOT tolerate any kind of censorship of communication.

    We DO NOT tolerate companies working in collusion with governments to stop the
    free flow of information

    We WILL expose these companies to the public to show how their information can
    be manipulated and censored by the governments and corporations that work with
    them

    Thus, we release the document mentioned above in full as well as some other
    information from their CMS. As a bonus we have also acquired some code from the
    /trunk directory on their svn. In total we downloaded over 120 Gigabyte of
    source code but will not release it..yet.

    Take heed, governments that seek to oppose the people who elect them and the
    corporations who the people work for – We will not stand idly by while you take
    away our electronic and physical freedom.

    «People should not be afraid of their governments. Governments should be afraid
    of their people.»

    ¿Estás de acuerdo con este tipo de acciones?

    (más…)

  • Grave fallo de seguridad en terminales Polycom

    Según un artículo de Vicente Motos en HackPlayers, los terminales IP de Polycom tienen un fallo garrafal en cuanto a seguridad que les permite mostrar la contraseña de la cuenta SIP en el propio código fuente de la página web.

    Para conocer los datos de la cuenta SIP, tan solo tenemos que acceder al interfaz web del terminal Polycom con los datos por defecto: «Usuario: Polycom» y «Contraseña: 456«, entrar en el apartado Lines -> Line1, y de ahí, buscamos en el navegador la opción para obtener el «Código fuente de la página web«. Veremos entonces algo como esto:

    Captura de http://hackplayers.blogspot.com/

    Donde veremos que, correspondiente a la contraseña de la cuenta, podemos ver la propia contraseña de la cuenta SIP, que, unido a los datos del «Servidor» y el «Usuario», cualquiera que tenga acceso al interfaz del terminal, puede acceder a la cuenta SIP, vamos lo que viene siendo, un fallo garrafal de seguridad.

     

    (más…)

  • La OTAN utiliza Asterisk como sistema de comunicaciones seguro

    Todos los que trabajamos con Asterisk destacamos su flexibilidad, la ventaja de disponer del código fuente, la rapidez de respuesta en la corrección de fallos y la seriedad de sus desarrolladores, la gran cantidad de documentación disponible y una comunidad siempre dispuesta a ayudar, pero las empresas suelen ver otras ventajas como el coste general frente a cualquier otra solución comercial, la facilidad de implantación, el soporte técnico especializado, su gran capacidad de adaptación a los objetivos requeridos, y la utilización de estándares que se convierte en una gran oferta de dispositivos compatibles de todo tipo y de cualquier precio.

    Foto por isafmedia en Flickr (CC)

    (más…)

  • Nuevas versiones de Asterisk corrigen vulnerabilidades

    El equipo de desarrolladores de Asterisk acaban de anunciar las nuevas versiones de Asterisk 1.6.1.23, 1.6.2.17.1 y 1.8.3.1 que corrigen dos vulnerabilidades recién descubiertas:

    • Resource exhaustion in Asterisk Manager Interface (AST-2011-003)
    • Remote crash vulnerability in TCP/TLS server (AST-2011-004)

    El ChangeLog de estas versiones las puedes encontrar aquí:

  • Descubierto el método para obtener las claves de las redes WLAN y JAZZTEL

    En BandaAncha lo dejan tan claro que mejor lo copio:

    Seguridadwireless ha averiguado el patrón utilizado por ambas operadoras para configurar las claves WPA por defecto con las que se proporciona el router a los clientes. Una herramienta online permite calcularla simplemente introduciendo el nombre de la red (WLAN_XXXX y JAZZTEL_XXXX) y la MAC del punto de acceso, dos datos públicos que el router transmite constantemente.

    El fabricante establece en el router una clave por defecto, utilizando un algoritmo que se basa en el nombre de la red y la MAC del punto de acceso. Desde el 24 de noviembre, seguridadwireless asegura que conoce este patrón y después de contactar con Comtrend y no obtener respuesta, ha decidido hacer publico su hallazgo. Por el momento no han publicado el algoritmo, pero sí un formulario online donde se puede introducir ambos datos y calcular la clave.

    Leer el resto de la noticia:
    http://bandaancha.eu/articulo/7650/desvelado-patron-claves-wpa-redes-wlan-xxxx-jazztel-xxxx-utilizadas-movistar-jazztel

    *Actualización: 16:00h.*
    Por lo que comentan en los comentarios de la noticia, el formulario lo ha retirado a las 15:00.
    Suponemos que habrán recibido algún aviso por parte de alguno de los operadores afectados.

  • El FBI avisa de un ataque masivo a la VoIP

    Después de varios meses recibiendo avisos, comentarios y revisando logs sobre ataques a sistemas VoIP estaba claro que los distintos rangos de direcciones IP que son asignadas al continente europeo han recibido la visita de diversos grupos de hackers (o como sería más correcto, phreakers) que aprovechando sistemas mal configurados, vulnerabilidades varias y despistes por parte de los administradores, se han aprovechado de estas y han realizado millones de llamadas a países donde el coste de establecimiento es el más alto: Cuba, Nigeria, Venezuela, China, y algunos números extraños con el prefijo +88220 donde el coste medio supera el euro por establecimiento y otro por minuto.

    Después de unos meses en los que Europa, todos los administradores de VoIP, así como los fabricantes europeos y asiáticos de productos de VoIP se pongan al día y solucionen algunos que otros problemas de seguridad, los administradores de sistemas VoIP adopten medidas seguras para la detección y bloqueo de posibles ataques, el FBI informa ahora que están empezando a recibir ataques a sistemas de VoIP de EEUU.

    El modus operandi de los ataques anunciados por el FBI son exactamente los mismos registrados en Europa y están provocando cientos de miles de dólares en pérdidas por cada sistema atacado con éxito, lo que ha obligado al FBI a redactar una nota de prensa para advertir a todos los usuarios que vigilen sus sistemas y mejoren las medidas de protección ante descuidos como cuentas VoIP sin contraseñas o con contraseñas triviales ya que los atacantes utilizan el sistema de fuerza bruta para acceder a estas cuentas y poder realizar cientos de llamadas a la hora.

    Ya hemos hablado bastante sobre este tema, dados multitud de consejos y trucos sobre seguridad, e incluso hemos desarrollado algunas herramientas como un tester básico de llamadas sin autentificación y un sistema de vigilancia contra ataques por fuerza bruta. Otros compañeros están desarrollando sistemas Honeywall para atrapar a los atacantes, limitando el número de llamadas internacionales, disponiendo de diversas formas de seguridad tanto activas como pasivas, pero como siempre se dice en estos casos, aunque la paranoia nunca es buena consejera, siempre es mejor prevenir que curar.

    A veces uno siente cierta «envidia» sobre porqué un organismo com el FBI informa de este tipo de ataques y en cambio, las fuerzas de seguridad europeas no han dicho nada. 🙁

    La nota de prensa del FBI:
    http://newark.fbi.gov/pressrel/pressrel10/nk051110.htm


  • SIPCheck: Vigila quien intenta registrarse en tu Asterisk

    Hace unas semanas creamos una pagina web desde la que podíamos comprobar si nuestro Asterisk era vulnerable a INVITES externos sin autenticación. Por la cantidad de emails que recibí tanto de usuarios de España como los de otros países, ví que una gran cantidad de usuarios admitían paquetes INVITES sin autenticación.

    Por lo general, esto no es en absoluto erróneo, entra dentro de la filosofía de la VoIP que podamos admitir llamadas anónimas desde otros sistemas para poder ponerlas en contacto con usuarios que tengamos registrados en nuestro Asterisk, pero conociendo la cantidad de usuarios que permiten esto (apenas un 5%), el resto se podría considerar que utilizan un interfaz web como FreePBX que configura por defecto el famoso parámetro ‘allowguest=yes’ en lugar de rechazarlo.

    Asterisk 1.4 y 1.6 también configuran por defecto este parámetro, pero por supuesto es responsabilidad de cada uno conocer el significado de estos parámetros y actuar en consecuencia.

    Durante una charla/debate/brainstorming que tuvimos en el último curso de Asterisk Advanced en Bilbao, aparecieron algunas ideas bastante interesantes y que nos gustaría compartir desde aquí:

    (más…)

  • Comprueba ahora si tu Asterisk es vulnerable a los ataques

    Desde hace algún tiempo venía comentando por aquí, que hay ciertas personas (por llamarlas de alguna forma) que aprovechan alguna configuración incorrecta, algo que se dejó de la mano de algún interfaz web y no se ha comprobado que es correcto, o simplemente el descuido de alguna modificación al ir a hacer alguna prueba, para hacer llamadas a costa de nuestros sistemas. Ya hablamos de esto en el artículo «La VoIP mal configurada llama a Cuba«.

    Tras conocer un par de casos críticos y dolorosos, se me ocurrió hacer una pequeña utilidad, una herramienta básica, sencilla algo rápido pero útil que permitiese a cualquiera saber si su sistema SIP conectado a Internet, tiene una configuración que permita realizar este tipo de ataques, de forma que indicando los parámetros mínimos, podremos saber qué respondería el servidor en caso de ataque.

    Esta herramienta lo único que hace es enviar al servidor indicado, un paquete INVITE un poco «tuneado» de forma que la herramienta «simulará» a un atacante intentando utilizar nuestro servidor para hacer una llamada, pero en lugar de a algún país extraño, será a nuestro móvil. Si conseguimos hacer una llamada (y recibirla), entonces es que algo no va bien y tendremos que revisar la configuración.

    Para aquellos interesados en verificar que su configuración es segura, os recomiendo apuntar esta web en los favoritos y hacer las pruebas correctas para aseguraros que estais a salvo de los ataques de estos «personajes».

    http://www.sinologic.net/proyectos/checkSecurity/

    Antes de nada, agradecer a mi colega Iñaki Baz por sus consejos a la hora de generar el INVITE  ;D

    Hay que tener en cuenta que si el resultado del test es Trying, significa que la llamada se está procesando y por lo tanto debemos revisar la configuración para evitar este resultado.

    (más…)

  • Una nueva versión de Asterisk corrige el dialplan injection

    Hace una semana Olle Johansson anunció un fallo de seguridad bastante interesante, pero no me atreví a escribir sobre él hasta que no lo hubiésemos probado y al fín lo hicimos, y los resultados son escalofriantes:

    Imaginemos que utilizamos un terminal IP (o softphone) con una cuenta limitada a extensiones SIP, en principio sólo podríamos llamar a extensiones SIP, pero el bug explica cómo aprovechar una mala programacion del dialplan y poder llamar a donde queramos:

    El fallo de seguridad ocurre principalmente si tenemos una línea como esta:

    exten=>_X.,1,Dial(SIP/${EXTEN})

    De manera que cualquier número que marquemos, intentará llamar por SIP:

    Si marcamos 800, en el dialplan se ejecutará: exten=>800,1,Dial(SIP/800)
    Si queremos llamar hacia el exterior, marcamos 952123456, y en el dialplan se ejecutará: exten=>952123456,1,Dial(SIP/952123456)

    Claro, que si no tenemos una extensión SIP con ese número, no hará nada y colgará la llamada.
    Pero como todos ‘deberíamos’ saber, el comodín punto ‘.’ admite cualquier cosa y tantas como queramos (símbolos, letras, etc) por lo que si en lugar de utilizar un terminal IP utilizamos un softphone, podríamos llamar a nombres o a cualquier cosa que podamos escribir:

    Si marcamos 3pepota, en el dialplan se ejecutará:
    exten=>3pepota,1,Dial(SIP/3pepota)

    Tampoco llamará a nadie, ya que la extensión 3pepota no existe.

    (más…)

  • Nuevas versiones de Asterisk 1.6 corrigen bug en T.38

    Un bug encontrado en el soporte de T.38 que trae de serie Asterisk 1.6 acelera la publicación de nuevas versiones de Asterisk 1.6.

    El soporte de T.38 que trae Asterisk 1.6 no es precisamente un todo-terreno, de hecho la gran mayoría de las situaciones en las que más podemos pensar que nos interesa utilizar T.38 (para enviar y recibir faxes a través de VoIP) se convierte en toda una odisea si pensamos que con Asterisk 1.6 lo podemos hacer sin más.

    Hace un par de días, Asterisk™ publicó una nota de seguridad que afirmaban haber encontrado un bug donde modificando el campo FaxDatagram en el SDP provocaba que Asterisk dejara de funcionar, algo que se solucionó con un parche que ya viene incluida en las nuevas versiones de Asterisk 1.6:

    – Asterisk 1.6.0.22 (ChangeLog)

    – Asterisk 1.6.1.14 (ChangeLog)

    – Asterisk 1.6.2.2 (ChangeLog)

    Por supuesto, Asterisk 1.4, al no soportar de serie este tipo de datos no es vulnerable y por lo tanto no ha requerido de actualización.

    Para descargar: http://downloads.digium.com/pub/asterisk/