Ya lo decía un empresario bloguero de un proveedor VoIP, cuando escribió un artículo comentando que por tener un Asterisk antiguo y mal configurado, alguien había descubierto una vulnerabilidad y había aprovechado su infraestructura para hacer miles de llamadas internacionales (varios miles de euros) y en aquel entonces, quizá la ignorancia, la falta de seguridad o simplemente el azar le costó su buen dinerito.
Hace poco un amigo me lo comentaba también, parece ser que bastantes «phreakers» se están aprovechando de vulnerabilidades de cualquier sistema VoIP o de una mala configuración para enviar peticiones INVITE (SIP) y poder hacer llamadas a Cuba a costa de los dueños de este equipamiento. Claro, las llamadas deben pagarse y ver en una factura cientos o miles de llamadas a Cuba no es precisamente barato. No únicamente a Cuba, estos asaltantes aprovechan tu «libre disposición de tu sistema VoIP» para llamar a cualquier país, o incluso a números Premium (los _[89]0[3456]XXXXXX) cuyos beneficiarios son, casualmente, ellos mismos, o algún familiar.
Al cabo de un tiempo, empecé a ver en algunos logs de varios Asterisk, intentos de registro, paquetes INVITES que llegaban desde IPs procedentes de Taiwan, China, Ukrania, Rusia, … y claro, como era evidente, cualquier petición iba diréctamente a la «i» de invalid. 😀 pero me llamó la atención la «agresividad extrema» con la que intentan enviar paquetes INVITE en cuanto descubren un puerto 5060 UDP abierto.
Pero no es únicamente Asterisk, realmente cualquier sistema tiene sus vulnerabilidades e incluso en sistemas cerrados como Cisco, Nortel y Avaya. Ya aparecen comentarios de administradores de sistemas propietarios anunciando sus ataques a las vulnerabilidades aún no descubiertas ni parcheadas. Esto es algo que se veía venir cuando uno observa el ritmo en el que avanza la VoIP. La ventaja de Asterisk es que la vulnerabilidad generalmente se corrige a las pocas horas de ser descubiertas, mientras que otros sistemas esperan «al segundo -martes- de cada mes» para hacerla pública junto con la corrección, pero para entonces, la empresa ya está arruinada, así que ya lo sabeis… en caso de duda, siempre es más seguro apostar por el software libre. 😛
Estos ataques no son fáciles de evitar, pero perfectamente posibles. ¿cómo?
– Estando al día en actualizaciones, vulnerabilidades y soluciones.
– Llevando un control exaustivo del sistema (versiones de paquetes, actualizando cada dos por tres)
– Observando los logs del sistema (comprobando los accesos y los intentos de ataques)
– Evitando utilizar puertos estándares (5060, 4569, 80, 22, etc…)
– Conociendo perféctamente el sistema por dentro
– Llevando un mantenimiento contínuo
– Una buena «educación» que nos enseñe a programar y configurar el sistema adecuadamente.
Ejemplo: De poco nos sirve tener en el contexto [general] del sip.conf el parámetro ‘context=default‘, si luego en el contexto [default] del extensions.conf tenemos algo como: include=>salientes
Estos fallos son de «tarjeta roja y expulsión«, pero por desgracia cada vez más frecuentes.
¿Soluciones a estos ataques?
– Un firewall, un mísero firewall puede librarnos de muchos problemas.
– Herramientas como el «archiconocido» PortSentry para evitar escaneos y ataques DoS
– Denegar peticiones al 5060/4569 UDP desde el exterior siempre que no tengamos usuarios SIP/IAX externos.
– Deshabilitar el «allowguest=yes» que traen algunos interfaces habilitado de serie. ¬¬ (estas cosas mosquean).
– DROPear cualquier paquete procedente de cualquier IP que no sea de nuestra red de confianza.
– Configurar el «realm», «defaultuser» y el parámetro «secret» SIEMPRE.
y sobre todo… un poco de sentido común y seguridad a la hora de permitir llamadas salientes… que ningún usuario llama 400 veces a Cuba el mismo día… 🙂
Nada, que os sea útil este aviso. 🙂
Basado en: SnapVoIP
En VentureVoIP veo la presentación de otra herramienta de auditoría de seguridad VoIP llamada WarVOX. Esta herramienta permite explorar, clasificar y auditar sistemas de telefonía. WarVOX busca diréctamente el audio y lo muestra como si fuese un «editor de sonidos». Una de las ventajas es que no tiene porqué utilizar ningún hardware de telefonía, lo único que necesita es una manera de hacer llamadas y así poder clasificar los números a testear en diferentes categorías: voz, faxes, módems, buzones de voz, menús IVR, tonos dtmf, etc…
Diversos rumores y comentarios me hacen ver que los fabricantes de terminales IP se están dando cuenta que la tecnología táctil (o multi-touch como equivocadamente lo llaman por ser más «comercial») es accesible y suficientemente atractiva para el usuario que bastantes fabricantes están empezando (en secreto todavía) a implementarla en sus nuevos productos.
El día de ayer recibí (y no exagero) más de 50 emails informándome que Nokia empezará a implementar un cliente Skype en sus nuevos móviles para que sean capaces de hacer llamadas vía Wifi o 3G.
Ya lo decía un empresario bloguero de un proveedor VoIP, cuando escribió un artículo comentando que por tener un Asterisk antiguo y mal configurado, alguien había descubierto una vulnerabilidad y había aprovechado su infraestructura para hacer miles de llamadas internacionales (varios miles de euros) y en aquel entonces, quizá la ignorancia, la falta de seguridad o simplemente el azar le costó su buen dinerito.
Matar al usuario (kill-the-user) es el conocido cambio del que ya hemos hablado en otras ocasiones y que tendrá como objetivo «actualizar» un poco el funcionamiento del canal SIP así como centrarlo para la utilización que normalmente se suelen hacer: