Sinologic

Etiqueta: im

  • La ironía de exigir seguridad y también una puerta trasera

    La ironía de exigir seguridad y también una puerta trasera

    Hoy traigo a debate una opinión que llevo algún tiempo en la cabeza, no es algo fácil ni claro, pero…

    Si eres el responsable de la información de una empresa, da igual que sea grande o pequeña, si guardas las contraseñas sin cifrar y alguien se entera, te puede caer una multa grande. Las contraseñas deben estar cifradas o almacenar, en su lugar, un código Hash de dicha contraseña. Si quieres almacenar datos privados de tus clientes, éstos deben estar a buen recaudo: disco duro cifrado, protegido con contraseña, cifrar todo lo que se pueda, etc. Máxima protección en el almacenaje.

    Si quieres solicitar datos a clientes o quieres enviar o recibir datos privados de clientes, éstos deben hacerse mediante protocolos seguros, cifrados a prueba de «escuchas» o sistemas «MITM» que puedan capturar la información.

    Si quieres sacarte algún certificado tipo ISO27001, ENS, NIS2 o similar, la seguridad es prioritaria: todo debe ir cifrado, todo bien guardado y pobre de ti si te entran y extraen los datos, porque te caerá una multa alucinante.

    El Esquema Nacional de Seguridad (ENS) establece como requisito fundamental la protección de la confidencialidad de las comunicaciones y datos mediante el uso de cifrado robusto. Se recomienda el uso de protocolos como HTTPS y SSL/TLS para asegurar que los datos intercambiados estén protegidos contra interceptaciones no autorizadas. [https://www.aesseguridad.es/news/91/04_ENS_Cifrado.pdf]

    Irónicamente, si hiciéramos caso a todo lo que se exige desde el punto de vista de la seguridad de la información considerando que una llamada telefónica es «información altamente sensible» y cifrásemos todo lo que enviamos o recibimos y todo lo que almacenamos para evitar que alguien no autorizado pueda acceder, estaríamos legalmente cubiertos ¿verdad?

    La ironía de la seguridad en Europa

    Si creara un sistema de mensajería con un sistema cifrado seguro que nadie excepto el remitente y el destinatario pudieran saber qué se ha dicho (lo que se supone que hace los sistemas de mensajería actuales que utilizan el cifrado E2EE end-to-end encryption-) , que no guardara los datos con el objeto de garantizar la seguridad, o si creara y gestionara un sistema VoIP desde un teléfono IP a otro teléfono IP, totalmente cifrado, con un algoritmo de cifrado similar y muy fuerte que evitase completamente que alguien pudiera escuchar las conversaciones ajenas (ni siquiera los servidores por los que pasan las conversaciones), entonces tendríamos un gran problema: no podríamos colaborar con la policía si un juez decidiera que hay que intervenir el teléfono o escuchar una llamada, o leer una conversación de este sistema de mensajería.

    Entonces ¿en qué quedamos? ¿se puede crear un sistema realmente seguro? ¿o es ilegal porque no puedes garantizar la colaboración con la policía y demás cuerpos de seguridad? ¿o no es posible crearlo en Europa? Como europeo, no me puedes exigir seguridad y por otro lado decirme que tiene que ser intervenible

    Todo operador de telefonía está obligado a colaborar con las fuerzas y cuerpos de seguridad del estado, así como si un juez solicita intervenir un teléfono, debe poder hacerlo con la infraestructura que tenga este operador. Actualmente en la red de telefonía, «gestionada» por los grandes como Movistar, Orange-MasMovil y Vodafone, su infraestructura ya permite de facto esta «intervención legal», por lo que si la llamada viaja por la red de telefonía, va sin cifrar, te guste o no.

    Un ejemplo real

    Hace unos años vino un cliente que se dedicaba a realizar llamadas con información muy confidencial (números de tarjetas de crédito, saldos, cobros, etc.) y necesitaba realizar llamadas telefónicas a sus clientes por lo que exigía una conexión desde su centralita mediante VPN, SIP con TLS y SRTP para evitar que alguien interceptara sus conversaciones y una garantía legal de que toda la comunicación era completamente cifrada.

    Hasta cierto punto puedes darle lo que te pide, pero en cuanto la llamada sale de tus sistemas a la red telefónica (la PSTN) a través de un operador como Movistar, Orange o Vodafone, la llamada será tan transparente y vulnerable como cualquier otra. Quizá puedas cifrar la conexión con algún operador y aún así, la infraestructura de los operadores no está pensada para ir cifrada, por lo que al final todo viajará «en plano».

    Es triste, pero es así.

    Ejemplo de códec hardware (web)

    En los entornos militares, utilizan sistemas propios y físicos para cifrar cualquier conversación entre dos teléfonos, una especie de «códec hardware» que deben tenerlo ambos extremos, uno codifica y el otro decodifica, pero este «códec hardware» es inútil en caso de querer hacer una llamada a un teléfono normal y corriente que no tenga en su extremo ese otro «códec hardware» (tiene un nombre, pero por seguridad, prefiero llamarlo así).

    En otros entornos privados, (entre los teléfonos y la centralita) también se cifran con algoritmos básicos como SRTP y poco más, de manera que si algún experto necesita escuchar una conversación, tampoco se le puede poner muchos impedimentos. Quizá con eso sería suficiente… quién sabe, pero me huelo (visto lo fácil que es conseguir filtrar una grabación de un juzgado) que lo querrán sencillo, en mp3 y en un pendrive con FAT32.

    ¿Y si mi sistema es totalmente cifrado E2EE para dar seguridad TOP a mis clientes y recibo una petición de la policía?

    Básicamente es el dicho «el que hace la ley, hace la trampa«: Todo debe ser ultra seguro y pobre de ti si un hacker te entra y vende al mejor postor tus grabaciones, listados de clientes, llamadas, etc… la multa va a ser monumental… y por otro lado, si haces eso, estás obligado a tener una «puerta trasera?» para permitir la intervención judicial y colaborar con los cuerpos de seguridad.

    ¿Hasta qué punto es legal montar un sistema de VoIP con SRTP y TLS (cifrado) si luego puede llegarme un requerimiento para escuchar una conversación entre dos usuarios de mi red?

    Al final, son las empresas de fuera: Whatsapp, Telegram, etc… las que cifran y dan seguridad y, si llega un requerimiento judicial, con decir que son empresas americanas, se libran de todo estos follones, pero ¿y los que somos europeos? A decir verdad, en los EEUU además de U.K, Australia, Canada, New Zealand, India y Japan también están obligados a cifrar toda comunicación y a instalar «backdoors» en sus software para que puedan entrar la CIA, el MI6, los पुलिस अधिकारी y la 何でも代理.

    La seguridad es importante para evitar ataques de extraños, pero si obligan a que extraños puedan entrar y acceder a tu infraestructura y hacer lo que quieran, entonces no hay seguridad que proteja tus datos.

  • Digium lanza una beta pública del nuevo Chan_skype

    Desde que supimos que Digium estaba desarrollando un nuevo canal para compatibilizar Skype (chan_skype) en Septiembre del año pasado, poco o nada más se ha sabido salvo algunas betas privadas a desarrolladores y betatesters en las que según todos a los que le he preguntado, funcionar, funcionaba bastante bien.

    No obstante, aún no se sabe mucho más acerca del coste que tendrá, carga del sistema o cuando estará disponible, hasta hoy que he recibido un email invitándonos a probar durante el mes de agosto (porque la beta pública expira el 31 de Agosto) el nuevo canal Skype para Asterisk.

    Make Skype to Skype calls
    • Calls to landlines and mobile phones
    • Receive calls with SkypeIn
    • Make world-wide PSTN calls with SkypeOut
    • Make and receive multiple concurrent Skype calls from the same Skype account
    • DTMF support for incoming and outgoing calls
    • Read Skype profile fields from incoming calls
    • Set and retrieve online status
    • Set privacy settings
    • Handle incoming Skype calls using all Asterisk applications (voicemail, ACD, MeetMe conferencing, etc.)
    • Simultaneous access from both Asterisk and the Skype desktop client
    • Use Asterisk phone for voice and Skype desktop client for IM, video
    • Trunk calls between Asterisk servers over Skype
    • Supports G.711 and G.729 (included) codecs

    Para probar esta versión de pruebas del chan_skype (antes del 31 de Agosto) tan solo hay que registrarse en la tienda de Digium, añadir este producto y al registrarte te envían una licencia gratuita.

    Gracias a John Todd por el anuncio.

  • Softphone SIP para el iPhone y el iPod Touch

    La gente de Fring acaba de anunciar (por fín) la disponibilidad de su software de mensajería instantanea (IM) y softphone SIP en la Apple Store (AppStore) de forma que no haga falta tener instalada la aplicación conocida aplicación Installer.

    He visto algunos clientes de mensajería instantánea para el iPhone, aunque ninguno llegaba a convencerme, realmente el único que me ha gustado ha sido Fring.

    Si no conoces esta aplicación compatible con la mayoría de los teléfonos Symbian, Motorola o cualquier otro, te recomiendo que le eches un vistazo a otros artículos anteriores sobre Fring.

    Nota Importante: La función de llamadas por SIP está limitada a la conexión Wifi, no se pueden hacer llamadas mediante la red 3G como sí se podía hacer con otras versiones. Se ve que es la «cesión» que han tenido que hacer la gente de Fring para poder tener esta aplicación en la AppStore.(Más información)

    Para aquellos afortunados, el enlace a la AppStore.
    Para aquellos curiosos, el enlace al anuncio oficial.

  • Cisco podría comprar Jabber

    Entre incrédulo y asombrado me he quedado cuando he leído la nota de prensa que ha ofrecido Cisco en la que declara que tiene intención de comprar Jabber y así poder hacer frente a otras empresas que disponen de servicios similares como Microsoft (con su MSN), Google (con su GTalk) o Yahoo.

    La nota de prensa dice así:

    “Enterprise organizations want an extensible presence and messaging platform that can integrate with business process applications and easily adapt to their changing needs,said Doug Dennerline, Cisco senior vice president, Collaboration Software Group. “With the acquisition of Jabber, we will be able to extend the reach of our current instant messaging service and expand the capabilities of our collaboration platform.”

    «Las empresas quieren un sistema de presencia y plataforma de mensajería que se pueda integrar con las aplicaciones que utilizan en sus negocios y que sean fácilmente adaptable a los cambios que precisen.» dijo Doug Dennerline, el vicepresidente de Cisco. «Con la adquisición de Jabber, seremos capaces de ampliar las ventajas de nuestro sistema de mensajería instantánea y mejorar las capacidades de nuestras plataformas.«

    Todavía parece que no han dado el paso, aunque si lo han anunciado así, es que algún paso habrán dado.

    Está claro que detrás de Jabber, hay muchos grupos, plataformas y organizaciones, que utilizan las especificaciones del protocolo para desarrollar aplicaciones de comunicaciones. Pero con la compra de Jabber por parte de Cisco, se podría llegar a un cierre absoluto a las mejoras del protocolo.

    En fín, veremos que ocurre al final…

  • IBM y Siemens pasan a vender soluciones VoIP hosted

    En Brasil, IBM y Siemens acaban de hacer un movimiento muy extraño para el tipo de negocio que suelen realizar: en lugar de fabricar y vender una caja negra dedicada a manejar y controlar las comunicaciones, van a vender soluciones de hosting de comunicaciones (lo que comúnmente se llama IP-centrex, o «PBX Hosted») de manera que el cliente NO compra un aparato que debe instalar físicamente en su empresa, si no que compra los terminales y la licencia mensual para utilizarlos y se registra en una dirección IP en Internet gestionada por Siemens e IBM y que permitirá hacer y recibir llamadas, así como registrarse con proveedores de servicios IP, utilizar aplicaciones de mensajería unificada y configurar remotamente el comportamiento interno de su «sistema de comunicaciones».

    En palabras de Roberto Atayde, director de recursos para la empresa de IBM en Brasil:

    «Todos los servicios tradicionales actuales están perdiendo fuerza frente a las ventajas que ofrece la tecnología IP, entre otras, una considerable reducción de costes, una mejora en las comunicaciones y sobre todo un sustancial aumento de la productividad».
    «El sistema HiPath 8000 es un sistema de comunicaciones unificadas para la empresa, ideal para pequeñas y medianas empresas que pueden adquirir licencias de forma gradual.    »

    Seguramente se trate de una estrategia publicitaria, pero seguro que este tipo de movimientos no va a gustar a muchas empresas por mucho que abarate los costes.

    (más…)

  • Aplicaciones de VoIP para Symbian

    Pese a la fiebre de iPhones que nos espera hasta el próximo 11 de Julio cuando salgan los nuevos iPhones 3G en la mayoría de los países, aún hay mucha gente que, quieran o no, siguen utilizando móviles con el sistema operativo Symbian y que cuentan con bastantes e interesantes aplicaciones para realizar y recibir llamadas utilizando la conexión 3G o Wifi.

    En S60Tips.com nos han preparado una pequeña lista donde nos cuentan su opinión acerca de estas aplicaciones:

    – Gizmo:
    Uno de las aplicaciones SIP más populares. Disponible en muchas plataformas, incluyendo Windows, Mac, Linux y Symbian Serie60. Hay una aplicación Java disponible en Gizmo5.com. Aunque recomiendan utilizar en su lugar la aplicación nativa de Gizmo que puedes descargar de esta página de Nokia.

    – Truphone:
    Truphone suele ser la aplicación de VoIP favorita para muchos, ya que entre otras ventajas, se integra fácilmente con la agenda personal del móvil. Otra de las ventajas es que permite cambiar entre diferentes redes automáticamente así como utilizar la conexión Wifi o 3G según la cobertura. Podeis descargarla de su página.

    – EQO:
    EQO es más interesante por otros motivos. Utiliza la red GSM para gestionar una llamada VoIP, por lo que puedes recibir llamadas VoIP y, en el caso de que no tengas cobertura Wifi o 3G, recibirás una llamada GSM. Además de esta ventaja, permite mensajería instantánea (IM) como MSN, Yahoo y GoogleTalk.

    – Skype:
    Qué decir de Skype, además de que ya está disponible para móviles con Symbian y que podeis descargar desde su página web.

    Fring:
    También hemos hablado largo y tendido sobre Fring y las ventajas que tiene, yo prácticamente lo resumiría diciendo que tiene todas las ventajas que se han dicho en las anteriores aplicaciones, además de ser compatible con Skype, ICQ, permitir roaming entre 3G y Wifi y el envío de archivos P2P entre usuarios Fring.

    (más…)

  • Nortel se pasa al OpenSource

    Mi compañero Hugo me envía una noticia realmente sorprendente para los tiempos que corren.

    Nortel ha anunciado que está preparando un sistema de comunicaciones para pequeñas y medianas empresas (hasta 500 usuarios) llamado SCS500 y basado en software libre, lo que no quiere decir que sea gratuito, de hecho se distribuirá en la cadena Best Buy estadounidense como ya se anunció hace algún tiempo.

    Tras leer la noticia, resulta que Nortel está en contactos con SIPFoundry para desarrollar un sistema de UC (unified comunication) basado íntegramente en SIP y donde se permitirá voz, video y mensajería instantanea.

    Parece que el sistema tiene toda la pinta de ser un OpenSER + algún tipo de gateway PSTN en una caja negra, por lo que no sabremos realmente qué incluye este sistema donde los usuarios podrán aprovechar las posibilidades de estas aplicaciones.

    • SCS500 bundles together VoIP, instant messaging, presence, on-demand audio/video conferencing, unified messaging
    • The solution also provides some advanced call routing features that are not commonly available on SMB solutions, including automatic call distribution (ACD), advanced auto attendant, personal auto attendant, and find me / follow me.
    • Two softphone clients are available as part of the solution.  You can also use Nortel IP phones, LG-Nortel IP phones, or even multi-supplier devices.
    • Application integration is a big focus, with plug ins available for Microsoft Outlook and IBM Lotus Notes that integrate SCS500’s UC capabilities with those applications.

    Este software que está preparando Nortel, estará certificado únicamente con IBM y con Dell.

    Enlace: http://blogs.nortel.com/nortels-new-open-source

  • Nimbuzz: competencia directa a Fring

    Acabo de leer que Nimbuzz acaba de lanzar una aplicación para móviles que casualmente permite conectarse a las mismas redes que Fring y aunque las comparaciones son odiosas,

    Fring tiene como ventaja en que es el único softphone compatible SIP para el iPhone.
    Nimbuzz tiene como ventaja que dispone de una aplicación para PC y MAC que se conecta a su red.

    Nimbuzz tiene en contra que el cliente para móviles está en Java y aunque bastante compatible (22 marcas de teléfonos), no todos los terminales soportan Java y si lo hacen, la estabilidad y la velocidad dejan mucho que desear.
    Fring está programado en lenguaje nativo para más de 35 marcas y más de 300 modelos de teléfonos móviles y pdas lo que lo hace bastante más rápido y estable.

    Qué quereis que os diga… competencia dura y directa…

  • América Online se pasa a SIP

    Uno de los principales competidores de Skype y su cliente de mensajería instantánea / softphone, es América Online que cuenta con un gran número de seguidores en los EEUU y que su aplicación IM más famosa se llama AIM. De hecho, mientras en Europa la mayoría de los usuarios utilizan el Messenger, en EEUU es más famoso y popular el cliente AIM (de AOL -América Online-).

    AIM, al igual que Skype, permite hacer llamadas a la red telefónica mediante un sistema que únicamente funcionaba con su cliente propietario, pero ahora parece ser que ha querido hacerse más competitivo y ha abierto las puertas al resto de usuarios mediante el sistema AIM CallOut permitiendo a otros usuarios con softphones compatibles SIP conectarse a esta cuenta y poder hacer llamadas a la red telefónica como cualquier otro proveedor de servicios IP.

    La noticia realmente se vuelve interesante ya que, con este último movimiento, AOL ha pasado a ser un proveedor SIP y aprovechando que ya cuenta con bastante popularidad en los EEUU, seguro que pronto pasará a ser uno de los principales proveedores IP como ya lo fue Vonage en su momento.

    Además de esto, la plataforma AIM cuenta con una API para desarrollar software y plugins para este sistema de mensajería por lo que, junto a Skype, otro que saldrá perjudicado seguramente sea Gizmo ya que es otra aplicación de mensajería con capacidades de VoIP.

    El fantástico Nerd Vittles ha publicado cómo conectar nuestro Asterisk si ya tenemos una cuenta de AIM CallOut, de hecho indica expresamente que en los términos legales no hay ninguna cláusula que impida conectar nuestro Asterisk a este servicio.

    Por si fuera poco decir que AOL se ha convertido en un proveedor de servicios IP basado en SIP, solo comentaros que el servidor al que hay que conectarse es: sip.aol.com, puerto 5060 😛

    [aol]
type=peer
dtmfmode=rfc2833
host=sip.aol.com
insecure=very
nat=yes
secret=Password
sendrpid=yes
username=AOLusername@aim.com
disallow=all
allow=g279
allow=ilbc
allow=ulaw

  • Ya disponible Skype para la PSP

    Leo en ElOtroLado que el nuevo firmware de la PSP Slim (la nueva), la versión 3.90 ya trae el soporte para Skype y, para el modelo antiguo, soporte del nuevo Go!Messenger, una aplicación que actúa de cliente de mensajería instantánea, VoIP y vídeo a través de la infraestructura de British Telecom. 

     

    Go MessengerSkypePSP
    Realmente es una gran noticia ya que se nos venía prometiendo aplicaciones de VoIP para la PSP desde hace ya bastantes meses y por fin ha llegado.