Sinologic

Etiqueta: Seguridad

  • ¿Cuánto te importa que te escuchen las conversaciones?

    HIDDEN_264_12119_FOTO_microsofLa semana pasada apareció en todos los medios que la CIA, la NSA y el FBI tienen acceso directo a todos los sistemas Windows y MacOSX mediante puertas traseras instaladas en el propio sistema operativo (fuente), asimismo también nos enteramos que el gobierno de los EEUU tiene acceso y posibilidad de escuchar todas las conversaciones, mensajes, emails, chat, etc… de conocidas operadoras americanas (fuente).

    Anteriormente también supimos que el gobierno chino había ordenado crear puertas traseras que permiten el acceso remoto directamente en circuitos integrados de fabricación localizada en China, lo que le permite tener acceso a cualquier sistema, independientemente del sistema operativo (fuente)

    También nos enteramos que Reino Unido está listo para empezar a hacer lo mismo que EEUU y escuchar llamadas, así como grabar y procesar mensajes que aparecen en Internet (fuente).

    Todas estas vulneraciones a la intimidad/privacidad tienen una excusa: la lucha contra el terrorismo.

    De hecho, desde hace varios años, todas las PBX, todos los operadores y todos los sistemas por los que pasa una conversación, tiene un requisito legal: tiene que ser capaz de realizar escuchas en tiempo real a petición de la policía y generalmente bajo una orden del juez. Cualquier administrador de centralitas conoce formas de escuchar conversaciones, grabarlas, … Todos los operadores de telefonía, o de VoIP tienen que guardar sus logs varios meses por si la policía así lo requiere, por lo que: ¿Cuán seguras son nuestras conversaciones?

    La pregunta entonces es fundamental: Sabiendo que los gobiernos tienen las leyes y la capacidad de escuchar conversaciones telefónicas, leer tus emails, tu lista de llamadas telefónicas, acceso a tus Timeline de tus redes sociales, …

    Generalmente siempre pensamos que, de todos los datos que generamos todos… nadie va a poner la mirada en alguien tan particular como nosotros, lo que se conoce como seguridad del tipo «arbol en el bosque».

    No sabemos quién tiene acceso a nuestras conversaciones, a nuestros listados de llamadas, a nuestros mensajes de email, pero podemos esperar tranquilos en que no sea familia o amigo de nuestra competencia.

     

     

  • Hacking y Seguridad VoIP: El libro que todo administrador Asterisk debería tener

    Libro_VoIPPor diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un administrador de sistemas, pero tan profunda como para ayudar a un experto a mejorar su seguridad y mantenerse al corriente de las nuevas técnicas.

    Otras de las ventajas, el idioma ¿cuantos libros serios sobre seguridad VoIP hay en español?

    Pero hay más… ¿y cuantos se distribuyen en latinoamérica? ¿cuantos libros profesionales cuestan 20€?

    Sobre el autor… quizá os suene @Pepeluxx (twitter) 😉

    Sin duda, son todo ventajas.

     

    Siempre me he considerado un administrador de sistemas con cierto nivel de paranoia sobre los ámbitos de seguridad, quizá la vida real no sea consciente de cuanta importancia tiene la seguridad en el día a día que vivimos y no se le dedique los suficientes recursos como debería, en otros casos, los recursos son bastante inútiles y se peca de inutilidad, como aquellos que tienen 3 firewalls uno detrás de otro, tienen prohibido dar acceso SSH porque es «inseguro» pero en cambio piden conectar por Teamviewer. La seguridad es algo imprescindible pero debe ser transparente, no debe perjudicar el funcionamiento habitual de una empresa, no debe ser un impedimento, debe proteger, no prohibir.

    En cuanto a la seguridad en sistemas de comunicaciones, el 90% de los problemas de seguridad vienen por falta de conocimientos, no saber cómo funciona un dialplan y los parámetros de un usuario SIP, cerrar el puerto SIP o cambiar de puerto puede ser una solución, aunque sin duda no es la mejor. Lo más peligroso no son los ataques que nos puedan hacer por configurar mal un dialplan, si no aquellos ataques de los que no somos conscientes y no sabemos cómo solucionar. Esos son los verdaderos quebraderos de cabeza.

    Sin duda, Hacking y Seguridad VoIP es un gran libro, algo que deberíamos tener todos los que nos dedicamos a la VoIP y más aún si hemos tenido alguna vez algún problema de seguridad, porque aunque sepas dónde está el problema, seguro que hay cientos de problemas que aún no conoces.

    Os indico el índice del libro, únicamente para que podáis ver el contenido tan completo que tiene:

    (más…)

  • Ataques SIP y cómo protegernos

    Una de las páginas de seguridad que me gustan (security by default), acaba de publicar un artículo sobre seguridad en VoIP, quizás algo breve, pero muy completa y donde enumeran los tipos de ataques SIP más conocidos, así como las herramientas que podemos utilizar para simular ataques y otras herramientas para detectarlos.

    El artículo en cuestión es este: http://www.securitybydefault.com/2012/09/riesgos-reales-en-voip.html

    Pero profundizando más sobre el autor del artículo (Jesús Pérez) he encontrado su blog que tiene mejor pinta y al que animo a que le echéis un vistazo en profundidad: http://nicerosniunos.blogspot.com.es/

     

  • DCAC: El departamento del FBI que te espía mientras hablamos

    Cuando escuchamos a alguien diciendo que existe una organización secreta que se dedica a analizar todo el tráfico de internet, escuchar conversaciones telefónicas o leer los correos postales, lo primero que nos viene a la cabeza es el típico  loco conspiranoico  que cree que el gobierno le persigue y utiliza sus satélites para vigilarle día y noche. Películas como Public Enemy o Conspiración son algunos ejemplos que vienen a la mente en estos casos.

    Lo cierto es que, por raro que parezca, los satélites posiblemente no los utilicen para vigilarnos, pero todo lo demás no anda muy desencaminado.

    La compañía del «Don’t be evil» tiene en su poder, la información de dónde vive un usuario que tiene Android, dónde trabaja, dónde pasa el fin de semana, si ha volado en los últimos años, además tiene acceso a su correo electrónico, a sus términos de búsquedas, a las páginas que ha previsualizado en su «Búsqueda Instantánea», qué le interesa en cada momento,  incluso mucha más información que tardaríamos bastante en describir.

    La compañía de la «fruta de Blancanieves» y el del «microblando» se abren apuestas sobre el número de puertas traseras que tienen instaladas para que ciertos organismos puedan acceder en cualquier momento a los datos, incluso cuando el usuario no tiene puertos mapeados en el router… por supuesto, todas estas teorías compiranoicas están a la orden del día. Hay quién se las cree y hay quién no, lo que ocurre es que cuando leemos cosas como «Descubierta puerta trasera en Windows» o cosas como  «FBI crea unidad secreta para interceptar comunicaciones inalámbricas«, o cosas como «El FBI obliga a Facebook y a Google a permitir acceso para ver los datos personales de sus usuarios«, la mosca que tenemos todos detrás de la oreja y que nos molesta cuando empezamos a pensar mal, ya tiene hasta compañera.

    (más…)

  • Corregida grave vulnerabilidad de FreePBX en menos de 3 horas

    Hace poco, leyendo algunas listas (últimamente casi no tengo tiempo para responder, sólo leer)  me encontré con varios usuarios que habían encontrado un fallo de seguridad en FreePBX que permitía al atacante acceder a una parte del interfaz e inyectar código, de forma que pudiera ejecutar dicho código. Unos días más tarde me entero que la gente de Elastix, una vez reportado, lo han actualizado (ya corregido) en menos de 3 horas.

    Acabo de confirmar que el hueco de seguridad es legítimo y que afecta a FreePBX en Elastix sin autenticación requerida.
    Hemos preparado el RPM actualizado freePBX-2.8.1-12 y recomendamos que actualicen de inmediato todas sus centrales.
    Se recomienda que todas las centrales Elastix de la serie 2 sean actualizadas a todos los últimos paquetes de Elastix estable.
    La única mitigante que he visto es que el truco de volverse root con nc –interactive ya no funciona porque desde elastix-framework-2.2.0-18 el comando nc ya no está presente en /etc/sudoers.

    La solución es ejecutar «yum update» o «yum update freePBX».

    Más información: http://www.exploit-db.com/exploits/18650/

  • Sistemas redundantes y Failover, qué son y cómo funcionan.

    Vamos a imaginar que queremos crear un sistema disponible el 99,99…% del tiempo, bien porque es un servicio vital para la empresa, bien porque cualquier pérdida o corte, puede provocar pérdidas económicas o de cualquier otro tipo. ¿Qué hacemos entonces?

    Para eso se suele configurar lo que se denomina un «sistema redundante», es decir dos o más sistemas configurados de forma que uno de ellos sea el que está en funcionamiento, y en el caso en que deje de funcionar por cualquier motivo, se active otro de los sistemas que hasta ese momento estaba «en espera» o «inactivo» tan rápidamente como sea posible. Mediante este sistema, incluso en el peor de los casos (la rotura de un disco duro, un desbordamiento de memoria que mate un proceso vital, o incluso que alguien le pegue una patada al cable) puede seguir funcionando gracias al siguiente equipo hasta entonces «dormido».

    Linux ya cuenta con muchas herramientas de este tipo, y seguramente cualquier usuario que trabaje con Asterisk o con cualquier otro servicio importante ya conocerá algunas herramientas como Heartbeat, Corosync, PeaceMaker, etc… son las más utilizadas. No obstante, hay quien prefiere utilizar virtualización para dotar al sistema de una «seguridad», por lo menos a nivel lógico (poco se puede hacer si el servidor que hospeda las máquinas virtuales se quema por una subida de tensión), pero aún así siempre se puede poner un servidor de máquinas virtualizadas en modo redundante (la cosa se empieza a complicar… pero es muy, muy seguro).

     

    Sea como fuere, suele ser necesario al menos dos sistemas y los resultados son muy interesantes. No es un servicio digamos «intuitivo», pero siguiendo cualquier tutorial que se puede encontrar en Internet, es bien sencillo hacer tu primera prueba. Con el tiempo, configurar un sistema redundante es algo que se hace ya casi de forma automática.

    En sistemas de comunicaciones basados en Asterisk es muy interesante esta técnica de redundancia, ya que (por ejemplo) un callcenter basado en un único sistema, en caso de que la tarjeta de red deje de funcionar, tendríamos a varias personas completamente paradas y todo el tiempo en que se encuentran paradas, son pérdidas de todo tipo: económica, productivas, tiempo, etc… por lo que un callcenter que dependa de una única máquina es realmente un riesgo muy, muy grande.

    No obstante, si aún así contamos con dos máquinas configuradas en modo redundante (por si a alguna le da por dejar de funcionar), nos encontramos con un problema extra: las líneas de comunicaciones.

    Si utilizamos proveedores IP, o gateways, igual el problema no es tan grande pero viene por otro lado (pérdidas de la conexión a internet, dependencia del tráfico del proveedor, latencia, necesidad de más ancho de banda,…), pero si utilizamos líneas de primarios, analógicas o RDSI básicas, la complejidad es diferente… ¿cómo conectamos las líneas a ambas máquinas de forma que, en caso de una parada del sistema principal, se conecte automáticamente al siguiente sistema? Vamos a ver qué soluciones encontramos…

    (más…)

  • Skype permite que puedan ver lo que descargas por BitTorrent

    Muchos políticos en todo el mundo llevan bastante tiempo buscando la forma de «monitorizar» cómo la gente utiliza sus ordenadores, qué descargan, cuando y cómo obtener beneficios con esta información (denuncias, patentes, publicidad, etc). Incluso está a debate en la Unión Europea instalar una especie de «caja negra» que informe de todo lo que se descargan los usuarios.

    Pues esa «caja negra» parece que ya está desarrollada, ahora sólo falta que la hagan legal:

    Linux-Magazine, una de las mejores revistas sobre software libre, se hacen eco de un estudio donde se concluye que gracias a las vulnerabilidades de privacidad de la aplicación Skype, se puede facilmente explotarla para averiguar qué archivos se está descargando vía BitTorrent.

    «Un estudio de investigadores del MPI-SWS de Alemania, la Universidad de Nueva York y del INRIA de Francia, demuestra que Skype es susceptible de un hack trivial que permitiría a un tercero acceder a información personal del usuario, incluyendo la monitorización de las descargas de BT, hasta el punto de saber que fichero se está bajando en cada momento.

    Los investigadores advierten que otros sistemas de mensajería pueden ser susceptibles a ser hackeado, pero que se concentraron en Skype por contener «una vulnerabilidad de privacidad notable». 

    Concretamente, el estudio se centra en Skype, pero igualmente se puede conseguir con otras aplicaciones de mensajería basadas en P2P como Messenger MSN Live o Google Talk.

    Aquí podéis ver el estudio:
    http://cis.poly.edu/~ross/papers/skypeIMC2011.pdf

     

  • Asterisk 1.8.5 Released! ¿Adiós a los bloqueos de canales SIP?

    Han tardado, pero la espera ha merecido la pena.

    Por fín está disponible la versión de Asterisk 1.8.5 donde han corregido algunos bugs importantes como el bloqueo de canales cuando se realizan transferencias atendidas mediante SIP, y en determinadas configuraciones de conexiones mediante TCP/TLS.

    • Fix Deadlock with attended transfer of SIP call
      (Closes issue #18837. Reported, patched by alecdavis. Tested by Irontec, ZX81, cmaj)
    • Fixes thread blocking issue in the sip TCP/TLS implementation.
      (Closes issue #18497. Reported by vois. Patched by dvossel. Tested by vois, rossbeer, kowalma, Freddi_Fonet)
    • Be more tolerant of what URI we accept for call completion PUBLISH requests.
      (Closes issue #18946. Reported by GeorgeKonopacki. Patched by mmichelson)
    • Fix a nasty chanspy bug which was causing a channel leak every time a spied on channel made a call.
      (Closes issue #18742. Reported by jkister. Tested by jcovert, jrose)
    • This patch fixes a bug with MeetMe behavior where the ‘P’ option for always prompting for a pin is ignored for the first caller.
      (Closes issue #18070. Reported by mav3rick. Patched by bbryant)
    • Fix issue where Asterisk does not hangup a channel after endpoint hangs up. If the call that the dialplan started an AGI script for is hungup while the AGI script is in the middle of a command then the AGI script is not notified of the hangup.
      (Closes issue #17954#18492. Reported by mn3250, devmod. Patched by rmudgett)
    • Resolve issue where leaving a voicemail, the MWI message is never sent. The same thing happens when checking a voicemail and marking it as read.
      (Closes issue ASTERISK-18002. Reported by Leif Madsen. Resolved by Richard Mudgett)
    • Resolve issue where wait for leader with Music On Hold allows crosstalk between participants. Parenthesis in the wrong position. Regression from issue #14365 when expanding conference flags to use 64 bits.
      (Closes issue #18418. Reported by MrHanMan. Patched by rmudgett)

  • Anonymous amenaza con publicar el código fuente de Nimbuzz

    Nimbuzz, una compañía holandesa que ofrece una aplicación para dispositivos móviles similar a Fring y que permite interactuar con redes sociales y mensajería instantánea, es acusada por Anonymous de bloquear el tráfico VoIP en países que están inmersos en revoluciones populares como Egipto o Siria.

    Como esta acusación sin más apenas tiene respuesta, Anonymous advierte en un comunicado, que se hna hecho con el código fuente de esta aplicación y más aún: con todo el contenido del servidor Subversion (más de 120Gb de código) por lo que amenazan con hacerlo público si no revierten su actuación y dejan de bloquear el servicio de VoIP en estos países.

    Para dar a entender que disponen de los datos, han liberado algunos archivos «inocentes» procedentes del portal web procedentes del servidor SVN para que se den cuenta que hablan en serio.

    We DO NOT tolerate any kind of censorship of communication.

    We DO NOT tolerate companies working in collusion with governments to stop the
    free flow of information

    We WILL expose these companies to the public to show how their information can
    be manipulated and censored by the governments and corporations that work with
    them

    Thus, we release the document mentioned above in full as well as some other
    information from their CMS. As a bonus we have also acquired some code from the
    /trunk directory on their svn. In total we downloaded over 120 Gigabyte of
    source code but will not release it..yet.

    Take heed, governments that seek to oppose the people who elect them and the
    corporations who the people work for – We will not stand idly by while you take
    away our electronic and physical freedom.

    «People should not be afraid of their governments. Governments should be afraid
    of their people.»

    ¿Estás de acuerdo con este tipo de acciones?

    (más…)

  • Grave fallo de seguridad en terminales Polycom

    Según un artículo de Vicente Motos en HackPlayers, los terminales IP de Polycom tienen un fallo garrafal en cuanto a seguridad que les permite mostrar la contraseña de la cuenta SIP en el propio código fuente de la página web.

    Para conocer los datos de la cuenta SIP, tan solo tenemos que acceder al interfaz web del terminal Polycom con los datos por defecto: «Usuario: Polycom» y «Contraseña: 456«, entrar en el apartado Lines -> Line1, y de ahí, buscamos en el navegador la opción para obtener el «Código fuente de la página web«. Veremos entonces algo como esto:

    Captura de http://hackplayers.blogspot.com/

    Donde veremos que, correspondiente a la contraseña de la cuenta, podemos ver la propia contraseña de la cuenta SIP, que, unido a los datos del «Servidor» y el «Usuario», cualquiera que tenga acceso al interfaz del terminal, puede acceder a la cuenta SIP, vamos lo que viene siendo, un fallo garrafal de seguridad.

     

    (más…)