Sinologic

Etiqueta: Seguridad

  • La OTAN utiliza Asterisk como sistema de comunicaciones seguro

    Todos los que trabajamos con Asterisk destacamos su flexibilidad, la ventaja de disponer del código fuente, la rapidez de respuesta en la corrección de fallos y la seriedad de sus desarrolladores, la gran cantidad de documentación disponible y una comunidad siempre dispuesta a ayudar, pero las empresas suelen ver otras ventajas como el coste general frente a cualquier otra solución comercial, la facilidad de implantación, el soporte técnico especializado, su gran capacidad de adaptación a los objetivos requeridos, y la utilización de estándares que se convierte en una gran oferta de dispositivos compatibles de todo tipo y de cualquier precio.

    Foto por isafmedia en Flickr (CC)

    (más…)

  • Cambian los créditos para que aparezca Microsoft y se cae toda la red

    Evidentemente, el titular es una broma, pero días después de la compra de Skype por Microsoft (de la que esperábamos no volver a hablar en un tiempo), la red entera de Skype ha dejado de funcionar para estos clientes, tal y como ha informado Skype vía Twitter:

    Some of you may have problems signing in to Skype and making calls. We’re investigating and hope to have more details to share soon.

    A la hora de escribir este artículo, la red sigue sin funcionar correctamente para muchos usuarios, por lo que imaginamos que debe ser algún problema grave ya que lleva sin funcionar varias horas.

    Desde Skype aconsejan seguir los siguientes pasos para que vuelva a funcionar el cliente:

    Windows

    Click Start, type run and press Enter. (On Windows XP: Click Start and then Run.)
    Type the following and click OK.
    %appdata%\skype
    Locate and delete the file shared.xml.
    If you cannot find this file:
    Click Start, type run and press Enter. (On Windows XP: Click Start and then Run.)
    Type the following and click OK.
    control folders
    In the View tab, ensure that Show hidden files and folders is enabled.
    Repeat steps 1-3.
    Restart Skype.

    Mac

    Open Finder and locate the following folder:
    ~/Library/Application Support/Skype
    Delete the file shared.xml.
    Restart Skype.
    Please note that the ~ sign means your home folder. You can find your home folder by opening Finder and selecting Go > Home from the menu bar or pressing Command (Apple), Shift and H keys at the same time.

    Linux

    Go to the following folder:
    /home/YourLinuxUserName/.Skype
    Delete the file shared.xml.
    Restart Skype.
    Remember: The Skype folder is a hidden folder – please check Show hidden files in your file browser to view and access it.

    Mientras tanto, en Asterisk-ES ya hablaban de utilizar un cliente similar al de Skype pero compatible con SIP llamado: Jitsi (el antiguo SIP Communicator) y que se puede conseguir aquí: http://www.jitsi.org/

    Nota: Un comentario que he leído por ahí me ha hecho gracia:
    «Joder Ballmer eres rápido eh…«

  • Nuevas versiones de Asterisk corrigen vulnerabilidades

    El equipo de desarrolladores de Asterisk acaban de anunciar las nuevas versiones de Asterisk 1.6.1.23, 1.6.2.17.1 y 1.8.3.1 que corrigen dos vulnerabilidades recién descubiertas:

    • Resource exhaustion in Asterisk Manager Interface (AST-2011-003)
    • Remote crash vulnerability in TCP/TLS server (AST-2011-004)

    El ChangeLog de estas versiones las puedes encontrar aquí:

  • Descubierto el método para obtener las claves de las redes WLAN y JAZZTEL

    En BandaAncha lo dejan tan claro que mejor lo copio:

    Seguridadwireless ha averiguado el patrón utilizado por ambas operadoras para configurar las claves WPA por defecto con las que se proporciona el router a los clientes. Una herramienta online permite calcularla simplemente introduciendo el nombre de la red (WLAN_XXXX y JAZZTEL_XXXX) y la MAC del punto de acceso, dos datos públicos que el router transmite constantemente.

    El fabricante establece en el router una clave por defecto, utilizando un algoritmo que se basa en el nombre de la red y la MAC del punto de acceso. Desde el 24 de noviembre, seguridadwireless asegura que conoce este patrón y después de contactar con Comtrend y no obtener respuesta, ha decidido hacer publico su hallazgo. Por el momento no han publicado el algoritmo, pero sí un formulario online donde se puede introducir ambos datos y calcular la clave.

    Leer el resto de la noticia:
    http://bandaancha.eu/articulo/7650/desvelado-patron-claves-wpa-redes-wlan-xxxx-jazztel-xxxx-utilizadas-movistar-jazztel

    *Actualización: 16:00h.*
    Por lo que comentan en los comentarios de la noticia, el formulario lo ha retirado a las 15:00.
    Suponemos que habrán recibido algún aviso por parte de alguno de los operadores afectados.

  • El FBI avisa de un ataque masivo a la VoIP

    Después de varios meses recibiendo avisos, comentarios y revisando logs sobre ataques a sistemas VoIP estaba claro que los distintos rangos de direcciones IP que son asignadas al continente europeo han recibido la visita de diversos grupos de hackers (o como sería más correcto, phreakers) que aprovechando sistemas mal configurados, vulnerabilidades varias y despistes por parte de los administradores, se han aprovechado de estas y han realizado millones de llamadas a países donde el coste de establecimiento es el más alto: Cuba, Nigeria, Venezuela, China, y algunos números extraños con el prefijo +88220 donde el coste medio supera el euro por establecimiento y otro por minuto.

    Después de unos meses en los que Europa, todos los administradores de VoIP, así como los fabricantes europeos y asiáticos de productos de VoIP se pongan al día y solucionen algunos que otros problemas de seguridad, los administradores de sistemas VoIP adopten medidas seguras para la detección y bloqueo de posibles ataques, el FBI informa ahora que están empezando a recibir ataques a sistemas de VoIP de EEUU.

    El modus operandi de los ataques anunciados por el FBI son exactamente los mismos registrados en Europa y están provocando cientos de miles de dólares en pérdidas por cada sistema atacado con éxito, lo que ha obligado al FBI a redactar una nota de prensa para advertir a todos los usuarios que vigilen sus sistemas y mejoren las medidas de protección ante descuidos como cuentas VoIP sin contraseñas o con contraseñas triviales ya que los atacantes utilizan el sistema de fuerza bruta para acceder a estas cuentas y poder realizar cientos de llamadas a la hora.

    Ya hemos hablado bastante sobre este tema, dados multitud de consejos y trucos sobre seguridad, e incluso hemos desarrollado algunas herramientas como un tester básico de llamadas sin autentificación y un sistema de vigilancia contra ataques por fuerza bruta. Otros compañeros están desarrollando sistemas Honeywall para atrapar a los atacantes, limitando el número de llamadas internacionales, disponiendo de diversas formas de seguridad tanto activas como pasivas, pero como siempre se dice en estos casos, aunque la paranoia nunca es buena consejera, siempre es mejor prevenir que curar.

    A veces uno siente cierta «envidia» sobre porqué un organismo com el FBI informa de este tipo de ataques y en cambio, las fuerzas de seguridad europeas no han dicho nada. 🙁

    La nota de prensa del FBI:
    http://newark.fbi.gov/pressrel/pressrel10/nk051110.htm


  • SIPCheck: Vigila quien intenta registrarse en tu Asterisk

    Hace unas semanas creamos una pagina web desde la que podíamos comprobar si nuestro Asterisk era vulnerable a INVITES externos sin autenticación. Por la cantidad de emails que recibí tanto de usuarios de España como los de otros países, ví que una gran cantidad de usuarios admitían paquetes INVITES sin autenticación.

    Por lo general, esto no es en absoluto erróneo, entra dentro de la filosofía de la VoIP que podamos admitir llamadas anónimas desde otros sistemas para poder ponerlas en contacto con usuarios que tengamos registrados en nuestro Asterisk, pero conociendo la cantidad de usuarios que permiten esto (apenas un 5%), el resto se podría considerar que utilizan un interfaz web como FreePBX que configura por defecto el famoso parámetro ‘allowguest=yes’ en lugar de rechazarlo.

    Asterisk 1.4 y 1.6 también configuran por defecto este parámetro, pero por supuesto es responsabilidad de cada uno conocer el significado de estos parámetros y actuar en consecuencia.

    Durante una charla/debate/brainstorming que tuvimos en el último curso de Asterisk Advanced en Bilbao, aparecieron algunas ideas bastante interesantes y que nos gustaría compartir desde aquí:

    (más…)

  • Comprueba ahora si tu Asterisk es vulnerable a los ataques

    Desde hace algún tiempo venía comentando por aquí, que hay ciertas personas (por llamarlas de alguna forma) que aprovechan alguna configuración incorrecta, algo que se dejó de la mano de algún interfaz web y no se ha comprobado que es correcto, o simplemente el descuido de alguna modificación al ir a hacer alguna prueba, para hacer llamadas a costa de nuestros sistemas. Ya hablamos de esto en el artículo «La VoIP mal configurada llama a Cuba«.

    Tras conocer un par de casos críticos y dolorosos, se me ocurrió hacer una pequeña utilidad, una herramienta básica, sencilla algo rápido pero útil que permitiese a cualquiera saber si su sistema SIP conectado a Internet, tiene una configuración que permita realizar este tipo de ataques, de forma que indicando los parámetros mínimos, podremos saber qué respondería el servidor en caso de ataque.

    Esta herramienta lo único que hace es enviar al servidor indicado, un paquete INVITE un poco «tuneado» de forma que la herramienta «simulará» a un atacante intentando utilizar nuestro servidor para hacer una llamada, pero en lugar de a algún país extraño, será a nuestro móvil. Si conseguimos hacer una llamada (y recibirla), entonces es que algo no va bien y tendremos que revisar la configuración.

    Para aquellos interesados en verificar que su configuración es segura, os recomiendo apuntar esta web en los favoritos y hacer las pruebas correctas para aseguraros que estais a salvo de los ataques de estos «personajes».

    http://www.sinologic.net/proyectos/checkSecurity/

    Antes de nada, agradecer a mi colega Iñaki Baz por sus consejos a la hora de generar el INVITE  ;D

    Hay que tener en cuenta que si el resultado del test es Trying, significa que la llamada se está procesando y por lo tanto debemos revisar la configuración para evitar este resultado.

    (más…)

  • Una nueva versión de Asterisk corrige el dialplan injection

    Hace una semana Olle Johansson anunció un fallo de seguridad bastante interesante, pero no me atreví a escribir sobre él hasta que no lo hubiésemos probado y al fín lo hicimos, y los resultados son escalofriantes:

    Imaginemos que utilizamos un terminal IP (o softphone) con una cuenta limitada a extensiones SIP, en principio sólo podríamos llamar a extensiones SIP, pero el bug explica cómo aprovechar una mala programacion del dialplan y poder llamar a donde queramos:

    El fallo de seguridad ocurre principalmente si tenemos una línea como esta:

    exten=>_X.,1,Dial(SIP/${EXTEN})

    De manera que cualquier número que marquemos, intentará llamar por SIP:

    Si marcamos 800, en el dialplan se ejecutará: exten=>800,1,Dial(SIP/800)
    Si queremos llamar hacia el exterior, marcamos 952123456, y en el dialplan se ejecutará: exten=>952123456,1,Dial(SIP/952123456)

    Claro, que si no tenemos una extensión SIP con ese número, no hará nada y colgará la llamada.
    Pero como todos ‘deberíamos’ saber, el comodín punto ‘.’ admite cualquier cosa y tantas como queramos (símbolos, letras, etc) por lo que si en lugar de utilizar un terminal IP utilizamos un softphone, podríamos llamar a nombres o a cualquier cosa que podamos escribir:

    Si marcamos 3pepota, en el dialplan se ejecutará:
    exten=>3pepota,1,Dial(SIP/3pepota)

    Tampoco llamará a nadie, ya que la extensión 3pepota no existe.

    (más…)

  • El webminar sobre Seguridad en Asterisk, disponible en vídeo

    Aquellos que no pudieron asistir a la interesantísima charla sobre seguridad en Asterisk de la que hablamos el otro día, la teneis disponible en vídeo:

    Gracias a John Todd por el aviso.

  • Conferencia en Internet sobre Seguridad en Asterisk

    Seguridad SIPLa seguridad debe ser, sin duda, uno de los puntos más importantes para cualquier administrador de sistemas. No hay excusas válidas para dejar desatendida una vulnerabilidad y mucho menos, ciertas acciones como «seguridad por ocultación» demuestran diariamente que no debería existir.

    En Sinologic hemos hablado en varias ocasiones sobre fallos de seguridad y las consecuencias tan catastróficas que pueden tener en los sistemas, por lo que ayer, cuando leí en el twitter de John Todd que el próximo Viernes día 13 de Noviembre se celebraría una conferencia sobre Seguridad para entornos con Asterisk ofrecida por un agente del FBI especializado en este tipo de delitos, un experto de VoIPSA y dos personas de Digium (Jared Smith y Tristan), pensé que podría ser interesante y muy didáctico.

    Esta conferencia es gratuita y cualquiera puede asistir, tan solo hay que registrarse en esta web: https://www1.gotomeeting.com/register/828991377