Seguridad

Por diversos lugares me entero de un libro sobre seguridad en VoIP General y Asterisk en particular que está teniendo una fantástica acogida, entre otros motivos por su profundidad: tan sencilla como para introducir a un administrador de sistemas, pero … Sigue leyendo →

A fines de la semana pasada, pude observar en el menú de novedades de la web page de Elastix la siguiente nota anunciando una vulnerabilidad crítica en el  paquete de VTiger CRM incluído por defecto en la distro en versiones mayores … Sigue leyendo →

Nuevamente saludo a todos los estimados lectores, y siguiendo con la línea de actualizaciones de Asterisk® a sus versiones 10 y 11 tan vigentes sobre todo por las mejoras en seguridad, canales como el gtalk/jingle, nuevos codecs etc. en esta … Sigue leyendo →

En el marco de la 3era. Conferencia Internacional de Software Libre CISL 2012, a realizarse los días 15, 16, y 17 de Octubre de 2012, en la Biblioteca Nacional Argentina, realizaremos una conferencia sobre seguridad de comunicaciones IP usando Asterisk … Sigue leyendo →

Una de las páginas de seguridad que me gustan (security by default), acaba de publicar un artículo sobre seguridad en VoIP, quizás algo breve, pero muy completa y donde enumeran los tipos de ataques SIP más conocidos, así como las … Sigue leyendo →

Cuando escuchamos a alguien diciendo que existe una organización secreta que se dedica a analizar todo el tráfico de internet, escuchar conversaciones telefónicas o leer los correos postales, lo primero que nos viene a la cabeza es el típico  loco … Sigue leyendo →

A través del amigo Christian Cabrera, Instructor dCAP de México, el día de hoy veo esta interesante NOTA en su blog sobre un potencial  fallo de seguridad en equipos Yealink (nota mental: no es un fallo IMHO es un comportamiento que dadas … Sigue leyendo →

El equipo de desarrollo de Asterisk acaba de anunciar parches urgentes para solucionar una serie de vulnerabilidades que afectaban las versiones de Asterisk 1.6.2, 1.8 y 10. Las nuevas versiones con los parches de seguridad aplicados con las siguientes: 1.6.2.24, … Sigue leyendo →

Hace poco, leyendo algunas listas (últimamente casi no tengo tiempo para responder, sólo leer)  me encontré con varios usuarios que habían encontrado un fallo de seguridad en FreePBX que permitía al atacante acceder a una parte del interfaz e inyectar código, … Sigue leyendo →

A través de Russell Bryant, el dìa de ayer me entero de 2 vulnerabilidades graves del tipo Zero Day en versiones de asterisk 1.8 y 10 que aquí comparto. Están especificadas en: http://downloads.asterisk.org/pub/security/AST-2012-003.html http://downloads.asterisk.org/pub/security/AST-2012-002.html Y se solucionan en las versiones … Sigue leyendo →

Vamos a imaginar que queremos crear un sistema disponible el 99,99…% del tiempo, bien porque es un servicio vital para la empresa, bien porque cualquier pérdida o corte, puede provocar pérdidas económicas o de cualquier otro tipo. ¿Qué hacemos entonces? … Sigue leyendo →

Muchos políticos en todo el mundo llevan bastante tiempo buscando la forma de “monitorizar” cómo la gente utiliza sus ordenadores, qué descargan, cuando y cómo obtener beneficios con esta información (denuncias, patentes, publicidad, etc). Incluso está a debate en la … Sigue leyendo →

Nuevamente, pongo a disposición de los lectores del blog un aviso importante de vulnerabilidades y problemas de seguridad descubiertos por el equipo de FreePBX en plataformas Centos 5.x y 6.x. Aparentemente según comentan en la noticia del site www.freepbx.org existen … Sigue leyendo →

Han tardado, pero la espera ha merecido la pena. Por fín está disponible la versión de Asterisk 1.8.5 donde han corregido algunos bugs importantes como el bloqueo de canales cuando se realizan transferencias atendidas mediante SIP, y en determinadas configuraciones … Sigue leyendo →

Nimbuzz, una compañía holandesa que ofrece una aplicación para dispositivos móviles similar a Fring y que permite interactuar con redes sociales y mensajería instantánea, es acusada por Anonymous de bloquear el tráfico VoIP en países que están inmersos en revoluciones … Sigue leyendo →

Si hace unos días mi compañero Elio nos comentaba los graves falles de seguridad que tienen los telefonos polycom,  hoy tenemos que volver sobre el tema de seguridad para advertir sobre lo fácil que es ursurpar identidades ajenas en sistemas … Sigue leyendo →

Según un artículo de Vicente Motos en HackPlayers, los terminales IP de Polycom tienen un fallo garrafal en cuanto a seguridad que les permite mostrar la contraseña de la cuenta SIP en el propio código fuente de la página web. … Sigue leyendo →

Todos los que trabajamos con Asterisk destacamos su flexibilidad, la ventaja de disponer del código fuente, la rapidez de respuesta en la corrección de fallos y la seriedad de sus desarrolladores, la gran cantidad de documentación disponible y una comunidad … Sigue leyendo →

Evidentemente, el titular es una broma, pero días después de la compra de Skype por Microsoft (de la que esperábamos no volver a hablar en un tiempo), la red entera de Skype ha dejado de funcionar para estos clientes, tal … Sigue leyendo →

ACLARACIÓN PREVIA A LA LECTURA: ESTE POST ES UNA OPINION PERSONAL Y NO REFLEJA EL PENSAMIENTO DE SINOLOGIC.NET NI ELIO ROJANO SU TITULAR, ES EN BASE A LA LIBERTAD DE EXPRESION QUE EL MISMO NOS BRINDA QUE PUEDO HACER ESTE POST CON TOTAL … Sigue leyendo →

El equipo de desarrolladores de Asterisk acaban de anunciar las nuevas versiones de Asterisk 1.6.1.23, 1.6.2.17.1 y 1.8.3.1 que corrigen dos vulnerabilidades recién descubiertas: Resource exhaustion in Asterisk Manager Interface (AST-2011-003) Remote crash vulnerability in TCP/TLS server (AST-2011-004) El ChangeLog … Sigue leyendo →

Antes de empezar con la segunda parte de Deselastixando Elastix… En referencia a unas aclaraciones de Manwe de Asterisk-ES-RSP el cual respeto muchísimo, voy a hacer un addendum aquí debajo donde aclaro que este procedimiento que yo hice con Asterisk … Sigue leyendo →

En BandaAncha lo dejan tan claro que mejor lo copio: Seguridadwireless ha averiguado el patrón utilizado por ambas operadoras para configurar las claves WPA por defecto con las que se proporciona el router a los clientes. Una herramienta online permite … Sigue leyendo →

snom nos anunciaba ya hace unos dias su partnership con GSMK para ofrecer un telefono compatible con dicho fabricante, conocido por utilizar una tecnologia de encriptación de alto grado, y uso militar, que entre otras, es usada por las propias … Sigue leyendo →

De los amigos de slashdot y luego traducido en barrapunto les paso esta noticia…que realmente nos atañe a todos los usuarios de asterisk y de distros de 64 bits ya que podrían ser vulnerables. “Según el aviso en CVE-2010-3081, existe … Sigue leyendo →

Durante el movidísimo día de ayer en las listas de Elastix(r) recibimos un dato desconcertante que nos alarmó sobremanera. Ante todo….FreePBX para quien no conoce, es un front end que conecta las configuraciones que creamos en una interfaz web, que son guardadas … Sigue leyendo →

Después de varios meses recibiendo avisos, comentarios y revisando logs sobre ataques a sistemas VoIP estaba claro que los distintos rangos de direcciones IP que son asignadas al continente europeo han recibido la visita de diversos grupos de hackers (o … Sigue leyendo →

Hace unas semanas creamos una pagina web desde la que podíamos comprobar si nuestro Asterisk era vulnerable a INVITES externos sin autenticación. Por la cantidad de emails que recibí tanto de usuarios de España como los de otros países, ví … Sigue leyendo →

Desde hace algún tiempo venía comentando por aquí, que hay ciertas personas (por llamarlas de alguna forma) que aprovechan alguna configuración incorrecta, algo que se dejó de la mano de algún interfaz web y no se ha comprobado que es … Sigue leyendo →

No son pocas las instalaciones de Asterisk  (y de cualquier fabricante de centralitas VozIP) que sufren ataques desde el exterior, para intentar encontrar una cuenta sin la debida seguridad, y a través de ella, conseguir realizar llamadas a un número … Sigue leyendo →

Hace una semana Olle Johansson anunció un fallo de seguridad bastante interesante, pero no me atreví a escribir sobre él hasta que no lo hubiésemos probado y al fín lo hicimos, y los resultados son escalofriantes: Imaginemos que utilizamos un … Sigue leyendo →

Aquellos que no pudieron asistir a la interesantísima charla sobre seguridad en Asterisk de la que hablamos el otro día, la teneis disponible en vídeo: Gracias a John Todd por el aviso.

La seguridad debe ser, sin duda, uno de los puntos más importantes para cualquier administrador de sistemas. No hay excusas válidas para dejar desatendida una vulnerabilidad y mucho menos, ciertas acciones como “seguridad por ocultación” demuestran diariamente que no debería … Sigue leyendo →

Cuando este lunes leí en la web de Hispasec que Microsoft haría público este martes parches para solucionar nada más y nada menos que 13 fallos de seguridad, no sabía si reir o llorar. Al fin y al cabo todos … Sigue leyendo →

Estamos de racha, hace una semana nuestro colega Saúl Ibarra (que hoy estrena nuevo diseño) nos sorprendía con el anuncio de la publicación de un libro sobre distintos aspectos de Asterisk hecho por varias personas (no voy a mencionar a … Sigue leyendo →

Se ha armado bastante revuelo en la blogosfera debido a que el IC3 (Internet Crime Complain Center) algo así como la “División de Delitos Informáticos” española, pero perteneciente al FBI acaba de hacer público (ahora) una vulnerabilidad de Asterisk que … Sigue leyendo →

En la última AstriDevCon (concentración de programadores de Asterisk para planear nuevos proyectos relacionados con Asterisk) que se realizó la semana pasada entre otros proyectos, se plantearon algunos temas interesantes entre los que se encuentran: – Negociación de códecs y … Sigue leyendo →

Hace un par de meses, leía estupefacto cómo habían descubierto una vulnerabilidad en el mismísimo protocolo DNS que ponía de manifiesto que cuando algo es bueno, nadie lo mira. Pues si el DNS fue ámpliamente criticado por dicha vulnerabilidad y … Sigue leyendo →

Muchas personas, para evitar que su servidor Asterisk se quede bloqueado en el caso en que falle la conexión a Internet, suelen recurrir a diversas técnicas (explicación): Utilizar direcciones IP en lugar de nombres de dominio. Añadir los nombres de … Sigue leyendo →

Empezamos el día con una nueva versión de Asterisk: acaba de ser lanzada 2 nuevas versiones de Asterisk, debido a 2 bugs encontrados en el IAX que han sido gestionados como vulnerabilidades como podeis ver en: AST-2008-010 y AST-2008-011. Las … Sigue leyendo →

“Los clientes de las soluciones de Voz sobre IP (VoIP) de Avaya, Cisco y Nortel han sido alertados por unas vulnerabilidades que podrían conllevar la ejecución de código remoto, accesos no autorizados, denegación de servicio y recolección de información. Estos … Sigue leyendo →

VoIPER es una herramienta de seguridad que permite a cualquier administrador de una red VoIP probar la seguridad de su infraestructa de voz sobre IP. Es una herramienta para “torturar dispositivos SIP” basada en el RFC 4475 y una gran … Sigue leyendo →

Pese a que está a punto de salir la versión 1.4.20 estable (ya está disponible la versión 1.4.20-rc2), el equipo de desarrolladores de Asterisk acaba de solucionar un importante bug de seguridad en el canal IAX tras lo cual escribieron … Sigue leyendo →

RTPBreak es una aplicación que detecta, reconstruye y analiza cualquier trama RTP. La principal ventaja de esta aplicación es que no requiere de la presencia de paquetes RTCP y es totalmente independiente del protocolo de señalización utilizado (SIP, H.323, SCCP, … Sigue leyendo →

Pulvermedia que parece que no está pasando por uno de sus mejores momentos, acaba de anunciar un webinar sobre Seguridad en entornos IMS (IMS Security – How to Protect Signaling Communications against Attack). Este webinar se realizará hoy (9 de … Sigue leyendo →

Leyendo el blog de Saúl, me entero que el equipo de desarrolladores de Asterisk acaba de publicar una actualización de AsteriskNOW que soluciona algunos bugs que se encontraron en la versión 1.0.1. ¿Porqué no llevan el sistema de control de … Sigue leyendo →

El equipo de desarrollos de Asterisk ha anunciado varias actualizaciones de seguridad en todas las versiones de Asterisk: Asterisk 1.2.27 Asterisk 1.4.18.1 Asterisk 1.6.0-beta6  Estas actualizaciones solucionan algunos bugs de seguridad como: Overflow en el manejo de RTP Llamadas sin … Sigue leyendo →

Ingate organiza un webinar (charla, webcast,…) sobre seguridad en entornos SIP, algo que seguro le interesará a todos aquellos que trabajamos en entornos donde las comunicaciones viajan mediante este protocolo. La asistencia a la charla es gratuita, aunque es importante … Sigue leyendo →

Saúl Ibarra acaba de publicar el material de una conferencia que dió la semana pasada sobre seguridad en una red VoIP muy interesante. Lo podeis ver aquí: http://www.saghul.net/

La penúltima versión de Asterisk 1.6 se hizo pública anoche: Asterisk 1.6.0 Beta 3. Los cambios con respecto a la beta2 son sobre todo arreglos a los bugs detectados así como algunas características nuevas como:  * Añadida la opción ‘n‘ … Sigue leyendo →