“Los clientes de las soluciones de Voz sobre IP (VoIP) de Avaya, Cisco y Nortel han sido alertados por unas vulnerabilidades que podrían conllevar la ejecución de código remoto, accesos no autorizados, denegación de servicio y recolección de información. Estos errores han sido encontrados por los Laboratorios VoIPshield y dados a conocer rápidamente a los tres fabricantes con el fin de que tuvieran tiempo suficiente para desarrollar los parches necesarios, según Rick Dalmazzi, presidente y CEO de VoIPshield, quien, no obstante, no ha querido facilitar más detalles dado que su compañía y los tres fabricantes afectados acordaron realizar un anuncio conjunto.”

“Eso sí, este responsable confirmaba que al menos dos de los tres nombres afectados tienen ya desarrollados los parches que solucionan estas vulnerabilidades y que el tercero de ellos (que no dicen cual es) lo tendrá en breve. Según Dalmazzi, se eligió a Avaya, Cisco y Nortel para hacer estas pruebas de vulnerabilidad porque representan la mayor parte de las ventas de centralitas IP en el mercado estadounidense. No obstante, anuncia que en las próximas pruebas se incluirá también a Microsoft, cuyos resultados estarán disponibles en unos cuatro meses, aproximadamente.”

Cuando alguien lee una noticia como esta, la mayoría piensa que pueden ser simples errores que se corrigen rápidamente y no tienen mayor repercusión, pero cuando vemos que una vulnerabilidad de este tipo que el usuario NO PUEDE solucionar por su cuenta (al ser código cerrado) y de hecho debe tener contratado un mantenimiento (en función del tamaño de la infraestructura) para tener “derecho” a actualizaciones, el problema se vuelve mucho más grave.

Dentro de 4 meses, se publicarán las vulnerabilidades del sistemas de comunicaciones de Microsoft. Las típicas centralitas basadas en Windows que, además de las posibles vulnerabilidades que se pueden llegar a encontrar (provocadas generalmente por errores en la programación, o falta de pruebas), se le añade otros que multiplican por 1000 los factores de riesgos, como son el contagio de un virus, troyanos, o simples gusanos que detecte el sistema de comunicaciones y se dedique a hacer llamadas sin parar a números 906 por las noches (por desgracia ya hay varias pruebas de virus de este tipo circulando por internet) lo que puede llegar a ser la ruina completa para una pequeña empresa.

Sin duda, malas noticias.

VoIPER es una herramienta de seguridad que permite a cualquier administrador de una red VoIP probar la seguridad de su infraestructa de voz sobre IP. Es una herramienta para “torturar dispositivos SIP” basada en el RFC 4475 y una gran variedad de módulos de módulos auxiliares para detectar fallos y poder depurarlos.

Voiper incorpora tests para:

• SIP INVITE (3 tipos diferentes de tests)
• SIP ACK
• SIP CANCEL
• SIP request structure
• SDP over IP

Incluye módulos como:

• Protocol and process based crash detection and recording
• Fuzzer pause/restart functionality (SFF)
• Supports clients that require registration prior to fuzzing
• Simple to expand to new protocols
• As far as possible, protocol compliance e.g ACKs and CANCELs responses to prevent some clients hanging
• Target process control (SFF)

Esta aplicación es una de las principales para hacerle pruebas a los principales softphones públicos: Ekiga, Linphone, Twinkle, Gizmo5, NCH Business Talk, SJPhone,… aunque por esa misma regla de tres, nos puede servir para probar terminales SIP.

La web de VoIPER trae algunos ejemplos que pueden ayudarnos a aprender cómo funciona.
Más información: http://sourceforge.net/project/showfiles.php?group_id=208579
Página principal de VoIPER: http://voiper.sourceforge.net/

Richard Whitt, uno de los directivos de Google ha anunciado que están preparando una serie de herramientas de análisis para que los usuarios puedan detectar cuando su proveedor de internet realiza acciones que perjudiquen los servicios contratados por sus usuarios.

Prohibir el acceso a determinados puertos, bajar la velocidad de conexión a determinadas horas o limitar el ancho de banda si se hace uso de aplicaciones que utilicen la técnica P2P o VoIP son algunas de las acciones ilegales (ya que no suene venir declarado en el contrato de alta) que suelen llevar a cabo algunos proveedores de banda ancha.

“Si los proveedores de banda ancha no te van a decir exactamente lo que está pasando en sus redes, queremos darles a los consumidores el poder de descubrirlo por sí mismos“.

Leyendo VoipNovatos y Saghul.net me doy cuenta que el equipo de desarrolladores de Asterisk acaban de publicar la versión 1.4.20 estable de Asterisk.

Realmente no hay ningún cambio con respecto a la versión rc3, y justamente sea eso lo que habrán considerado para convertirla en estable: si nadie comenta ningún comportamiento extraño, es que será estable.

Entre los cambios con respecto a la anterior versión 1.4.19.2 se encuentran varios referentes al chan_sip (ya era necesario) donde solucionan algunos bugs encontrados y añaden ciertos soportes que mejoran la compatibilidad con otros sistemas SIP.

Seguramente esta versión, si todo apunta bien, esta será de las más completas y seguras que tiene Asterisk. (cruzaremos los dedos)

Actualización:
La versión ha pasado a ser la 1.4.20.1 debido a unos errores de última hora en la consola que han sido corregidos.

Podeis ver la lista de cambios aquí:
http://svn.digium.com/view/asterisk/tags/1.4.20/ChangeLog?view=markup

Y descargarla de donde siempre:
http://downloads.digium.com/pub/asterisk/

(El día que deje de escribir los enlaces, seguro que alguien pregunta por ellos… xD)

Pese a que muchos blogs y páginas de noticias sobre VoIP y Asterisk anuncian a bombo y platillo cada versión, revisión y corrección de bugs de Asterisk, estoy seguro que más de uno no le importa lo más mínimo cual es la última versión que salió ayer u hoy, no obstante, es importante recordar qué cambios va haciendo Asterisk ya que como un proyecto vivo, aquellos que siguen Sinologic y leen las noticias de las versiones, seguro que conocen en menor o mayor medida qué añadidos son importantes e interesantes para futuras implementaciones.

En esta ocasión, la versión que ha salido hoy es la 1.6.0-beta9 (la beta más alta que recuerdo en Asterisk) y que tiene como último añadido, una feature escrita por nuestro colega Olle sobre envío de mensajes en modo texto mediante el chan_sip, algo que empieza a tomar forma. Lástima que el chan_sip siempre vaya tan lento pese a ser uno de los módulos más utilizados en Asterisk.

Sobre todo, lo que tiene esta versión son correcciones de bugs encontrados desde la última versión.

Podeis ver el ChanLog aquí:
http://downloads.digium.com/pub/telephony/asterisk/ChangeLog-1.6.0-beta9

y cómo no, descargarlo de aquí:
http://downloads.digium.com/pub/telephony/asterisk/

Pese a que está a punto de salir la versión 1.4.20 estable (ya está disponible la versión 1.4.20-rc2), el equipo de desarrolladores de Asterisk acaba de solucionar un importante bug de seguridad en el canal IAX tras lo cual escribieron un parche y este hacía que una llamada sobrecargara el sistema hasta tal punto que Russell Bryant, con un Core 2 Duo a 2.33Ghz era incapaz de manejar 16 canales IAX.

Tras esto, muy recomendable actualizar, sobre todo si se utiliza el canal IAX.

Más Información: http://downloads.digium.com/pub/asterisk/ChangeLog-1.4.19.2
Enlace: http://downloads.digium.com/pub/asterisk/

RTPBreak es una aplicación que detecta, reconstruye y analiza cualquier trama RTP.

La principal ventaja de esta aplicación es que no requiere de la presencia de paquetes RTCP y es totalmente independiente del protocolo de señalización utilizado (SIP, H.323, SCCP, …). La entrada es una secuencia de paquetes, la salida es un conjunto de archivos que puedes utilizar como entrada para otras aplicaciones como Wireshark, sox, grep, awk, cut, sed, etc.

Un ejemplo de esta aplicación:

xenion@gollum:~/dev/rtpbreak-1.3$ sudo src/rtpbreak -i wifi0 \
-g -m -d logz

+ rtpbreak v1.3 running here!
+ pid: 3580, date/time: 19/02/2008#09:49:21
+ Configuration

+ INPUT
Packet source: iface 'wifi0'
Force datalink header length: disabled

+ OUTPUT
Output directory: 'logz'
RTP raw dumps: enabled
RTP pcap dumps: enabled
Fill gaps: enabled
Dump noise: disabled
Logfile: 'logz/rtp.0.txt'
Logging to stdout: enabled
Logging to syslog: disabled
Be verbose: disabled

+ SELECT
Sniff packets in promisc mode: enabled
Add pcap filter: disabled
Expecting even destination UDP port: disabled
Expecting unprivileged source/destination UDP ports: disabled
Expecting RTP payload type: any
Expecting RTP payload length: any
Packet timeout: 10.00 seconds
Pattern timeout: 0.25 seconds
Pattern packets: 5

+ EXECUTION
Running as user/group: root/root
Running daemonized: disabled
* You can dump stats sending me a SIGUSR2 signal
* Reading packets...
! [rtp0] detected: pt=0(g711U) 192.168.0.30:2072 => 192.168.0.20:2074
! [rtp1] detected: pt=0(g711U) 192.168.0.20:2074 => 192.168.0.30:2072
* [rtp1] probable reverse RTP stream: [rtp0]
+ Status
Alive RTP Sessions: 2
Closed RTP Sessions: 0
Detected RTP Sessions: 2
Flushed RTP packets: 3358
Lost RTP packets: 122 (3.51%)
Noise (false positive) packets: 0
+ [rtp1] stats: packets inbuffer=262 flushed=1673 lost=61(3.52%),

call_length=1m2s
+ [rtp0] stats: packets inbuffer=270 flushed=1685 lost=61(3.49%),

call_length=1m2s
* [rtp1] closed: packets inbuffer=0 flushed=2800 lost=115(3.95%),

call_length=1m28s
* [rtp0] closed: packets inbuffer=0 flushed=2819 lost=106(3.62%),

call_length=1m28s
--
Caught SIGINT signal (2), cleaning up...
--

+ Status
Alive RTP Sessions: 0
Closed RTP Sessions: 2
Detected RTP Sessions: 2
Flushed RTP packets: 5619
Lost RTP packets: 221 (3.78%)
Noise (false positive) packets: 0
+ No active RTP streamxenion@gollum:~/dev/rtpbreak-1.3$

Como podeis comprobar, es una herramienta muy potente y muy interesante para monitorización y sobre todo para ayudar a localizar quién o qué está ocasionando problemas.

Enlace: http://xenion.antifork.org/rtpbreak/doc/rtpbreak_en.html

El equipo de desarrolladores de Asterisk acaba de anunciar unas actualizaciones que  corrigen ciertas vulnerabilidades y solucionan algunos bugs encontrados en las versiones anteriores.

En el último año, se han hecho modificaciones al canal IAX2 para combatir el aumento de ataques que provocaban un aumento desproporcionado del tráfico. Desafortunadamente el parche que lo solucionaba no estaba completo y no pudo ser solucionado hasta que el descubridor del exploit decidiese compartir la información al público.

Esta actualización soluciona fallos de todos los Asterisk que permiten llamadas no autentificadas mediante IAX2.

Podeis encontrar más información en el siguiente boletín de seguridad:
http://downloads.digium.com/pub/security/AST-2008-006.pdf

También podeis descargar las nuevas versiones desde el siguiente enlace:
http://downloads.digium.com/pub/telephony/asterisk/

Los próximos días 8 y 9 del mes de Mayo se celebrará la 4ta edición de la WhyFLOSS Conference, con entrada LIBRE y GRATUITA y con CERTIFICADOS DE ASISTENCIA y PONENCIAS DE NEGOCIO y TÉCNICAS orientadas a CIOs, empresas públicas y privadas, emprendedores, estudiantes y profesionales de IT.

Este evento se celebrará en la Escuela de Informática de la Universidad Politécnica de Madrid, Campus Sur y contará con las siguientes conferencias, seguro que interesan más de una:

• Open-Cities: El reto de la administración electrónica.
• VII programa Marco en la UE: Floss Include y Floss Metric.
• Modelos de negocios utilizando Asterisk.
• Clústering computacional en el CSIC.
• La implicación de la Free Information Infraestructure en los estándares abiertos en Europa.
• Caso de éxito: OpenSolaris en Accenture.
• ¿Es viable el Software Libre en la indústria? El caso de RedHat y JBoss.
• Evolución e Influencia del Software Libre en los últimos 10 años.
• Liferay Enterprise Portal: El proyecto, el producto, la comunidad y cómo extenderla.
• Openbravo: Las claves del éxito del desarrollo en las aplicaciones en Software Libre.
• Rocks: Distribución para clusters computacionales.
• Proyecto PROAIRESIS: Software Libre al servicio de la comunidad educativa.
• Seguridad en OpenSolaris.
• DJango: Framework MVC en Python.

Aunque la entrada es gratuita, se recomienda inscribirse con anterioridad.

Más información: http://www.whyfloss.com/es/conference/madrid08/

El equipo de desarrollos de Asterisk ha anunciado varias actualizaciones de seguridad en todas las versiones de Asterisk:

• Asterisk 1.2.27
• Asterisk 1.4.18.1
• Asterisk 1.6.0-beta6 

Estas actualizaciones solucionan algunos bugs de seguridad como:

1. Overflow en el manejo de RTP
2. Llamadas sin autenticarse en el canal SIP
3. Vulnerabilidad en logger y manager.

A actualizar se ha dicho!