Leo en Voipsec que la gente de SANS han publicado un documento la mar de interesante donde se analizan los principales problemas de seguridad a los que debe enfrentarse un implementador de sistemas VoIP.

Los puntos que trata:

- Security vulnerabilities transitioning from POTS to VoIP
- Real Time Protocol (RTP)
- Asterisk and Inter-Asterisk Exchange (IAX)
- Session Initiation Protocol (SIP)
- Skype
- Cisco VoIP

Podeis leerlo aquí:
http://www.sans.org/reading_room/whitepapers/voip/2036.php

Acaban de publicar la version 1.4.17 de Asterisk que soluciona un bug encontrado en el chan_sip que realiza una denegación de servicio en una sesión autentificada o no donde se permita transferencias. (parámetros t o T en el comando Dial).

La rama 1.2 de Asterisk no tiene este bug.

Más información:
http://downloads.digium.com/pub/security/AST-2008-001.pdf.

Actualización de Asterisk en:
http://downloads.digium.com/pub/telephony/asterisk/.

En Julio de este año ya hablamos de las posibilidades de Linux, una aplicación llamada “motion” utilizándolo como detector de movimiento y Asterisk para llegar a construir un sistema de alarmas con una webcam y Asterisk.

En aquel momento, el artículo que escribí fue simplemente una “idea” que ofrecía según las posibilidades de esta aplicación y Asterisk, y me he llevado una grata sorpresa al ver que dicha idea ha sido realizada por la empresa Servitux e incluso han escrito un tutorial donde podemos desarrollarlo con un esfuerzo mínimo.

El tutorial lo podeis encontrar en su página:
http://www.servitux.org/view.php/page/alarma

Gracias a Paco Brufal por el aviso.

Si el 2007 se planteó como el año de la revolución de la VoIP, podría afirmar que más que revolución, ha sido el año de la estabilidad en la VoIP. Este año será recordado sobre todo por la cantidad de novedades y cambios que ha traído.

Voy a recordar, para los nostálgicos, las principales noticias de este año:

Enero:
- Apple anuncia su nuevo teléfono iPhone.
- Cisco y Apple se enfrentan por la marca “iPhone”.
- Mark Spencer graba un vídeo tutorial para instalar AsteriskNOW
- Asterisk compatible con 3G.
- Digium lanza la TDM800, la TE120P y la tarjeta de Transcoding.
- Danny Windham pasa a ser el nuevo CEO de Digium.

Febrero:
- Lanzamiento del cancelador de eco HPEC de Digium.
- Nuevas tarjetas de Junghanns.
- AsteriskNOW gana el premio Best Of Show.

Marzo:
- MiniVoiceMail para Asterisk.
- Cisco abandona Skinny en favor de SIP.
- Digium lanza AADK (Asterisk Appliance Development Kit).
- VoIP-Info cae durante varios días.
- Digium y PulverMedia preparan la DigiumAsteriskWorld.
- Aparecen nuevos TTS Y ASR en español compatibles con Asterisk.

Abril:
- Digium crea un sistema de boletines de seguridad para Asterisk.
- Junghanns publica BriStuff con Asterisk 1.4.
- n-ésimo troyano para Skype.

Mayo:
- Primeras palabras sobre Asterisk 1.6.
- Asterisk en el AppleTV.
- Nuevas voces en español neutro para Festival.
- Lanzamiento del phoneBridge2.
- Primera opinión sobre Fring.
- AsteriDevCon. Objetivo: Asterisk 1.6.

Junio:
- Digium lanza AsteriskNow beta 6.
- Digium anuncia sus nuevas tarjetas PCI-Express.
- Nomasystem publica una API para un clicktocall vía web.
- Pirelli lanza el primer teléfono Wifi-GSM libre.
- Apple lanza su mega-popular iPhone.

Julio:
- RedIris se hace representante de la versión alternativa de Enum.
- Thomson lanza su nuevo terminal IP: ST2022.
- Digium compra Sokol&Associates.
- Europa por delante de EEUU en cuanto a usuarios VoIP.
- Ideafisk se convierte en Zoiper.
- Condenan a Skype de violar la GPL.
- SineApps se convierte en VentureVoIP.
- Cisco compra Linksys.

Julio:
- Digium convoca los premios a la innovación.
- Freeswitch dona nuevas aplicaciones para Asterisk.
- Digium lanza la nueva appliance AA50.
- Usuario detenido por robar 10 millones de minutos VoIP.

Agosto:
- GrandStream lanza nuevos terminales.
- Skype deja en la estacada a miles de usuarios.

Septiembre:
- TrixBox Pro viola la licencia GPL.
- Huawei compra 3Com.
- Digium compra SwitchVox.
- Primeros intentos de VoIP en el iPhone.
- Yahoo compra Zimbra.
- Pika lanza su appliance.
- Digium y Fonality se apuntan a los blogs.
- Fring soporta roaming de 3G y Wifi.

Octubre:
- SwitchVox libera una versión gratuita.
- Resumen de la Digium AsteriskWorld.
- Instalando Asterisk en un iPhone.
- 3Com instalará las AA50.
- Microsoft presenta su VoIP.
- La TDM800 ahora en versión PCI-Express.
- Primer cumpleaños de SinoLogic.
- Skype lanza su movil y cae en picado.

Noviembre:
- Presentado PBX-in-a-Flash.
- Avanzada7 y Digium presentan Asterisk en el SIMO.
- Elastix 0.9 released.
- BootCamp en Madrid

Diciembre:
- AsteriskCounter llega a los 1000 usuarios.
- Listado de softphones para Mac.
- Fonality organiza su propia convención.
- SIP MasterClass con Asterisk y OpenSER.
- Softphone y clicktocall compatible con Firefox y Asterisk.
- Publicada versión catalán de Festival.
- TrixBox decepciona a sus usuarios con el Spyware que trae.
- Digium anuncia 1.000.000 de descargas de Asterisk.

Ha sido un año muy bueno para muchos y no tan bueno para otros profesionales que pronostican que esto de la VoIP no va a tener el éxito que auguraban. Lo que está claro es que este año ha servido para que muchas empresas se introduzcan el mercado y aumenta la competencia. El 2008 creo que será un año que hará replantear muchos de los avances que han salido este año, y donde veremos grandes fusiones y compras de empresas, así como nuevos productos y más y más de lo mismo lo que permitirá estabilizar aún más los productos más veteranos y ofrecer a los usuarios y a las empresas más productos, mejor calidad y precios más competitivos.

Alucinado me quedo cuando leo en AsteriskGuru que acaban de descubrir que TrixBox incluye una aplicación oculta y controlada remotamente que envía datos recopilados de los usuarios. (alucina!)
La cosa mejora cuando descubren que no solo recopilan datos si no que además es capaz de ejecutar comandos desde el exterior provocando no solo agujeros de seguridad, si no el control del sistema a manos de personas que tienen acceso pero no el permiso correspondiente. (alucina más…)

Para colmo, en los foros de TrixBox se está liando un revuelo bastante grande con esto, ya que los trabajadores de Fonality intentan tranquilizar a los usuarios que preguntan constantemente por este nuevo descubrimiento.

Ahora es cuando recuerdo un viejo post que escribí hace algún tiempo  y donde algunas personas dijeron que el código estaba disponible en la web de los distintos proyectos y claro, a la vista de esto ¿pensais que si realmente TrixBox fuera código abierto, los usuarios hubieran permitido semejante abuso?

Más información: http://nerdvittles.com/index.php?p=198

(Nota: veo que también Saúl se hizo eco de la primera parte)

Por un correo de Olle Johanson me entero que el curso SIP MasterClass que dará el próximo mes de Enero en Estocolmo además de con Asterisk también se añadirá una nueva aplicación al curso: OpenSER
Para dar la parte del curso relativa a OpenSER se contará con una persona especial:  Daniel-Constatin Mierla (co-fundador y desarrollador de OpenSER), por lo que si el curso ya era MUY INTERESANTE, ahora lo será doblemente: Olle Johanson para la parte de Asterisk y Daniel Constantin para la parte de OpenSER.

El curso estará enfocado a la construcción de una infraestructura de tipo “carrier” o proveedor IP en una arquitectura de red escalable con Asterisk y OpenSER.

Como requisito para aprovechar el máximo el curso es necesario conocer Asterisk como mínimo al nivel que se da en la BootCamp, e imagino que algo de redes, y seguro que se agradece algo de experiencia SIP (entender un poco el ‘sip debug‘ o similar).

Podeis ver el currículum de los profesores, así como la estructura del horario del curso en la página web donde os podeis inscribir: http://edvina.net/training/sipmasterclass/index.shtm

El SJPhone es uno de los softphones SIP opensource más utilizados debido a que es gratis, funciona en Windows, Linux, Mac, WindowsMobile y WindowsCE, y pese a que las últimas versiones a veces les da por hacer raros como consumir el 100% del procesador, es uno de los softphones más recomendados de la red.

Leo en VOIPSEC que han descubierto que una implementación especial de paquetes RTP podrían ocasionar la ejecución de código no deseado como lo demuestra un tal Christian en esta web:
http://www.ee.oulu.fi/research/ouspg/protos/sota/SSI2006-rtp/

Había recibido emails de falsos bancos, de falsos paypal, etc, lo que no me imaginaba es que iba a recibir un phising de skype.

Recibo un correo solicitándome los datos de una supuesta cuenta de skype que en ningún momento indica cual es, y que si para el 15 de diciembre no lo ha recibido, la cuenta será suspendida.

Como siempre el correo trae un enlace que apunta a un dominio brasileño, con tan mala fortuna que en el whois aparecen los datos del responsable: duplitec@vitalmaster.com

Vamos, que si se descuida, hasta da el número de carné y el de celda, porque con lo torpe que es, seguro que ya está entre rejas.

A lo importante, que tengais cuidados los usuarios de Skype, que hay gente mala.

Del equipo de desarrolladores de Asterisk recibo un correo con dos actualizaciones interesantes:

Asterisk-addons-1.4.5:
Compatible con la versión actual de Asterisk 1.4.15 y algunos errores solucionados.

Version 33 del códec G729:
Es una actualización para que funcione el códec G729a con la última versión de Asterisk.

Podeis descargarlo de http://downloads.digium.com/pub

El equipo de desarrolladores de Asterisk nos avisa de una nueva versión tanto de la versión 1.4 como de la 1.2

A muchos les sonará extraño que se actualice la versión 1.2 ya que se conoce que esta versión quedó fuera de mantenimiento desde el mes de Agosto, pero debido a la gravedad de los bugs corregidos, y conociendo la cantidad de personas que todavía utilizan la versión 1.2, han decidido sacar una actualización también para esta versión.

Los bugs que corrige esta versión los podeis ver en los informes de seguridad que acompañaba el anuncio de esta nueva versión:

http://downloads.digium.com/pub/asa/AST-2007-025.pdf
* This is a SQL injection vulnerability in the res_config_pgsql module.
Default installations of Asterisk are not affected.  However, any system using
the Postgres Realtime Engine may be remotely exploitable.  This issue only
affects Asterisk 1.4, as this module was not in Asterisk 1.2.

http://downloads.digium.com/pub/asa/AST-2007-026.pdf
* This is another SQL injection vulnerability.  The input for the ANI and DNIS
fields were not properly escaped.  Default installations of Asterisk are not
vulnerable.  However, systems that use the Postgres CDR logging module may be
remotely exploitable.  This issue affects both Asterisk 1.2 and 1.4.

Y la nueva versión la podeis descargar desde donde siempre:
http://downloads.digium.com/pub/asterisk