Alucinado me quedo cuando leo en AsteriskGuru que acaban de descubrir que TrixBox incluye una aplicación oculta y controlada remotamente que envía datos recopilados de los usuarios. (alucina!)
La cosa mejora cuando descubren que no solo recopilan datos si no que además es capaz de ejecutar comandos desde el exterior provocando no solo agujeros de seguridad, si no el control del sistema a manos de personas que tienen acceso pero no el permiso correspondiente. (alucina más…)

Para colmo, en los foros de TrixBox se está liando un revuelo bastante grande con esto, ya que los trabajadores de Fonality intentan tranquilizar a los usuarios que preguntan constantemente por este nuevo descubrimiento.

Ahora es cuando recuerdo un viejo post que escribí hace algún tiempo  y donde algunas personas dijeron que el código estaba disponible en la web de los distintos proyectos y claro, a la vista de esto ¿pensais que si realmente TrixBox fuera código abierto, los usuarios hubieran permitido semejante abuso?

Más información: http://nerdvittles.com/index.php?p=198

(Nota: veo que también Saúl se hizo eco de la primera parte)

El SJPhone es uno de los softphones SIP opensource más utilizados debido a que es gratis, funciona en Windows, Linux, Mac, WindowsMobile y WindowsCE, y pese a que las últimas versiones a veces les da por hacer raros como consumir el 100% del procesador, es uno de los softphones más recomendados de la red.

Leo en VOIPSEC que han descubierto que una implementación especial de paquetes RTP podrían ocasionar la ejecución de código no deseado como lo demuestra un tal Christian en esta web:
http://www.ee.oulu.fi/research/ouspg/protos/sota/SSI2006-rtp/

Había recibido emails de falsos bancos, de falsos paypal, etc, lo que no me imaginaba es que iba a recibir un phising de skype.

Recibo un correo solicitándome los datos de una supuesta cuenta de skype que en ningún momento indica cual es, y que si para el 15 de diciembre no lo ha recibido, la cuenta será suspendida.

Como siempre el correo trae un enlace que apunta a un dominio brasileño, con tan mala fortuna que en el whois aparecen los datos del responsable: duplitec@vitalmaster.com

Vamos, que si se descuida, hasta da el número de carné y el de celda, porque con lo torpe que es, seguro que ya está entre rejas.

A lo importante, que tengais cuidados los usuarios de Skype, que hay gente mala.

El equipo de desarrolladores de Asterisk nos avisa de una nueva versión tanto de la versión 1.4 como de la 1.2

A muchos les sonará extraño que se actualice la versión 1.2 ya que se conoce que esta versión quedó fuera de mantenimiento desde el mes de Agosto, pero debido a la gravedad de los bugs corregidos, y conociendo la cantidad de personas que todavía utilizan la versión 1.2, han decidido sacar una actualización también para esta versión.

Los bugs que corrige esta versión los podeis ver en los informes de seguridad que acompañaba el anuncio de esta nueva versión:

http://downloads.digium.com/pub/asa/AST-2007-025.pdf
* This is a SQL injection vulnerability in the res_config_pgsql module.
Default installations of Asterisk are not affected.  However, any system using
the Postgres Realtime Engine may be remotely exploitable.  This issue only
affects Asterisk 1.4, as this module was not in Asterisk 1.2.

http://downloads.digium.com/pub/asa/AST-2007-026.pdf
* This is another SQL injection vulnerability.  The input for the ANI and DNIS
fields were not properly escaped.  Default installations of Asterisk are not
vulnerable.  However, systems that use the Postgres CDR logging module may be
remotely exploitable.  This issue affects both Asterisk 1.2 and 1.4.

Y la nueva versión la podeis descargar desde donde siempre:
http://downloads.digium.com/pub/asterisk

Viendo alguna que otra noticia sobre que los “juankers” amenazan las redes VoIP instalando troyanos en los servidores, he topado con una aplicación que tiene una pinta estupenda.

La aplicación se llama “siptap” y pese a que oficialmente sirve para monitorizar llamadas VoIP y comprobar lo vulnerable que puede llegar a ser nuestra infraestructura, su utilización puede incluso sernos más útil como un sistema de grabación separado de Asterisk, algo que seguro que a más de uno le interesa bastante.

Lo mejor, como suele ser en estos casos, es que la aplicación sea código libre, pero en esta ocasión parece que no lo es, aún así, la demostración que tienen publicada, seguro que deja a más de uno con un buen sabor de boca.

Enlace: http://siptap.voipcode.org

Cuando se requieren de aplicaciones profesionales, conozco dos con mejor pinta:
- Oreka: Una aplicación sniffer opensource y comercial aunque algo pesadilla (tomcat+java+jsp+…)
- Oak: Un sistema comercial completo y profesional de grabación.

Ayer publicaron la versión 1.4.14 de Asterisk, una versión que soluciona algunos bugs interesantes.Podeis ver la lista de cambios en el Changelog.Y descargarlo de aquí: asterisk-1.4.14.tar.gz  

Ya había leído alguna “crítica” con respecto al firewall que trae la última versión del MacOSX, que si viene deshabilitado por defecto, que si no funciona corréctamente, y algunas cosas más. ( http://www.kriptopolis.org/primeras-criticas-cortafuegos-macosx-leopard )

Lo último que he leído me ha llamado la atención y es que, por muy malo que pueda parecer el firewall, consigue hacer algo que no hacen ni siquiera programas especializados en firewalls: consigue bloquear Skype!

http://www.voip-news-net.com/2007/11/new-firewall-fo.html

Pues que entre los fallos de seguridad que tiene Internet Explorer, unido a los bugs de Skype, te pueden dejar el ordenador como un colador.

Esto es la prueba que nos ofrece José Luís Zayas desde su blog, cuando visitas esta página desde Internet Explorer, la web crea 557 hilos de llamada a la aplicación Skype que no para de ejecutarse y terminará volviéndolo loco.

Haz la prueba aquí: http://mrzayas.es/pocskype/realizar/

Explicación: http://mrzayas.es/2007/10/18/%c2%a1cuidado-con-skype-ie/

P.D. Aún hay quien cree que los productos de Microsoft son seguros.