Al parecer, el el Black Hat de este año, la VoIP ha tenido bastante presencia, y es que como cada vez se utiliza más, se habla más de ella. Como en Black Hat la cosa va de seguridad, se ha comentado bastante el asunto de la seguridad en la VoIP, cosa que de momento esta un poco «verde» entre otras cosas por la falta de «enemigos».
En el protocolo SIP, por ejemplo, las contraseñas viajan cifradas en MD5, un algoritmo que ya se rompió hace tiempo. Además, para recordarlas mejor, y poder marcarlas para otros propósitos, los usuarios tienden a utilizar contraseñas compuestas únicamente por números, lo que las hace aún más vulnerables.
A esto hay que sumar, que las conversaciones viajan sin cifrar (RTP), por lo que un usuario con malas intenciones podría hacer bastantes destrozos desde nuestra propia red local.
Para solucionar esto, Phil Zimmerman ha propuesto ZRTP, que es una extensión de RTP, para utilizar el método Diffie-Hellman para intercambio seguro de claves para utilizar el protocolo SRTP. Además, en el Black Hat, también habló de Zfone, un software que trabaja por encima las comunicaciones VoIP, utilizando el protocolo ZRTP para hacer las conexiones seguras. Zfone trabaja encima de software que utilice SIP y RTP en forma de plugin, por ejemplo: X-Lite y Gizmo.
Parece que la preocupación por la seguridad de la VoIP comienza a extenderse, ahora esperemos que no se extiendan los indeseables que quieren comprometerla.
2 thoughts on “Seguridad en la VoIP en Black Hat 2007”