Hace unas semanas fue presentada (el autor también fue invitado al VUC) la utilidad svrash.py, de la suite de seguridad SIPVicious. Con esta utilidad es posible hacer que las utilidades svwar.py y svcrack.py se dentengan, ya que les provoca una excepción. ¿WTF? Así es, svcrash es capaz de detener los ataques causados desde SIPVicious. Su… Continue reading svcrash: ¿el comienzo del anti-hacking en SIP?
Etiqueta: Seguridad
Entrevista con Blake Cornell, descubridor del bug AST-2009-006
Desde que el año pasado publiqué aquí la noticia de el primer 0day en IAX2 he tenido la ocasión de hablar en varias ocasiones con Blake Cornell, su autor. Posteriormente él mismo descubrió otros 9 bugs de seguridad y hace bien poco Digium tomó cartas en el asunto y arregló el problema. A raíz de… Continue reading Entrevista con Blake Cornell, descubridor del bug AST-2009-006
Comienza el desarrollo de un framework de seguridad en Asterisk
La seguridad en VoIP es algo que no ha preocupado demasiado a la gente, pero que cada vez es más necesario. La inexistencia de ataques en el pasado ha podido ser la causa de que no se haya pensado antes en la seguridad en la VoIP. Asterisk es un claro ejemplo de esto, basta con… Continue reading Comienza el desarrollo de un framework de seguridad en Asterisk
Lanzado fuzzer para IAX2
Leo en VoIP Zero Day que el descubridor de los tropecientos bugs de IAX2 ha lanzado su fuzzer IAX, con el que descubrió dichos bugs. El fuzzer ha sido incluido en VoIPER, una site para fuzzing de SIP. ¡Vamos a probarlo! Lo primero es descargarnos el código desde el SVN, ya que el fuzzer de… Continue reading Lanzado fuzzer para IAX2
Otros 9 exploits de denegación de servicio remota en IAX2
Ya comentamos hace tiempo que en VoIP Zero Day habían publicado un exploit que provocaba un ataque remoto de denegación de servicio (DoS) en IAX. Pues al parecer resulta que el autor se ha cansado de que en Digium no le hagan caso y ha decidido publicar ¡otros 9 exploits de denegación de servicio remota… Continue reading Otros 9 exploits de denegación de servicio remota en IAX2
(in)seguridad en VoIP @ voip2day
No he tenido tiempo, pero tenía este post en la recámara, así que más vale tarde que nunca 🙂 Hace tiempo que subía las dispositivas sobre la charla que dí en el voip2day a SlideShare, pero no lo había comentado por aquí. En la charla, que titulé (in)seguridad en VoIP traté de ofrecer una visión… Continue reading (in)seguridad en VoIP @ voip2day
Exploit de denegación de servicio remota que afecta a todas las versiones de Asterisk
Buceando por Internet, el otro día caí en esta interesante web: http://www.voip0day.com. Allí comentaban que hacía más de 30 días que habían notificado a Digium una vulnerabilidad en IAX que podía dejar Asterisk inutilizado mediante un ataque de denegación de servicio. Hoy, Manwe y yo nos hemos puesto a probarlo, para comprobar si Asterisk se… Continue reading Exploit de denegación de servicio remota que afecta a todas las versiones de Asterisk
Probando BackTrack 3
Para los que no la conozcan, BackTrack es una distro orientada a la seguidad y al análisis forense, que contiene decenas de herramientas para el análisis, fingerprinting, exploits, fuzzing, etc… Desde la versión anterior, Back Track incluye herramientas de seguridad relacionadas con la VoIP, tales como SIPcrack, Vomit, PROTOSS fuzzer, SIPVicious, etc… y en esta… Continue reading Probando BackTrack 3
Material de la charla sobre Seguridad en VoIP
Con motivo de la Semana ESIDE 2008, la semana pasada dí una charla sobre seguridad en VoIP. El contenido estaba bastante enfocado a ataques prácticos, con ejemplos y tal, exponiendo ataques que se pueden realizar contra la los terminales, la red y la PBX, que en este caso fue Asterisk. He colgado las transparencias en… Continue reading Material de la charla sobre Seguridad en VoIP
Sobre seguridad en SIP…
Leyendo VoIPSA, me encuentro con las transparencias que utilizó Hannes Tschofenig en la 3ª ETSI Security Workshop. En su charla, habla de la gestión de identidades en SIP y la seguridad del media (audio y/o vídeo). Les he echado un vistazo y parecen bastante interesantes, comenta cosas como el uso de TLS o MIKEY en… Continue reading Sobre seguridad en SIP…