Vulnerabilidad crítica en Cisco IP Phones (¿parcheaste tu teléfono?)

marzo 12, 2013 § Deja un comentario

Se ha hallado una vulnerabilidad en todos los teléfonos IP de Cisco actuales [PDF], una de las marcas de mayor venta de telefonía IP del mundo. La vulnerabilidad permite a un atacante tomar el control completo de los dispositivos, de acuerdo con científicos de la Universidad de Columbia.

“Una vez dentro, el atacante puede utilizar micrófonos del teléfono para exfiltrar sigilosamente datos de audio en cualquier momento, independientemente de si una llamada está en curso”, dijo Cui Ang, uno de los científicos que descubrieron la vulnerabilidad. El teléfono hackeado puede infectar a otros teléfonos en la misma red y atacar los ordenadores y dispositivos conectados, como impresoras, añade.

Los investigadores de Columbia informaron de la vulnerabilidad a Cisco, el 22 de octubre, a los pocos días de descubrir y verificar el error. La compañía ha lanzado un parche, pero no está claro cuántos teléfonos siguen siendo vulnerables.

“Podríamos convertir un teléfono en un walkie-talkie reescribiendo el software con 900 bytes de código. A los 10 minutos, podriamos comprometer cada teléfono en la red, y oír todo”, dice Cui.

Cisco produce los teléfonos que son utilizados por el gobierno federal de los EE.UU., el sector financiero, y muchas grandes empresas privadas. Michael Costello, otro científico utilizó Google para encontrar fotos de los teléfonos de Cisco en la Casa Blanca, Air Force One, un laboratorio nacional, y en oficina del ex-director de la CIA David Petraeus. “Tener una vulnerabilidad en un teléfono como este te abre los oídos en muchos rascacielos y ciudades del mundo”, dijo Cui.

Los investigadores encontraron “errores explotables” en el kernel del sistema operativo basado en Linux del teléfono, encargado de controlar todos los demás programas. El error puede dar a intrusos acceso total a los teléfonos.

Los investigadores desarrollaron un dispositivo que llaman “la Thingp3wn3r”, con el cual se puede conectar al teléfono por Bluetooth. Aunque el ataque que los investigadores desarrollaron se basa en el acceso físico al teléfono de destino, Cui dice que también podrían comprometer teléfonos Cisco remotamente a través de Internet.

Cisco publicó el parche para la vulnerabilidad el 20 de noviembre y Cui y sus colegas detallaron sus hallazgos en el Foro Amphion en San Francisco el pasado 5 de diciembre [PDF]. El problema es que este parche sorprendentemente “no está disponible para su descarga en el sitio web del fabricante sino que hay que solicitarlo expresamente”.

Cristian de la Redacción de Segu-Info

Anuncios

Envía mensajes cifrados en los silencios de Skype

enero 9, 2013 § Deja un comentario

El silencio podría convertirse en un mensaje cifrado secreto y oculto en cada pausa entre palabras, en una conversación de Skype.

Wojciech Mazurczyk del Instituto de Telecomunicaciones en Varsovia, Polonia, ha descubierto un método para utilizar el silencio entre palabras en una conversación de Skype. Las conversaciones de Skype se transmiten en paquetes de datos 130-bits. Pero en vez de transmitir “nada” entre las palabras, Skype transmite paquetes de 70-bits, que luego son ignorados en el extremo receptor. Mazurczyk ha desarrollado un método de esteganografía para usar estos paquetes, combinando el cifrado y la ofuscación de información y con esto ha creado una herramienta llamada SkypeHide.

En circunstancias normales, los “silenciosos” paquetes son simplemente ignorados. El receptor -o cualquier fisgón- no oye nada. Pero Mazurczyk puede secuestrar los paquetes e inyectar datos cifrados. “El Skype receptor simplemente hace caso omiso de los datos del mensaje secreto, pero sin embargo puede ser decodificado en el otro extremo”, informa la revista New Scientist. “El dato secreto es indistinguible de tráfico en un período de silencio, por lo que la detección es muy difícil a través de SkypeHide”, dice Mazurczyk.

Skype ha sido siempre considerado un medio de comunicación seguro ya que cifra su contenido de forma predeterminada. Pero las preocupaciones han aumentado desde que la compañía fue adquirida por Microsoft. Se sabe que las agencias de aplicación de la ley están tratando de convencer a las empresas más importantes para incluir una puerta trasera que se podría utilizar para la vigilancia. En efecto, la política de privacidad de Skype explícitamente advierte que “Skype puede revelar información personal para responder a las exigencias legales, ejercer nuestros derechos legales o defendernos contra demandas legales, para proteger los intereses de Skype, luchar contra el fraude y hacer cumplir nuestras políticas, o para proteger los derechos de nadie, propiedad o seguridad”.

VentureBeat también señala que “Microsoft tiene una solicitud de patente en el proceso llamado ‘Intercepción legal’ que permite la posibilidad de grabar ‘cualquier tipo de voz sobre protocolo de Internet (VoIP)” mediante el re-enrutamiento de mensajes a través de “un camino que incluye un agente de grabación”. La intercepción legal permitiría que las comunicaciones se desvien a través de un dispositivo de grabación y dando la oportunidad de tener acceso al contenido.

La herramienta SkypeHide, que será presentada en un taller de ACM en junio en Francia, podría proporcionar un método para derrotar las intercepciones legales propuestas.

Cristian de la Redacción de Segu-Info

Microsoft, Skype y el Messenger: resolución del triángulo amoroso

noviembre 15, 2012 § 1 comentario

Parecía que Microsoft no le estaba sacando partido a Skype, por la que pagó 8.500 millones de dólares hace año y medio. Hasta que esta semana hubo una víctima: el Messenger. Luego de la vulnerabilidad en Sype descubierta ayer, habría que revisar la decisión.

Fue el 10 de mayo de 2011: Microsoft compraba Skype por 8.500 millones de dólares (casi 6.000 millones de euros). Empezaban las especulaciones. ¿Qué grandes planes tenía Microsoft para Skype? ¿Qué pasaría con el servicio de VoIP? ¿Cómo se integraría todo? Pero el tiempo pasó, nada cambió, y la gente se fue olvidando. De vez en cuando salían críticas: ¿por qué ha gastado Microsoft tanto dinero en Skype si luego no iba a hacer nada?

Uno de los temas que más ampollas levantaba era el de Windows Phone. Cuando se realizó la compra, muchos usuarios de la plataforma móvil de Microsoft dieron por hecho que en poco tiempo podrían disfrutar de Skype en sus teléfonos móviles. Error. En octubre de 2011 todavía no había llegado, y Joe Belfiore, director de Windows Phone, decía que ocurriría a finales de 2011. Pasó fin de año y nada. Hubo que esperar a febrero para la beta y a abril, casi un año después de la compra, para la versión final.

Las cosas empezaron a cambiar hace apenas unas semanas, en los días grandes de Microsoft con las presentaciones de Windows 8 y Windows Phone 8. Aquí sí, aquí Skype llegaba integrado en el sistema operativo y hubo bastantes alabanzas. Parecía que por fin Microsoft había empezado a amortizar la compra.

La tarea de todos estos meses: preparar a Skype para la muerte del Messenger

A finales de octubre aparecía además un nuevo rumor que se confirmaba esta misma semana: Microsoft quiere eliminar Windows Live Messenger y que toda esta mensajería instantánea ocurra por Skype. En la última versión del servicio de VoIP ya se iniciaba la integración, permitiendo a los usuarios entrar con sus cuentas de Microsoft e importar los contactos. Atrás quedaban muchos meses de programación que cambiaron todo el interior de Skype.

En esos meses lo que se fue haciendo fue preparar a Skype para su nueva tarea como sustituto del Messenger, integrando en él toda las infraestructuras de las cuentas de Microsoft, cambiando la tecnología. Por fuera, Skype es el mismo de siempre. Por dentro, es el Messenger con videollamada (y sí, alguna característica más). Todo esto, claro, sin que ninguno de los usuarios lo notase, aunque ha habido quejas: llamadas de peor calidad, mayor lentitud…

En la trastienda de todo, a la hora de buscar una razón a por qué es Skype quien se queda y el Messenger quien se va, está todo ese trabajo de cambio de imagen que ha estado realizando Microsoft en los últimos meses. El Messenger significaba de alguna forma lo que significaba Hotmail, ese pasado glorioso que poco a poco fue decayendo. A Hotmail ya se le cambió de marca y diseño y desde hace unos meses es Outlook. Ahora el Messenger desaparece del mapa y queda Skype, una marca mucho mejor vista.

Microsoft va a por las empresas. Los próximos meses serán clave.

Fuente: ITEspresso

Skype… ¿Seguro o No ?

agosto 14, 2012 § Deja un comentario

Hace pocos dias fue publicada una noticia en la cual fue encontrada una herramienta para hacer spam por medio de Skype a un costo de aproxidamente 10 dolares y con un bono incluido de 5000 cuentas válidas de Skype para realizar el ataque de manera efectiva. La herramienta es llamada Skype Flooder y permite añadir, buscar y hacer spam via skype, recogiendo información especifica como nombres basados en un país, genero, y mostrar información como ciudad, nombre de usuario y estado del servicio por usuario.

La herramienta por el momento no es una amenaza a gran escala ya que para enviar el SPIM (SPAM over IM) es necesario que el usuario haya aceptado al usuario spammer y/o que no haya configurado bien su Skype para protegerse… pero ¿sabe Ud si ha configurado de manera segura su Skype y esta completamente seguro que esa persona que le envio una petición de contacto la conocia o solo la acepto por decencia?
Para tener una configuración segura de Skype es necesario tener en cuenta 4 parametros esenciales…

  • No recibir llamadas si no de usuarios en su lista de contactos
  • No recibir video ni compartir escritorio de manera automatica con NADIE
  • Solo permitir mensajes de contactos en su lista de contactos
  • y lo más importante… NO ACEPTAR A CUALQUIERA EN SU LISTA DE CONTACTOS

Contenido completo en fuente original Busy Tone

>Rogue y "phishing" a través de Skype

abril 25, 2011 § Deja un comentario

>Desde hace algunas semanas están apareciendo quejas de usuarios en el foro de Skype, que reciben llamadas no identificadas informando que su equipo fue atacado por un malware y deben visitar una página web para desinfectar el sistema. Se trata de una amenaza denominada Vishing, una modalidad de phishing combinada con telefonía de voz sobre IP (VoIP). En este tipo de engaños, se hace uso de la Ingeniería Social a través de llamadas telefónicas con el fin de obtener información sensible del usuario, como puede ser: número de tarjeta de crédito, PIN, etc.

Al atender la llamada, se puede escuchar una voz grabada que afirma que el sistema ha sido infectado, y que todos los usuarios de Microsoft Windows XP, Vista y 7 se encuentran en situación de riesgo. Por último menciona, en reiteradas ocasiones, visitar una página web. Al finalizar la conversación, finalmente aparece de quién provenía la llamada, una “notificación urgente”.

Contenido completo en ESET Latinoamérica

Skype: consideraciones sobre bloqueo de tráfico y análisis forense

marzo 1, 2010 § Deja un comentario

A estas alturas ya todos sabemos qué es Skype. No voy a descubrir nada nuevo sobre este software para realizar llamadas (voz), chat, etc, a través de internet desde un PC a otro PC.

Solo comentar, como peqeño resúmen, que hace uso de VoIP gracias a la tecnología P2P (detectar P2P en nuestra red) y usa cifrado fuerte para las comunicaciones. Sobre la seguridad dice Skype dice:

“Skype usa AES (el Estándar de Cifrado Avanzado), también conocido como Rijndel, que también es usado por organizaciones estadounidenses de gobierno para proteger la información sensible. Skype usa el cifrado de 256 bit, que tiene un total de 1.1 x 10E77 llaves posibles, para cifrar los datos activamente en cada llamada de Skype o en cada mensaje instantáneo. Skype usa 1536 a 2048 bit RSA (Algorithm for Public-Key Encryption) para negociar llaves simétricas AES. Las llaves de usuario público son certificadas por el servidor Skype en la conexión.”

Es decir, que en principio, descifrar una conversación Skype es algo prácticamente imposible. Además, el software o protocolo de seguridad de Skype es propietario, cerrado y secreto.

En este artículo nos centraremos en como bloquear Skype , así como algunas consideraciones sobre este software. Eso sí, haciendo uso de las herramientas de captura de tráfico como Wireshark, y Snort en todo lo que nos sea posible. Además no servirá para bloquear otros tipos de tráfico usando la misma “técnica”.

Ofrecen en código abierto sistema de escucha de Skype

agosto 31, 2009 § Deja un comentario

Ruben Unteregger, quien durante años trabajó como programador en ERA IT Solutions, ha publicado el código fuente de un programa que puede ser usado para interceptar y escuchar conversaciones vía Skype. El programa puede ser propagado como un troyano.

El troyano se cuelga de distintos procesos de Skype y realiza grabaciones ocultas de las conversaciones realizadas por telefonía IP, transmitiéndolas a un servidor externo como archivos MP3.

En una conversación con el sitio Gulli.com, trasciende que el trabajo de Unteregger en ERA IT Solutions era crear malware que pudiera invadir los PC de usuarios corrientes. La compañía habría dedicado especial atención a la creación de troyanos para escuchar secretamente conversaciones de telefonía IP.

En diversos foros sobre el tema se especula que ERA IT Solutions habría creado tales soluciones por encargo de la policía federal alemana, Bundeskriminalamt, y las autoridades suizas. El propio Unteregger declaró que no está autorizado a hablar sobre el tema.

Con todo, por largo tiempo se ha sabido que la policía alemana y el organismo Eurojust, de la UE, han estudiado posibilidades de escuchar Skype, de la misma forma que pueden hacerlo con las conversaciones telefónicas ordinarias.

Fuente: Diario TI y ZDNET

¿Dónde estoy?

Actualmente estás explorando la categoría voip en Seguridad Informática.