xenion di Antifork ha rilasciato una nuova release di quest’ottimo software, per chi gia non lo conoscesse, rtpbreak, e’ in grado di riconoscere, ricostruire ed analizzare qualunuqe sessione RTP.

Le possibilita’ sono davvero tante; tra l’altro il software e’ scritto da  un ragazzo italiano

Mark Collier di SecureLogic, ma non solo, ha pubblicato le slide dell’intervento che ha fatto ad Interop.

Le slide riguardano la sicurezza del mondo VoIP in generale(ppt).

T442 - Real-time Steganography with RTP

T210 INTERSTATE: A Stateful Protocol Fuzzer for SIP

Altri video posseo essere repiriti da questo blog.

Voip Security Blog riporta una serie di video creati da VoipShiled in cui si mostrano alcuni attacchi DoS e man-in-the-middle

http://www.youtube.com/watch?v=x56j2BRkUME
http://www.youtube.com/watch?v=S-3CW-epFBM
http://www.youtube.com/watch?v=OLwzef_OZzA

La stessa ditta ha poi scoperto un centinaio di vulnerabilita’  (rese pubbliche apparentemente 44) di vari sistemi VoIP, in particolare Cisco, Avaya e Nortel; VOIPSA ha pubblicato un articolo in cui si raccolgono le vulnerabilita’ dei primi mesi dell’anno.

Un intervista a Mark Collier (VoIPSecurityBlog, CTO di SecureLogix e membro di VOIPSA) fatta al VoiceCon ad orlando sullo stessa tema e’ dispobile su YouTube .

Infine torniamo ad Asterisk, dato che pochi giorni fa sono state rilasciate delle patch per delle vulnerabilita che affliggono tutte le versioni, determinado cosi il rilascio della 1.2.28, 1.4.19.1 e 1.6.0-beta8.

Di recente sono stati pubblicati interessanti documenti relativi alla sicurezza del VoIP (un buon punto di partenza puo’ essere voipsa).

Riporto di seguito, quelli che sono stati definiti i 9 pericoli e vulnerabilita’ del VoIP. L’articlo o le slide mostrate indicano alcuni reali pericoli, a cui siamo esposti attraverso la tecnologia VoIP, sicuramente, non sono tutti, ma e’ un buon punto di partenza per indagare sulla secirezza della vostra rete telefonica.

• Remote eavesdropping
• VoIP hopping
• Vishing
• VoIP SPAM
• Toll fraud
• Skype worms
• Voip over Wifi
• Lack of robust implementation
• Weak default settings

Personalmente, per quanto Skype sia voice over ip, lo escluderei dalla lista, in quanto il suo problema e’ specifico all’implementazione e non relativo alla tecnologia VoIP; cosi come il wifi ed il problema delle configurazioni dei default, in quanto piu generici.

Rimanendo in tema sicurezza vi consiglio l’ascolto di un interessate podcast BlueBox #57 su problemi spcifici di Asterisk e non solo.

Delle altre slide mostrare ad Astricon 2007 le potete leggere su slideshare.

Sipera system, ha reso disponibile una pagina con relativo rss, ove e’ possibile tenere sotto controllo i vari advisories.

Poco piu di 12ore fa sono state rilasciate due nuove versioni, la 1.2.23 e la 1.4.9, il sito di asterisk, in prima pagina non riporta nemmeno la news degli update, ma sono disponibili in download.

Dai Changelog, sembrano due update rivolti piu al fix di bug minori ed alla pulizia del codice sia per entrabe le versioni.

I cambiamenti piu importanti secondo me sono questi:

* [r76801] apps/app_queue.c: Added a membercount variable to call_queue
Aggiunta una variabile per capire quanti membri sono loggati in una particolare coda.

* [r76708] apps/app_voicemail.c: It was our stated intention for 1.4 that
Corretta la creazione dei file (umask) della voicemail.

* [r76227] channels/chan_sip.c: Merged revisions 76226 via svnmerge from
La memoria utilizzata per il localaddr non veniva liberata al reload della configurazione

* [r75928] channels/chan_iax2.c: Merged revisions 75927 via svnmerge from
Fix nell’invio dei VNAK

L’aggiornamento del ramo 1.2 presenta un sottoinsieme molto ristretto degli aggiornamenti fatti al 1.4, 10 contro 39. E’ interessante notare come i fix apportati chan_skinny per il ramo 1.4 non siano stati versati anche in quello 1.2.

In realta l’update e’ volto a correggere un altro bug di sicurezza di tipo Denial of Service, presente sul canale IAX2, se configurato per ricevere chiamate non autenticate.

L’attaccante puo’ inviare numerosi pacchetti NEW ad una estensione valida, asterisk alloca le risorse e senza piu liberarle. Maggiori dettagli nel pdf.

Download 1.2.23 e 1.4.9

Nuove versioni sia per 1.2 (1.2.22) che per 1.4 (1.4.8), sono state rilasciate a causa di 4 problemi di sicurezza abbastanza gravi, che permettono l’esecuzione di codice arbitrario.

* CVE-2007-3762 Exploitable Stack Buffer Overflow

Tutte le versioni, un buffer overflow, accade quando si invia un grosso frame rtp, ad una porta rtp attiva in una comuncazione IAX2.

» Read the rest of the entry..

Sono state rilasciate le due nuove versioni, dove si fissano numerosi bug e si aggiornano i driver hardware. In dettaglio:

* Fix, di un potenziale deadlock tra zaptel ed i driver wct4xxp, wxte11xp e wct1xxp. In particolare si fa riferimento al bug 0008763

* Fix per il modulo VPM450M di fedora core 6 per evitare uno stack overflow nel momento del caricamento.

* Diversi update al driver Astribank

Ecco una lista di softphone e sdk sip:

Softphone SIP:

1. SFLphone - Uno softphone multi protocollo SIP/IAX, a differenza di altri l’aspetto e’ skinnabile ed e’ cross platform.

2. Linphone - E’ un client sip in grado di gestire anche il video e l’instant messaging. E’ disponibile per Linux, OpenBSD e FreeBSD.

3. OpenWengo - Direi che orami e’ famoso.

5. Cockatoo - Solo per linux, e’ un estensione per Thunderbird che permette di chiamare i propri contatti via SIP.

6. Twinkle - Twinkle SIP client scritto in QT.

SIP Sdk:

1. Minisip - E’ un framework sip sviluppato durante una tesi di laurea in Svezia. Supporta voce, video e im. E’ cross platform e compila anche su IPAQ e presto Windows mobile.

2. sipXtapi - Altro SDK SIP cross platform, con supporto anche per WinCE.

3. Open Source SIP - Open Source SIP creato nel Marzo 2006 e sponsorizzato da Solegy sulla base di 6 anni di esperienze.

4. MjSip - E’ uno stack SIP in Java sviluppato dall’universita di Parma.

5. OpenSIPStack - La scopo principale della libreria OpenSIPStack e’ fornire agli sviluppatori un interfaccia SIP aderente all’ RFC 3261 prestando particolare attenzione a scalabilita e sabilita’.
La libreria fornisce sia interfacce a basso livello e che ad alto, rendendono adatto sia per lo sviluppo di SIP Proxy che di Softphone o IM.

6. The GNU oSIP Library - Altra librerie ormai conosciuta per lo sviluppo di applicazioni SIP.

7. The eXtended osip Library - Lo scopo principale di questa libreria e’ quello nacondere la complessita’ del protocollo SIP, e di agevolarne l’uso in ambienti multimedia. Se non erro e’ lo stack utilizzato da OpenWengo.

8. Twisted - Per gli amanti di Python, le librerie Twisted implementano anche SIP

9. PJSIP - Stack maturo dalle dimensioni ridotte, scritto in C per applicazioni embedded e non.

10. sofia-sip - E’ lo stack sviluppato nei centri nokia, licenziato in LGPL.