Daboweb

VoIP

Nociones teórico-prácticas sobre auditorías de seguridad y SSL.

Posted by Dabo on septiembre 15, 2011
Seguridad Informática

Si hablamos de certificados digitales, a todos nos viene a la memoria el tan nombrado caso de Diginotar del que ya hemos hablado en Daboweb en varias ocasiones. Si hablamos de un protocolo como “SSL (acrónimo de “Secure Sockets Layer“, protocolo de capa de conexión segura), pensaremos en conexiones cifradas, “candados” en la parte superior de la barra de nuestro navegador, en resumen “una conexión segura” ¿o no?.

Hoy os queremos recomendar la lectura de una entrada publicada en el blog de nuestro amigo Sergio Hernando, en la que va más allá del típico resultado que podemos ver en la salida del “scanner” de vulnerabilidades de turno.

Tal y como dice el autor, solemos asociar las conexiones vía “SSL” a aplicaciones web, pero no hay que olvidar por ejemplo el uso masivo que hacemos de “SSL” en la recepción o envio de correo electrónico (aunque hoy en día, seguramente esa conexión ya sería vía “TLS“, una implementación mejorada del protocolo “SSL“), programas de mensajería instantánea, aplicaciones VoIP (voz sobre IP), etc.

Por lo que si hablamos de auditorías de seguridad, todo lo que vaya cifrado bajo “SSL“, debería ser auditado de la forma más minuciosa posible para evitar ataques en los que, la suplantación de identidad, junto a la posible captura de unos datos que “presuntamente” viajan por la red bajo una capa de cifrado, pueden resultar devastadores en los sistemas comprometidos.

Acceso a; Principios teóricos y prácticos de auditoría SSL.

Tags: , , , , , , , , , ,

Grave vulnerabilidad XSS en Skype

Posted by Destroyer on julio 16, 2011
Seguridad Informática

Se ha notificado una vulnerabilidad XSS (cross-site scripting) en Skype que afecta a las versiones 5.3.0.120 y anteriores para Windows y Mac OS X.

Skype es un programa voip de mensajería instantánea, videollamadas, multiconferencia, etc., gratuito y con versiones disponibles para Windows, Linux y Mac, que permite de igual modo la llamada a teléfonos fijos y móviles de todo el mundo a unos precios interesantes.

En estos momentos aún no existe un parche o solución que solvente el problema, por lo que se recomienda extremar las medidas de precaución en los mensajes recibidos y la redirecciones a otras webs.

A lo largo de la próxima semana esperan solucionar el problema, no obstante estad atentos a actualizaciones del programa.

Tags: , , , , ,

Lanzado UCSniff 3.0, potente sniffer VoIP / Video IP.

Posted by Dabo on noviembre 04, 2009
Programas

Acaba de ser liberada la versión 3.0 de UCSniff. Se trata de una potente herramienta de seguridad escrita en C/C++ con licencia GPLv3 disponible para sistemas GNU/Linux y Windows.

Este sniffer fue creado para testear la seguridad de las comunicaciones VoIP o Video IP con interesantes novedades y mejoras por lo que veo desde que probé la anterior versión.

Entre otras, podemos encontrar estas nuevas funciones;

Control en tiempo real de VoIP y video vigilancia.
Nuevos soportes de codecs G729, G726, G723.
Ahora ya hay una nueva GUI (interfaz gráfica) para GNU/Linux y Windows.
VideoSnarf ahora convierte a posteriori paquetes pcap-RTP a un archivo multimedia.

Más información | Descarga (ENG)..

Tags: , , , , , , , , ,