Seguridad VoIP 2.0

La seguridad en VoIP ha cambiado mucho, en un tiempo muy corto, así que sería injusto llamar a este artículo una continuación de los anteriores, pero han cambiado tanto las cosas que amerita empezar de nuevo, por eso el titulo de Seguridad VoIP 2.0.

No hace mucho escribía de lo inseguro que es SIP, al ser hijo de HTML y por ende ser texto plano. Así que cosas como tu password y usuario, pueden ser fácilmente interceptados con herramientas gratuitas fáciles de manejar, con esto alguien puede capturar tu identidad y hacer llamadas a tu costo. Con tantos operadores ilegales que funcionan prepago, es muy fácil perder dinero y cuando tu soporte es de otro país, es muy difícil recuperar tu dinero y el apoyo que te pueden dar tus autoridades locales es nulo.

Otro riesgo intrínseco es lo fácil de interceptar las llamadas y que estas sean grabadas, lo popular de SIP ha hecho que existan cada vez mejores herramientas libres para grabar llamadas, incluso es más fácil que en telefonía convencional e imposible de detectar o rastrear, sobre todo cuando por reducir costos, se utilizan plataformas y codecs, que se pueden conseguir sin costo, y por esto las herramientas para interceptar también son sin costo, además de lo fáciles de manejar.

Pero la industria tenía que inventarse algo al respecto, y la informalidad para incluir nuevas características a SIP, le permite evolucionar más rápido que otros protocolos mas formales, como el caso de H323. Así que mirando como en HTML, trabajaron alrededor de este problema, añadieron a SIP características similares a SSL, el sistema usado en internet para encriptar las transacciones de tarjetas de crédito.

Con TLS, la versión la esta tecnología usada por algunos equipos y plataformas SIP, se puede encriptar la señalización de las llamadas de manera asimetrica, así no cae tu nombre y password, en manos inadecuadas.
Otro punto a encriptar, es la voz de la llamada, para que estás no puedan ser grabadas por terceros, pero para esto se utiliza SRTP, el cual funciona en su mejor versión utilizando encripcion asimétrica, que es una de las mejores tecnologías, que existen en la actualidad para encriptar datos.

Así que actualmente ya existen productos comerciales que permiten estar seguros de quien es tu interlocutor y que la llamada no será grabada, al menos por terceros desconocidos, ya que los operadores, en el caso de la telefonía pública, o los administradores de red, el caso de la corporativa, podrán grabar las llamadas.

Así que ya la VoIP ya está en un nivel de desarrollo, que le permite ser Utilizadas a nivel corporativo, o por operadores para dar productos que pueden Dar mejores servicios, y más seguros, que la voz convencional, también son más económicos, así que espero que no se tarden mucho en trasladar este ahorro y esta seguridad a los usuarios.

Actualmente, casi que lo único que evita que una llamada de voz convencional sea grabada, es una alarma que avisa a la empresa de teléfonos, que alguien abrió un gabinete de conexiones, pero la voz viaja sin ningún tipo de seguridad por los cables que están por la calle y en la mayoría de los países, los operadores, están obligados a mantener las comunicaciones seguras, pero grabar las llamadas, en caso de un requerimiento judicial.

Atorresa.blogspot.com

SI LA NOTICIA ES MALA PORQUE MATAR AL MENSAJERO.

En Alberta Canadá se ha generado una noticia que ha colocado en la mira del público a la VoIP http://www.cbc.ca/canada/calgary/story/2008/05/02/crtc-voip.html. En esta noticia vemos como un concierto de errores, tuvo como consecuencia la muerte de una bebe.

Todo empezó cuando los padres de la bebe llamaron al 911 por su teléfono de VoIP y la ambulancia, no llego a su residencia actual, sino a la residencia anterior. Mientras se dieron cuenta del error, y la ambulancia llego al lugar correcto, paso demasiado tiempo y la bebe murió.

Para ver si la tecnología VoIP tiene la culpa, pongamos esto en contexto.

Cuando se realiza una llamada entre dos teléfonos se intercambia entre ellos, el ANI, el DNIS y el ALI. Para los que están relacionados con el mundo de la telefonía reconocerán que el ANI y el DNIS son el número a donde se llamo y el número de donde se llamo, Pero si no reconoces la sigla ALI, no te preocupes, porque este solo puede ser utilizado por las fuerzas de seguridad de los gobiernos, o por los 911. El ALI, es básicamente la dirección de donde se está llamando, y es lo que usan los 911, para saber a dónde enviar ayuda. De esta manera han funcionado muy bien los 911 por muchos años.

El problema real empezó cuando la gente empezó a tener solo teléfonos VoIP en sus casas, y estos en la mayoría de los casos no podían llamar al 911, si marcabas 911, una amable grabación del operador te decía que no disponías del servicio. Solo que cuando te dabas cuenta ya era demasiado tarde.

En 2005 y después de algunas demandas la FCC (en Estados Unidos) empezó a regular el tema y existen algunas reglas a seguir por los operadores IP. Dentro de estas están:

El proveer al usuario de conectividad E911, el explicarle al usuario las limitaciones de su producto, y el explicarle al usuario sus responsabilidades. En este punto es importante recordar si leíste la letra pequeña en tu contrato.

Después de esto surgen dos preguntas.

1) Si se supone que estaba todo listo entonces por qué sucedió de nuevo.
2) Si eso pasa en países donde hay una “adecuada” reglamentación, que nos pasara a los demás.

Respondamos las preguntas una por una.

En el primer punto no quiero llegar a una conclusión a la cual el gobierno canadiense no ha llegado, Pero hay puntos interesantes a tener en cuenta.

El primero, es que la movilidad es una característica propia de la tecnología VoIP.

El segundo, es que es responsabilidad del usuario. Notificar a su operador de la dirección donde se instalara el equipo, y también si esta cambia.

El tercero, es que los protocolos utilizados por los despachadores de los sistemas 911 deben ser revisados, si el despachador le hubiera preguntado a quien llamo, “la dirección que tengo registrada es XXX, necesita que le envié ayuda a esa dirección”. En este momento estaría escribiendo sobre otro tema.

El cuarto, es que las bases de datos donde los operadores almacenan la dirección de sus usuarios, no son actualizadas con suficiente regularidad.
En este punto e demuestra la inocencia de la VoIP, ya que las investigaciones realizadas demostraron que esto puede pasar con la telefonía convencional.

El quinto, y quizás mas difícil de implantar, es que a la gente se le debe enseñar a llamar a un servicio de emergencia de manera adecuada.

Y por ultimo. En el supuesto de que todos los que intervinieron en este proceso realizaron su trabajo, según las leyes y los procedimientos establecidos. Es hora de que el gobierno le de una mirada al tema. Porque en ese caso las leyes y los procedimientos establecidos, no son los correctos.

Ahora la pregunta más importante para nosotros, si eso pasa en un país donde más del 15% de la población no tiene teléfono convencional y existen leyes claras al respecto, que será de los demás.

Lo que tenemos que hacer es aprovechar la experiencia adquirida por otros países y cuestionar a nuestros operadores de VoIP respecto a estos temas y aunque no logremos que las leyes cambien de un día a otro, al menos sabemos que podemos esperar de nuestro operador VoIP.

Siempre damos muchas cosas de hecho y no miramos la letra pequeña de los contratos de servicio de los operadores, pero con todo lo que se viene ahora de nuevos operadores en el mercado, operadores tradicionales que ahora son triple play, y portabilidad numérica.

En primera instancia, tenemos que hacer las preguntas relevantes cada que nuestro operador nos ofrece un nuevo servicio, o cada que estemos interesados en cambiar de operador.

Y en segunda instancia a los gobiernos, para que obliguen a los operadores a darnos adecuada información y adecuados servicios.

Hace mucho leí que la experiencia es una linterna, que alumbra solo al que la lleva en la mano, pero es mejor aprender de los errores de países pioneros en tecnología, que repetir sus desaciertos.

Atorresa.blogspot.com

Puede internet ser seguro?

Aunque lo que está aquí contenido le parecerá muy elemental al 99% de los que lean esta blog, espero que sea de gran utilidad para el otro 1%.

La seguridad absoluta nunca ha existido, ni en el mundo real ni en el virtual, nos sentimos relativamente seguros, cuando el costo de superar la seguridad sea superior al beneficio que se puede tener al superarla. Eso es lo que en la práctica nos mantiene seguros.

Adicional a esto se puede seguir algunas recomendaciones para dificultar la tarea de los malos.

No enviar correos basura o no deseado.
Como correo basura se puede catalogar todo aquel que no fue solicitado y en el cual es copiado muchas personas, en algunos casos cientos. En la mayoría de los países no es considerado spam o ilegal, si incluye instrucciones sobre cómo ser removido de la lista, algo que seguro no haces cuando envías un nuevo chiste a todos tus amigos.

Si recibes correos con esta descripción no le des remover de la lista a menos de que ya sean varios los correos que recibes desde ese mismo origen, en algunos casos, estos enlaces no se usan para removerte de la lista sino para incluirte en la lista de correos todavía validos. Existen empresas que se dedican a crear esas listas y se las venden a cualquiera que tenga dinero.

Esta forma de correo no solo es utilizada para enviar chistes en power point, entre otro tipo de cosas, que no son propiamente para horas de oficina. Sino que en muchos casos esa aparente broma es utilizada con fines más oscuros, como que el usuario de manera ingenua instale en su equipo software espía, de control remoto o destructivo.

Si tienes fama de estar enviando este tipo de correo, cuando un virus suplante tu identidad para propagarse, tus conocidos caerán más fácilmente, pero si nunca haces ese tipo de correos, cuando le lleguen a tus amigos un correo diciendo que tienes las últimas fotos de una celebridad ligera de ropa, será más fácil que sospechen y no caigan en la trampa.

También el que envíes ese tipo de correo, puede hacer que los sistemas de seguridad de donde trabajen tus amigos, lleguen a sospechar de ti, y cuando envíes un correo a un amigo sobre algo importante, este pueda que no lo lea, ya que el sistema de seguridad lo considero correo sospechoso, debido a tu comportamiento anterior.

No repita alarmas.
Dentro de los correos basura una clase muy especial es la que genera una alarma sobre una nueva modalidad de robo o estafa y siempre en su texto dice “envíele una copia a todos sus conocidos” apelando a su solidaridad y buena fe. Incluso uno de estos sugería que se comunicara con su banco para verificar que en caso de pánico podías marcar la clave de la tarjeta al revés. Pero ningún banco apoyo esa versión.

En cualquiera de estos casos infórmese muy bien y con gente especializada en el tema, antes de enviar copias a todos sus conocidos, las falsas alarmas en muchos casos hacen mas daño que lo que pretendía evitar.

No repita cadenas.
Hasta el momento no conozco a nadie de los que me ha enviado esos correos, que solo por eso, Microsoft o AOL los haga ricos, o nokia les de un celular último modelo, la virgen de alguna cosa los haga millonarios, se salve un niño de una enfermedad de la que no se salva nadie o algunas cosa parecida.

Cuando alguna marca hace promociones basadas en referidos, por lo general te inscribes en una página web y luego desde esa pagina envías correos a tus amigos. Esto con el fin de que el fabricante al final termine con una lista de correos reales que pueda usar con fines de mercadeo.
Además cuando envías un correo a todos tus amigos en una cadena de esas puedes estar revelando información de tus amigos a gente que le puede dar un uso inadecuado. No se imaginan cuantos vendedores de la competencia me han dado los correos de todos sus clientes en esas cadenas.

No envié información de su banco.
Por razones elementales de seguridad ningún banco le enviara un correo electrónico pidiéndole sus números de cuentas y claves de acceso, tampoco le envía un correo pidiendo que entre a una página web y digite de nuevo ese tipo de información.

Si le llega algún correo de ese llame o vaya a la oficina de su banco y verifique si el correo es real. Otra cosa a tener en cuenta es la página que visita.

Si la página de su banco es www.mibanco.com las paginas relacionadas al banco serán www.mibanco.com/algunacosa.html, nunca serán de la forma www.mibanco.algunacosa.com En caso de la mas mínima duda llame a su banco antes de introducir sus números de cuenta y claves.

Después de entrar no olvides salir.
Algo que la mayoría también olvida es salir de las diferentes paginas a las que entra utilizando un nombre de usuario y un password, y con salir no me refiero a cerrar la pagina, también es útil, buscar un enlace que diga, salir, exit, terminar , desconectar o logout. Para que alguien no use la conexión que dejaste abierta y realice transacciones a tu nombre. Por lo general al desconectarte recibirás una confirmación de que te han desconectado.

No abra anexos en correos en otro idioma.
Afortunadamente los más afectados por las estafas en internet no somos los hispano hablantes, por esto puede ser muy común que recibas correos de cadenas en ruso chino o ingles, y si este no es el idioma en el cual acostumbras hablar con tus amigos o familiares, pues ni por curiosidad lo habrás. Últimamente no solo por correo sino por plataformas de mensajería instantánea como Messenger llegan mensajes de contactos conocidos diciendo que son las fotos de la última fiesta o algo así, y la pregunta es porque lo abres si nos has estado en una fiesta últimamente con esa persona.

Las técnicas de dispersión de malware son cada vez más sofisticadas, buenas prácticas y sentido común son una buena técnica para tener una buena seguridad.

Ahora adicional a esto existen fabricantes que tienen productos que nos pueden ayudar y estos se pueden dividir en dos grandes grupos. Los basados en software y los basados en hardware.

Los más fáciles de conseguir y más económicos son los de software. De estos hay unos muy buenos, pero pueden ser difíciles de manejar y en ocasiones pueden hacer perder rendimiento al equipo, así que no son para todos los casos.

Por otro lado están los de hardware, estos son más costosos, pero recuperaremos recursos de nuestro equipo, aunque hay unos muy buenos, el tema de los costos sigue siendo una barrera importante, pero cuando se tiene más de un equipo en la casa el costo puede llegar a ser menor que en el caso del software, ya que con un solo aparato proteges a todos los computadores.

Y ahora la web.
En la web la seguridad tiene principios muy sencillos y todos se basan en los dichos de nuestros abuelos.

Primero de eso tan bueno no dan tanto, segundo nada es gratis en la vida y por ultimo no todo lo que brilla es oro.

Si no olvidamos esos antiguos refranes cuando entramos a alguna página nos puede ir bien, no solo para tener cuidado de que datos incluimos en que paginas, sino para cuidar que enlaces seguimos.
Uno nunca gana un premio con solo abrir una página, así que cada que te digan que eres el visitante 1000 y por eso ganaste algo, por lo general no ganaste nada, en algunos casos existen estafas en las cuales de dicen que ganaste una fortuna sin comprar el boleto, pero para reclamar tu premio te pedirán información bancaria o el depósito de una pequeña cantidad de dinero, en una cuenta de algún lugar perdido del planeta que será difícil de rastrear, por lo general, la cantidad de dinero no es algo significativo, así que decides correr el riesgo, cuando pierdes el dinero no lo denuncias. Por un lado por vergüenza de caer un truco sencillo, y por otro porque es una cantidad tan pequeña que no vale la pena todo el trabajo que implica recuperar el dinero. Pero si piensas en que miles de personas pueden caer en el mismo truco, es una trampa muy rentable.

Otro punto que ha cobrado mucha importancia, sobre todo desde que se utilizo para realizar grandes convocatorias en el mundo virtual con impacto en el mundo real, son las redes sociales como facebook, en estas redes es muy fácil utilizar tu información personal para encontrar antiguos compañeros de trabajo o de estudios, pero es importante que tengas cuidado a quien le das acceso a tu información ya que esta puede ser utilizada en tu contra.

Si me olvido alguna recomendación que consideren importante, por favor usar los comentarios para incluirla.

Atorresa.blogspot.com

LA FALLIDA VENTA DE 3COM Y EL MERCADO ASIÁTICO

En América latina siempre hemos visto el mercado norteamericano como referente del comportamiento de la tecnología y lo hemos utilizado para medir que marcas tienen más éxito. Pero por diversas razones no tuvimos en cuenta el mercado asiático y los países de asia tienen tanta gente que sus industrias pueden vender suficientes productos para ser exitosas y muchas de estas ya han crecido mucho sin que nos diéramos cuenta.

La primera vez que 3com se acerco a huawei, mucha gente se pregunto de donde salió huawei, debe ser una pequeña empresa emergente, pero cuando investigaron mas afondo se dieron cuenta que era una empresa china y que en realidad la pequeña era 3com. En ese momento se empezó ver de manera publica una peligrosa tendencia para el mercado norteamericano y era que grandes empresas o fondos de inversión estaban aprovechando la fortaleza del euro o del yen para adquirir empresas norteamericanas con importante participación en sus respectivas industrias, como es el caso de 3com.

3com lleva mucho tiempo buscando capital para crecer en líneas de negocio y en participación de mercado, y sus movimientos están muy relacionados a huawei, el primero de ellos fue el join venture huawei-3com el cual beneficio mas a huawei que a 3com. Y el último fue su esfuerzo por vender su división de seguridad tipping point, el cual termino con una oferta de comprar toda la empresa http://atorresa.blogspot.com/2007/10/otro-cambio-importante-en-3com.html aunque todo el mundo lo dava por echo no solo el orgullo estaba en juego, ya que para muchos esto era como vender harley davison a honda, el gobierno norteamericano saco una carta adicional. tipping point es un proveedor de equipos de seguridad para el gobierno norteamericano y el que caiga en manos de los chinos es un riesgo de seguridad nacional.

No se si se acuerdan de unos cyberterroristas llamados pretorianos en la película la red, pero el gobierno norteamericano se armo una película parecida en la cual todos los sistemas de seguridad tendrían puertas traseras en manos de los chinos.
Acto seguido no se concreto la venta de 3com, eso no solo deja en un punto borroso los planes económicos de 3com, sino que es una alerta importante de que debemos ver el mercado chino con ojos diferentes, y estar mas atentos a cuando se despierte el dragón dormido.

Seguridad VoIP parte 2

En la parte 1 sobre este tema http://atorresa.blogspot.com/2007/05/seguridad-en-voip.html hablamos en general de los riesgos de la telefonía convencional y sus similitudes con los riesgos presentados en la telefonía VoIP, pero la rápida evolución que ha tenido la VoIP y en especial la gran cantidad de equipos y software basados en protocolo SIP, que están saliendo últimamente, Hacen necesario que retomemos este tema.

La economía, simplicidad y flexibilidad del protocolo SIP, son características que lo han hecho más popular que H323, y lo convierten también en más vulnerable. Enumeraremos algunas de estas vulnerabilidades, para poderlas tener en cuenta al realizar una implantación de VoIP y las marcas y o tecnologías que se usaran.

Para simplificar el tema lo dividiremos en dos, por un lado están los riesgos asociados al uso de equipos de VoIP en protocolo SIP como los gateways o los ATA, y por el otro el uso de software basado en SIP para uso en un PC.

En el primer caso los riesgos son menores, y se podrían reducir a:

Llamadas no solicitadas, Voip pishing perdida de la privacidad y robo de minutos.

Esto se da por que muchos operadores o prestadores de servicios VoIP en el afán de reducir costos tienen sistemas de identificación y contabilidad muy precarios, en algunos casos solo usan la dirección IP o una contraseña que es trasmitida en texto plano para estar seguros que eres el usuario autorizado.

Pero en el caso de las aplicaciones que corren en un PC los riesgos son mucho mayores ya que en un PC con una aplicación SIP, no solo se puede trasmitir voz, también se puede trasmitir video, archivos o tomar el control del PC para ejecutar programas sin nuestro consentimiento.

Esto ha convertido a las aplicaciones que corren sobre SIP como el Messenger en un nuevo medio para trasmitir worms o cualquier otro tipo de malware, y con esto todos los riesgos que encontramos en otras tecnologías como el correo o la web.

Lo más preocupante es que por ser un nuevo paradigma ni las empresas que se dedican al software de seguridad, ni los usuarios tienen la experiencia, que tienen para controlar los riesgos en entornos como en el correo o la web.

Como no existe mucho desarrollo en antimalware para VoIP, cuando estemos explorando estas tecnologías, es mejor hacerlo de la mano de empresas y tecnologías reconocidas que nos den el soporte y las actualizaciones necesarias para los riesgos que a estas están asociados.

Aunque son preocupantes los riesgos planteados, el potencial de la tecnología VoIP para las empresas es tan grande que parece imposible que existan empresas con la intención de mantenerse competitivas y no tengan algún plan alrededor de esta tecnología.

Atorresa.blogspot.com

Seguridad en VoIP

Antes de existir la voz sobre redes de datos, la voz convencional tenía sus propios problemas. Dentro de estos estaban:

1. Suplantación
Aunque la voz convencional tiene su propio sistema de identificación, como ANI y DNIS y se supone que al otro extremo del cable siempre está la misma persona, esto puede ser falsificado, para hacer llamadas sin ser identificado, o con la identificación de otra persona.

2. Escucha
Otro supuesto de la voz convencional, es que estamos solos en el cable, y ya muchas veces se ha demostrado, no solo que este supuesto no es cierto, sino que no se necesita mucho dinero para interferir en la llamada de otra persona.

3. Robo de minutos.
Este es el más común, sobre todo porque se tiene un beneficio rápido y directo, muchas veces sin dejar rastro, Al principio era solo hacer llamadas de costo elevado con cargo a otra persona, luego con la proliferación de servicios con cargo a las líneas de teléfonos el uso abusivo de líneas telefónicas aumento.

4. Cargos imprecisos.
Este riesgo está asociado a cobros excesivos que son ocasionados por problemas tecnológicos o vacíos legales, que le permiten tener una ganancia adicional a las compañías telefónicas, sin ser detectados o detenidos, la mayoría de estos se dan por cobros de segundos adicionales en cada llamada, los cuales según el esquema que se utilice para cobrar, se puede generar hasta un cargo adicional de 3 minutos por llamada, pero por ser pequeños cargos adicionales en cada llamada no son detectados.

5. llamadas no solicitadas.
Las ventas por teléfono no son solo una molestia importante, si no un importante industria que tiene grandes call centers a su servicio, aunque no se acuño el termino a tiempo, es un spam telefónico, que al igual que el spam de email genera mucho dinero, y está basado en comprar viejas bases de datos, depurarles y utilizar esta información para generar perfiles de las personas y llamarlas a ofrecerle productos y servicios que según su perfil estén interesado en adquirir, En algunos países puedes conseguir equipos que conectas a tu línea telefónica y detectan este tipo de llamadas para colgarles e impedir ser molestado.

Estos son los problemas a la seguridad que enfrentaba un usuario común y corriente, y que según su naturaleza se fueron desarrollando diversas tecnologías para combatirlos. Algunos de estos son implementarles por los usuarios finales, pero otros tienen que ser implementados por los operadores, y los usuarios solo pueden buscar promover leyes para hacerlos responsables por omisión de cómo el usuario sea afectado por falta de una mejor seguridad.

Dentro de las diversas tecnologías que se desarrollaron para evitar estos riesgos están:

1. Del lado del usuario.
El uso de teléfonos que son capaces de encriptar el audio antes de trasmitirlo. Este tipo de tecnologías tenia como problemas además de su costo que solo funcionaba entre teléfonos compatibles, otro tipo de medidas era buscar asegurar el acceso físico a los equipos y conexiones, para evitar que fueran alterados.

2. Del lado del operador.
Esta resguardar los equipos y conexiones para que no sean alterados e implementar tecnologías para identificar al usuario y que no pueda ser suplantado o se generen cargos por personas no autorizadas.

Que cambio con la voz sobre IP.

Algo que parece elemental pero que debe ser tenido en cuenta es que cuando la voz entro al mundo de los datos heredo todos los problemas de seguridad del mundo de los datos. En especial se volvió susceptible a los ataques que sufren los demás servicios que se prestan en internet, Las forma de ataques más comunes son:

1. Negación de servicio
Los Ataques de negación de servicio, son los que se basan en saturar de alguna manera la maquina que está prestando un servicio, para que esta no pueda seguirlo prestando. Las dos formas más comunes de saturar una maquina son:
Generar una serie muy grande de falsos requerimientos de servicio para que la máquina no tenga recursos suficientes para atender los verdaderos requerimientos de servicio, o generar requerimientos mal hechos que generen fallas en el protocolo y este se bloquee o se reinicie para recuperar su funcionalidad.

2. Los ataques cuya finalidad es el daño.
Son ataques que buscan introducirse en sistemas de información o prestación de servicios y modificar o suprimir algunas de sus partes de manera que no puedan volver a operar. Estos ataques se diferencian de los ataques de negación de servicio, en que en un ataque de negación de servicio no hay destrucción, y por esto con reiniciar la maquina se recupera la funcionalidad
3. Robo.
La finalidad de este tipo de ataques es robar información o dinero, ya sea por sustraer información muy valiosa de algún sistema de información o por modificar información que mágicamente aparezca dinero en el mundo real, como manipular información bancaria, bursátil, despachos de mercancía o cualquier otro tipo de beneficio económico directo.

Volviendo al ámbito especifico de la voz sobre IP, veremos que las cosas no han cambiado mucho, lo que cambia es la tecnología y el costo de esta para realizar los mismos actos.

Vamos a tomar los riesgos definidos para la voz convencional (POTS) en el mismo orden.

1. Suplantación
Un punto importante en el tema de la suplantación es como reconocemos al interlocutor, para esto nos enfocaremos en los dos protocolos más populares H323 y SIP

En H323 las formas más comunes de identificar un interlocutor son:
Por un H323 ID, Por AAA, Por su dirección IP, por un grupo de números que pueden incluir los caracteres # y * dentro de ellos y que es enviado a manera de prefijo, o combinaciones de estos.

Aunque una ventaja muy grande en el campo de la seguridad es que h332 no envía texto plano, de este sistema lo más seguro es AAA y el uso de h323 ID, tanto el uso de la dirección IP como el envió de un prefijo son muy fáciles de suplantar.

Otro punto importante es que dentro de la implementación estándar de h323 está el protocolo h235 el cual utiliza algoritmos como Diffie-Hellman para proporcionar confiabilidad entre servidores y enpoint

En el caso de SIP lo debemos separar en las tres maneras más comunes de trabajar SIP

Con un UA, en este caso existe un usuario en FQDN (similar a un email) que por lo general es mi número de abonado y un password el cual se usa para solicitar permiso para poderse conectar, una desventaja muy grande es que lo hace en texto plano, así que puede ser fácilmente suplantado.

Otro modelo consiste en registrarse utilizando la combinación de usuario, password y numero de abonado, este sistema es más seguro, en especial cuando parte del proceso se envía en MD5 (HTTP digest), pero de todos modos continua siendo muy vulnerable, al utilizar tecnologías de seguridad que en el mundo de los datos ya fueron superadas, y que fácilmente en google podemos encontrar herramientas que sin mayor esfuerzo pueden romper esa seguridad.

Pero el sistema más inseguro es cuando envió trafico sin registro previo, en este modelo envió una solicitud de trafico a un destino que no tiene como identificarme, ni como identificarse, así que la suplantación se devuelva al campo de los datos, campo muy conocido por hackers y cracker. Este método es muy utilizado por los que se dedican a aterrizar tráfico ilegal, y por ser una actividad ilegal y que realmente no existe evidencia del robo, no existe mayor denuncia sobre esto.

En el caso de SIP también se ha buscado utilizar técnicas del mundo de los datos como listas de acceso, pero sigue sin ser seguro

De nuevo la opción mas segura es el uso de AAA, aun que el soporte a AAA no es nativo de SIP, muy pocas cajas lo traen y en combinación con implementaciones en MD5 es lo más seguro conocido, pero solamente los equipos más costosos como cisco y quintum, tienen esa funcionalidad, el resto hacen una petición en sip a un proxy y este es el que realiza una petición AAA a un radius, pero la llamada puede ser intervenida antes de llegar al proxy y con esto no hay ninguna seguridad.

2. Escucha
Sobre el tema de la escucha también es importante recordar de nuevo que la voz la volvimos dato, y que la inversión en seguridad que se haga en los datos, se hereda para la voz, así que el uso de VPN, redes MPLS, equipos de inscripción de datos y tecnologías similares, que nos son útiles en el mundo de los datos, nos ayudan en este nuevo medio de transporte de la Voz. El costo que pagamos es que todas estas tecnologías generan encabezados adicionales, generando un mayor consumo de ancho de banda y el proceso de encripción y desencripción genera latencia lo cual afecta las comunicaciones en tiempo real.

Adicionalmente ambos protocolos buscan identificar plenamente al interlocutor para entregarle la voz, pero existen viejas técnicas de ataque man in the middle que se utilizan para engañar a un equipo activo para que nos entregue una copia de los datos, y a diferencia de la voz convencional, en VoIP no es posible detectar organolépticamente si te están espiando, en castellano, no se baja el volumen o se tienen ruidos de fondo al grabar las llamadas.

En SIP algunos fabricantes están trabajando en una forma de RTP codificado que podría ayudar pero todavía falta más trabajo y difusión que lo permitan convertir en un estándar.

3. Robo de minutos
Este tema está asociado por un lado al punto de identificación del origen, ya que se supone que debemos identificar el origen para autorizarlo.

Pero ambos protocolos pueden ser utilizados para recibir tráfico sin identificación completa del origen, o si una etapa de autorización, esto nos devuelve como en todos los temas de seguridad, a que el mayor problema de seguridad es el operario

4. Cargos imprecisos.
En esto existen dos mundos, cuando la VoIP es utilizada como herramienta de transporte por los operadores convencionales no existe ningún cambio, ya que los cargos se hacen de igual manera, es más los operadores compran el tiempo por minutos y no lo venden en bloques de 3 minutos, siendo más rentable el negocio
Y en el mundo VoIP no existe ningún tipo de regulación sobre todo por la proliferación de servicios ilegales así que de nuevo los usuarios están condenados a confiar ciegamente en los operadores, salvo en los casos en los cuales los usuarios utilizan equipos de su propiedad como cisco y 3com, los cuales pueden entregar registros de llamadas a los usuarios al tiempo que al operador, pero estos equipos no son muy populares, los más populares son equipos SIP de muy bajo perfil que no brindan esa funcionalidad.
Aunque en el mundo SIP también podemos partir la discusión en dos, cuando se usa SIP y cuando se usa H323.
Al usar SIP la confiabilidad en la tarificación es más difícil, ya que dentro de SIP estándar no hay control completo de los estados, y para tener un control confiable se requiere que el tráfico pase a través del server, lo cual implica mucho esfuerzo para el servidor.
En el caso de h323 dentro de su implementación básica esta que todos los end points, envían sus estados al gatekeeper y este puede de manera precisa controlas el tiempo de las llamadas y enviarlo a un servidor AAA para que sea cargado el valor a una tarjeta de llamadas o algún servicio similar.

5. llamadas no solicitadas.
El que el protocolo SIP pueda aceptar llamadas en los endpoints sin autenticación y la facilidad de acceder a ellos solo conociendo su IP, facilita el que se hagan barridos de direcciones buscando los puertos de SIP o h323 abiertos para enviar trafico sin tener ninguna identificación del origen, ya que a diferencia de la voz convencional, no tenemos que ser usuarios de la misma red o de una central interconectada para enviar tráfico, en IP se puede hacer sin dejar rastro y utilizar audio grabado para que un servidor como una ametralladora envié trafico sin dejar rastro.

Para defendernos de esto se pueden implementar listas negras o listas blancas en nuestros equipos, también podemos usar en h323 una palabra clave para poder acceder a nuestro gatekeeper.

Pero de nuevo los más protegidos son los que utilizan marcas finas como QUINTUM y cisco y en H323, pero como lo más popular son las maquinas económicas y en SIP, este es un tema que requiere de más trabajo.

Esta obra es publicada bajo una licencia Creative Commons.