Asterisk Dialstring Injection

6 marzo 2010 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

Qualche giorno fa il ricercatore Hans Petter Selasky ha messo in all’erta la comunità degli sviluppatori, implementatori ed utenti di Asterisk, circa il rischio di una possibile string injection nel dialplan del PBX, molto simile nel principio di funzionamento alla ben nota SQL injection.

Molti protocolli VoIP, compresi IAX2 e SIP, possiedono un set piuttosto esteso di caratteri utilizzabile per la definizione delle extensions, come separatori nelle applicazioni dial() e queue(), e all’interno delle dialstring che tali applicazioni inviano ai channel drivers in Asterisk.

Questa caratteristica, se non opportunamente controllata, e qualora sia presente un carattere jolly, come nell’esempio seguente:

[from_internal] ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, SIP, Sicurezza, Telefonia, VoIP & Hack, asterisk pbx, security, voip,

Fragilità NFS

2 febbraio 2010 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

NFS è un complesso servizio di rete che, avvalendosi delle RPC, permette la condivisione di porzioni del filesystem da e verso altri host.
NFS è anche sovente implementato in modo insicuro, particolarmente sulle piattaforme Unix proprietarie più datate, dove le opzioni destinate ad incrementare il livello di sicurezza devono essere impostate in modo esplicito. Gli amministratori di sistema operano spesso sotto pressione e, in tale situazione, creare rapidamente una NFS share e renderla semplicemente disponibile con le impostazioni di default (praticamente a chiunque!), è una tentazione notevole.

Una buona indicazione della presenza di NFS su di un sistema è rappresentata dalla porta 2049 in stato open, ma non prova tuttavia la presenza di condivisioni. ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Hacking, Linux, Sicurezza, Telefonia, VoIP & Hack, nfs, nmap, security, tcp-ip, voip,

Usare Asterisk per intercettare i GSM!

30 dicembre 2009 - Fonte: http://www.ciacci.biz    Invia questo articolo via email

Ovviamente mi dissocio da qualsiasi uso nefasto e criminale di questa soluzione, riporto solo un uso curioso di Asterisk….
Una soluzione commerciale del genere, oltre a non poter essere comprata da tutti sta sui 1500 dollari..

Social Bookmarks

...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Marco's Informatik Blog, gsm,

Pika Warp Enterprise – il VOIP col pinguino

15 dicembre 2009 - Fonte: http://it.emcelettronica.com/taxonomy/term/378+1120+384+386+3+391+1+1095/0    Invia questo articolo via email

Pika Technology ha annunciato un nuovo firmware basato su Linux per il suo device Pika IP-PBX che offre sia funzionalità digitali VOIP, che PSTN analogiche. La distribuzione di Warp Enterprise combina il vecchio Asterisk open source software stack con un'immagine basata su FreePBX GUI. Pika ha annunciato il suo device Pika Warp Appliance for Linux nel 2007, e nel giugno 2008 veniva distribuito insieme ad un SDK multi-piattaforma basato su Denx Linux e sullo stack Opensource di Asterix PBX.

leggi tutto

...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, EMCelettronica, Linux, Software, voip, ,

Trixbox, da quanto tempo!

1 dicembre 2009 - Fonte: http://www.ciacci.biz    Invia questo articolo via email

Ebbene si, erano molti mesi che non mi occupavo di Trixbox (la 2.8.0.3) e soprattutto d’installarlo, ma per una piccola installazione ho deciso di riusarlo, precisamente in un Acer Veriton N260G.
Essenzialmente non sono cambiate tante cose, apparte l’adozione di Asterisk 1.6, sicuramente l’unica novità degna di nota in ambito “business” è la priorità nelle code, la possibilità di togliere il call waiting su un singolo device (utile per i call center) e modificare la durata del ringing sempre su singola estensione.
Nell’installazione la difficoltà è stata nel fatto che il kernel presente, il 2.6.18-128.el5 non riconosce la Marvell 80E8871, quindi mi sono installato un altro kernel, ovvero il 2.6.18-164.el5.
Fatto ciò ovviamente ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Business, Marco's Informatik Blog, Trixbox

Asterisk 1.4 e BLF

6 ottobre 2009 - Fonte: http://www.ciacci.biz    Invia questo articolo via email

Questo problema mi stava facendo scervellare!
Nella nostra VM basata su Ubuntu e Asterisk 1.4.22 non c’era verso di trovare come far funzionare il BLF su dei GXP 2010, cosa tra l’altro da sempre usata.
Funzionava solo per l’hold delle chiamate, ma per il resto l’estensione digitando

core show hints

tutti i telefoni risultavano in idle anche durante una chiamata.
Ebbene dopo svariate ricerche ho trovato che per asterisk 1.4 e 1.6 ci sono bisogno di parametri aggiuntivi, rispetto alle releases precedenti, per far fuzionare totalmente i blf, ovvero

[general]
notifyringing = yes
notifyhold = yes
limitonpeers = yes

in sip.conf e per ogni estensione, dobbiamo ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Marco's Informatik Blog, VMware, ubuntu, ,

Tools per la enumerazione IAX

27 luglio 2009 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

Dopo aver esaminato alcuni tools per la enumerazione SIP, mi sembra giusto accennare anche a quella IAX, il protocollo nativo dei server Asterisk.
Anch’essi parte dell’arsenale di BackTrack, esistono e sono ovviamente utilizzabili su qualsiasi piattaforma dotata dell’interprete Python (>2.4), due tools, scan_hosts e scan_users, all’interno di un package chiamato iaxscan.
Il primo ha il compito di individuare servers col servizio IAX attivo in uno spazio di indirizzi passati come argomento:

# python scan_hosts.py  -i 81.183.134.1-20
[i] 20 hosts were scanned
[i] Done sending probes. Waiting 5 seconds for more responses
[+] Found host 81.183.134.17 ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Hacking, Sicurezza, Telefonia, Tutorials, VoIP & Hack, asterisk pbx, open source, security, voip

Tools per l’ enumerazione SIP

25 luglio 2009 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

Una delle insidie più importanti per la sicurezza delle soluzioni cosiddette convergenti, tipo quelle rappresentate da PBX VoIP basati su SIP, sta sicuramente, come ho gia avuto occasione di affermare, nelle scelta di identificativi prevedibili e protezioni deboli.
Se poi ad esse si vanno a sommare fragilità intrinseche alle specifiche del protocollo stesso, la combinazione può essere micidiale e avere conseguenze molto dolorose.

È implicito, e se non lo fosse abbastanza lo ripeterò ancora una volta, che alcune delle tecniche illustrate possono essere legittimamente utilizzate solo in sede di assesment, ovvero di test su sistemi di propria competenza, e col permesso dei soggetti interessati.

Prima che una qualsiasi minaccia possa essere ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Hacking, SIP, Software, Telefonia, Tutorials, VoIP & Hack, asterisk pbx, open source, security, voip

Integrazione Gizmo e Asterisk

3 luglio 2009 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

Gizmo5 (meglio conosciuto come Gizmo Project) è il nome di un network VoIP peer-to-peer e di un softphone gratuito, basati su tecnologia proprietaria.
Contrariamente al suo concorrente Skype, il network Gizmo5 utilizza per il call management standards aperti, cioè Session Initiation Protocol ed XMPP.
Come Skype, utilizza però alcuni codecs proprietari, e come quello Skype, il client Gizmo5 è un software proprietario e closed source.
Gizmo5 è posseduto e gestito da SIPphone.

Dal momento che Gizmo5 si basa su SIP, è in grado di inter-operare direttamente con altre entità SIP, tra cui Asterisk.
L’integrazione risulta in particolare allettante per ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, SIP, Software, Telefonia, Tricks, VoIP & Hack, voip

Inaugurato il C.N.A.I.P.I.C.

25 giugno 2009 - Fonte: http://www.voipandhack.it    Invia questo articolo via email

Con tanto di fanfara, ed alla presenza del Ministro degli Interni Maroni, di quello della Giustizia Alfano, e del Cardinale Richelieu, oops, pardon, del Sottosegretario alla Presidenza del Consiglio, Gianni Letta, l’altroieri è stato inaugurato, questa volta ufficialmente, il CNAIPIC (Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).
La circostanza è ampiamente documentata, anche con una galleria di immagini e pure un video, nel sito della Polizia di Stato, sotto il titolo un po’ guascone di “Infrastrutture critiche: vita dura per gli hacker” (uno solo, evidentemente quello più sfigato). ...

Leggi il seguito »

Nessun commento »

Inserito in Asterisk, Politica, Società, VoIP & Hack, brevi, cyberwar, security