Publicado el por Steve Osler

Skype no es seguro. Microsoft advierte: “mejor utilizar una VPN para acceder”

Insicurezza informatica
Obviamente esto no es cierto.

Solo he aplicado a Skype el concepto de seguridad que ha sido capaz de elaborar un “genio del Open Source”.

Dejemos a un lado Skype y analicemos lo que ha ocurrido en realidad.

Giacomo Brusciati, de la empresa Comunica.Meta srl, es un instalador de sistemas telefónicos de la región italiana de Le Marche. Ya ha instalado unos 2200 sistemas: primero ISDN y después VoIP (¡y solo tiene 40 años! Está claro que no pierde el tiempo).

Como todos los días, Giacomo instala un nuevo PBX. Hoy le toca trabajar en una explotación agrícola que tiene varias sedes y ha llegado el momento de conectar los teléfonos IP remotos.

La explotación cuenta con un firewall proporcionado y configurado por una “empresa italiana líder”, experta en hacerlo TODO (y, por supuesto, líder en todo): centralita telefónica, Firewall, CRM, almacenamiento conectado en red (NAS), servidores de fax, antivirus, antispam, mantenimiento remoto, etc.

En fin, tiene un catálogo de servicios mayor que el de Cisco.

Giacomo envía un correo electrónico solicitando la apertura de los puertos IP del Firewall, para conectar el SIP/TLS.

Respuesta:

DESACONSEJAMOS ENCARECIDAMENTE esta práctica, ya que el protocolo SIP es muy débil.

Giacomo señala que, aunque su sistema sea débil (FreePBX con una configuración mejorable), eso no implica que el resto también lo sean, así que responde:

Me gustaría aclarar que nuestro sistema no es como un sistema asterisk, por lo que le ruego que evite ejercer este INÚTIL TERRORISMO PSOCOLÓGICO con el cliente cada vez que le solicitamos la apertura de un puerto.

El “genio del Open Source” no cede:

El protocolo SIP, por su propia naturaleza, no es seguro. Las comunicaciones y las llamadas se transmiten en abierto.”

Giacomo se enfada, insiste en que abran los puertos IP y termina su trabajo.

¿Resultado? Ha tenido que invertir dos días para un trabajo que podría haber acabado en una hora. En fin, cosas que pasan…

¿Ha hecho bien Giacomo?

¿O está exponiendo a su cliente a riesgos inútiles?

 

¿Puede ser seguro el protocolo SIP?

Existen algunas empresas – que no son tan líderes como el “genio del Open Source”…, pero en cualquier caso existen y no se pueden ignorar.- que nos dan un indicio de que es posible encontrar un SIP seguro.

Todos los operadores de telecomunicaciones (como Fastweb, Telecom, TWT, Wind, etc.) junto a los proveedores de sistemas VoIP (como por ejemplo Avaya, Cisco, Shoretel, Mitel, Broadsoft, Unify, Microsoft, Alcatel, etc.) utilizan SIP.

O son todos unos delincuentes y unos imbéciles… o este “genio del Open Source” se ha perdido algo.

Entonces…¿por qué dice que el SIP no es seguro?

Una cuenta SIP está protegida por un nombre de usuario y una contraseña. La cuestión es que las típicas parejas de nombres de usuario y contraseñas que eligen estos “genios del Open Source” son del estilo:

1200 / 1200

100 / 1234

203 / 0000

320 / password

¿Cómo funciona el complejísimo ataque al sistema del genio?

Con un sencillo software “maligno” y gratuito que se puede descargar de Internet:

  • barrido de la red y localización de un servidor SIP
  • solicitud de contacto utilizando varios números de extensión: 100-101 … 1000-1001 …
  • intento de iniciar sesión con el número de extensión y la clave obtenidas en una base de datos

¿Qué contiene la base de datos?

Pues precisamente “0000”, “1234”, “password”, y un millón de palabras clave similares.

Así se consigue entrar en el sistema. Incluso aunque finalmente no haya ningún ataque, los problemas para el cliente son evidentes: el servidor se ralentiza (está ocupado respondiendo a las solicitudes de autentificación) y la conexión a Internet se satura.

¿Cómo se soluciona el problema?

  1. como dice el “genio del Open Source”: instalar un servidor inseguro y esconderlo lo mejor que puedas (llegados a este punto, te conviene saber cómo de seguro es el firewall…); o
  2. como Giacomo (Fastweb, Telecom, etc.): instalar un sistema SIP realmente seguro por sí mismo.

¿Qué hace un servidor SIP seguro?

  • genera automáticamente contraseñas seguras y no acepta contraseñas inseguras, aunque Giacomo se empeñe
  • no responde a solicitudes no autentificadas del tipo “¿existe la extensión 100?”
  • si aparece el software “maligno”, la IP de origen queda bloqueada durante 5 minutos; si vuelve a intentarlo, se bloquea durante un día
  • tiene dos niveles de contraseñas: una para el usuario que utiliza el sistema para configurar los teléfonos automáticamente, por lo que ni siquiera este usuario puede compartir la password con otros
  • no envía los datos en abierto, utiliza SIP/TLS (Transport Layer Security) y SRTP (Secure Real-time Transport Protocol), el estándar de cifrado para que el SIP sea realmente seguro

Resultado:

  • el sistema es seguro
  • el cliente puede comunicarse desde donde quiera

Pero…¿el “genio del Open Source” no sabe todo esto?

Lo único que ha hecho este genio ha sido descargar gratis FreePBX, lo ha llamado VoIPTruz, ha modificado la interfaz web con su logo y lo está vendiendo a instaladores de telefonía muy ingenuos. La verdad es que ninguno de los dos tiene la más remota idea de lo que está haciendo en perjuicio del confiado cliente.

¿Por qué hace esto?

El sistema, centralita o firewall correspondiente es su caballo de Troya. Su beneficio no está en la venta de ese producto, sino en crear un “socio drogado con síndrome de abstinencia” que todos los días necesita pedir asistencia antes de hacer algo y que TIENE MIEDO de hacer cualquier cosa.

Siringa droga = assistenza
When you enter the tunnel of assistance «by the hour» you don’t go out anymore.

Pues eso. Con 65 euros por hora no se hará rico, pero no vive nada mal a costa de tu dinero.

¡No sigas permitiendo que el “genio del Open Source” de turno se quede con tu dinero!

  • Si compras un iPhone6 por 100 euros, estás comprando un teléfono robado: eres un receptador, te aprovechas del delito cometido.
  • Si compras una centralita con extensiones ilimitadas por 1600 euros, basada en FreePBX: eres un ingenuo, compras un producto que no existe, pagas horas de asistencia que no corresponden: será un fiasco muy merecido.

La culpa no será del todo tuya en ninguno de los casos, pero deberías ser más prudente y valorar seriamente lo que estás comprando.

Si quieres hacer experimentos con el Código Abierto, genial: descarga FreePBX y pruébalo en tu casa, no en la oficina ni con tus clientes. No necesitas un VoIPTruz de turno que te cobre por resolver los problemas que ha creado.

Es muy injusto que Giacomo tenga que competir contigo.

Giacomo felice per una delle sue installazioni.
Giacomo and one of his 2,000 installations.

Al contrario de lo que ocurre cuando lo instalas tú, el precio que paga el cliente de Giacomo está claro desde el principio.

Nunca ha pedido ni un céntimo por errores suyos o de los sistemas que instala.

En una palabra: Giacomo es responsable, se hace cargo de las consecuencias de sus decisiones y no las repercute en sus clientes. Por este motivo elige solo productos que le garantizan las mismas garantías.

¿La diferencia entre Giacomo y tú?

Giacomo empezó solo desde cero y hoy tiene una reputada empresa.

Tú empezaste con una reputada empresa y después de tanto trabajar con el VoIPTruz de turno acabarás trabajando solo.

Social Sharing
       

Deja un comentario

Funciona gracias a WordPress