VoIP & Hack

Qualche giorno fa il ricercatore Hans Petter Selasky ha messo in all’erta la comunità degli sviluppatori, implementatori ed utenti di Asterisk, circa il rischio di una possibile string injection nel dialplan del PBX, molto simile nel principio di funzionamento alla ben nota SQL injection. (continue reading…)

Send post as PDF to

A quanto pare i cittadini Italiani dovranno continuare ad essere bombardati da telefonate pubblicitarie sgradite con offerta di prodotti e servizi dai vantaggi improbabili, destinati ad essere recepiti per la maggior parte dalla fascia più indifesa della popolazione, sopratutto gli anziani. (continue reading…)

Send post as PDF to

Con l’obiettivo di automatizzare la fase del penetration testing, a partire dalla versione 3, Metasploit offre un modulo chiamato “autopwn” che è in grado di automatizzare la fase di exploit di un penetration test.

Sebbene autopwn sia ben lontano dall’essere perfetto, fa un lavoro decente nell’ exploit di molteplici hosts. (continue reading…)

Send post as PDF to

Dopo aver esaminato alcuni tools per la enumerazione SIP, mi sembra giusto accennare anche a quella IAX, il protocollo nativo dei server Asterisk. (continue reading…)

Send post as PDF to

Una delle insidie più importanti per la sicurezza delle soluzioni cosiddette convergenti, tipo quelle rappresentate da PBX VoIP basati su SIP, sta sicuramente, come ho gia avuto occasione di affermare, nelle scelta di identificativi prevedibili e protezioni deboli.
Se poi ad esse si vanno a sommare fragilità intrinseche alle specifiche del protocollo stesso, la combinazione può essere micidiale e avere conseguenze molto dolorose. (continue reading…)

Send post as PDF to

Gizmo5 (meglio conosciuto come Gizmo Project) è il nome di un network VoIP peer-to-peer e di un softphone gratuito, basati su tecnologia proprietaria.
Contrariamente al suo concorrente Skype, il network Gizmo5 utilizza per il call management standards aperti, cioè Session Initiation Protocol ed XMPP. (continue reading…)

Send post as PDF to

In questo post voglio parlare di una tecnologia che nella mia attività di system integrator avevo gia incontrato e sperimentato un paio di anni fa. Avendola personalmente trovata ancora immatura l’avevo temporaneamente accantonata, ripromettendomi di rivalutarla una volta che avesse subito qualche evoluzione.
Ritengo che ora la cosa si sia verificata, per cui mantengo l’impegno approfittandone per accennare ad un impiego secondo me molto interessante di questa tecnologia nell’ambito della comunicazione mobile, avendo a disposizione solamente un laptop ed un auricolare bluetooth. (continue reading…)

Send post as PDF to

Ho parlato in un post precedente di come si possa utilizzare un channel IAX2 su OpenVPN per crittare il VoIP di Asterisk.
Questa volta voglio presentare un secondo metodo, concettualmente simile, ma in grado di offrire alcuni vantaggi in termini di leggerezza e velocità. (continue reading…)

Send post as PDF to

Circola da qualche giorno la notizia che sia già stata superata la quota delle 200.000 registrazioni di nuovi nomi di dominio “.tel”.
Per chi ancora non lo sapesse, i nomi di dominio “.tel” funzionano un po’ come le Pagine Gialle, restituendo i dati per contattare una persona o una azienda.
L’ idea che sta dietro ai domini dot-tel è piuttosto semplice, cionondimeno costituisce un approccio innovativo ad un metodo di accesso globale ad informazioni di contatto. Una specie di business card online, dove il titolare può scegliere quali informazioni offrire, ed anche chi possa accedere a tali informazioni. (continue reading…)

Send post as PDF to

Ho appreso ieri mattina da Rai3 dell’imminente inaugurazione del C.N.A.I.P.I.C (cioè Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche).
Forse impressionato da un acronimo così inquietante, ma sicuramente fiducioso di imbattermi in qualche telenovela italica in salsa cibernetica, mi sono messo un po’ ad indagare. (continue reading…)

Send post as PDF to