Archivio

Archive for marzo 2012

Buco colossale su Elastix (Marzo 2012)

27/03/2012 12 commenti

Un mio amico è stato bucato sul suo centralino Elastix, perdendo diversi eurini, grazie alla solita cricca di palestinesi (almeno da li è l’IP sorgente) che da anni impazza per internet in cerca di IP-PBX da bucare. La colpa, come al solito, è la sua: un firewall (fisico , iptables, quello che volete) è necessario sempre se la macchina viene esposta su internet.

Verificato tutto questo ci siamo posti il problema di come sia stato possibile la truffa, dato che i palestinesi usavano direttamente gli account VoIP del mio amico, e non triangolavano sul suo centralino!

La ricerca è stata breve: Elastix ammette una vulnerabilità da paura, dovuta al nuovo CRM che integra, vTiger. Per gli esperti rimando qui per i dettagli. In soldoni, bastava con un browser all’indirizzo IP del centralino, inserendo un path specifico, per avere in chiaro tutte le password di accesso al centralino, con cui poi si poteva vedere le password SIP!

Ribadisco ancora una volta il concetto: il VoIP non è qualcosa in cui ci si può avventurare in modo inesperto, perché si rischia di perderci tanti soldini!

A fin di cronaca vi dico che gli account VoIP del mio amico sono stati svuotati del credito essendo usati su una batteria di softphones che chiamavano numeri satellitari. Trecento euro di traffico spariti in cinque minuti.

A buon intenditore…

Categorie:Voip:Asterisk

Freeswitch: l’ammazza Asterisk

15/03/2012 6 commenti

Come si vede da altri articoli del mio blog, di Asterisk ne ho dovuto masticare parecchio. Il prodotto di Mark Spencer ha aperto nuovi orizzonti nella telefonia, sia voip che tradizionale. Innumerevoli sono le aziende che hanno usato e usano l’Asterisco per erogare servizi voce quali IVR, Voicemail, Audio Conference, VirtualPBX etc.

Le varie releases autoinstallanti come Trixbox, Elastix e affini hanno conquistato ormai una fetta consistente dei centralini installati nelle piccole e medie aziende, anche qui in Italia.

Eppure chi ci ha lavorato per molto tempo, sa qual’è la vera pecca del centralino software della Digium: il codice. Sì, già dalla 1.6 i programmatori di Spencer si sono prodigati nella riscrittura di quasi tutto il codice ma la filosofia centrale è rimasta quella, permettendo ai creatori di patches e moduli di risputtanare in poco tempo tutto il lavoro.

Ed ecco che uno degli sviluppatori di Asterisk prende una decisione e scrive da zero il codice di un nuovo softswitch, avendo a mente tutti gli errori metodologici fatti con Asterisk. Ne esce qualcosa di eccezionalmente versatile e in grado di soddisfare gli sviluppatori di soluzioni voce di tutto il mondo: Freeswitch !

Cosa può fare questo software straordinario? Tutto, a detta dei suoi creatori. Se è vero non lo so ma per quello che ho potuto vedere, sicuramente copre le funzionalità di Asterisk e oltre. La lista dichiarata delle funzionalità la trovate qui ,  ma la capacità di interfacciarsi con i principali linguaggi di programmazione, unita alle API che mette a disposizione, rendono le potenzialità di Freeswitch praticamente illimitate.

Unico neo? La configurazione. Dimenticate le liste numerate di extensions, qui si parla in XML. Per chi viene da Asterisk l’impatto è molto duro perché cambia la filosofia ma quando si padroneggia lo strumento, si scopre che quello che sembrava un neo, in verità è l’ennesima freccia dell’arco FS (come lo chiamano gli amici).

La cosa che mi ha più colpito è la vitalità e prontezza di risposta dei suoi creatori sia su mailing list che su IRC. Vi assicuro che all’inizio farete domande stupide e nessuno vi mancherà di rispetto, rispondendo anche a cose che poi scoprirete essere ovvie.

In un prossimo post parlerò delle interfacce grafiche stile FreePBX per Freeswitch, perché la programmazione nuda e cruda di questo software è da sconsigliare a chi non ha basi di programmazione. Per gli addetti ai lavori invece è un MUST! Provare per credere.

Categorie:Voip:Freeswitch