You are here

SIPVicious vs VOIPPACK

Después de tener la oportunidad de hablar con Sandro Gauci (líder del equipo de desarrollo de VOIPPACK y SIPVicious) nos podemos hacer una idea más ajustada de las diferencias y similitudes que existen en estos sets de herramientas.

SIPVicious es en set de herramientas que nos permite enumerar dispositivos y extensiones SIP, crackear las contraseñas y crear informes a partir de los datos obtenidos. Todo el software está liberado bajo licencia GPLv2.

Por otra parte tenemos VOIPPACK que es un producto comercial ofrecido por Enablesecurity (sponsor de SIPVicious). El set de herramientas VOIPPACK nos permite hacer todo lo que SIPVicious es capaz de hacer, pero VOIPPACK es un producto comercial que ofrece una gran cantidad de ventajas a las empresas que estén realmente interesadas en la seguridad VoIP:

  • VOIPPACK ofrece una intuitiva interfaz gráfica de usuario que permite realizar todo tipo de pruebas de forma cómoda
  • SIPautohack nos permite automatizar las diferentes pruebas de seguridad, partiendo de cero y obteniendo los resultados finales
  • iax2scan - Escanea la red buiscando dispositivos IAX2
  • asterisknow_exec - Instala MOSDEF en un AsteriskNOW si se conocen las credenciales de configuración
  • voipdnssrv - Enumera registros SRV que tienen que ver con la VoIP (SIP, IAX2, H.323) y los resuelve a direcciones IP
  • sipdigestleak - Fuerza los teléfonos IP a filtrar las credenciales digest y realiza un rápido ataque de passwords
  • ghostcall - Hace sonar todos los teléfonos en una red al mismo tiempo
  • digestcracker - herramienta offline de recuperación de password SIP digest
  • sipphonecall - emula la parte de control de un teléfono IP permitiendo probar si un teléfono sonará
  • sipgetringers - Encuentra el número / extensión del teléfono IP que está sonando
  • VOIPPACK está diseñado para trabajar con el conocido software de seguridad Immunity CANVAS
  • además en el precio de VOIPPACK se incluyen 3 meses de actualizaciones y soporte

Es importante hacer hincapié en el soporte comercial de la aplicación ofrecido por Enablesecurity pero también en las actualizaciones. Tal vez 3 meses de actualizaciones parece poco pero cabe decir que VOIPPACK es una herramienta en constante evolución y que es objeto de una amplia investigación en el campo de la seguridad aportando constantemente nuevos exploits. Prueba de ello son las funcionalidades de este set de herramientas hace menos de tres meses frente al gran abanico de nuevas funcionalidades que acabamos de mencionar y que ofrece VOIPPACK actualmente, además podemos ver didácticos vídeos de demostración de estas funcionalides en la página web del producto.

El desarrollo de ambos proyectos está coordinado por Sandro Gauci, y si bien podemos ver similitudes entre ambos, a mi modo de ver están orientados a un público muy diferente: mientras que en el caso de SIPVicious encontramos una interesante herramienta para "hackers", "geeks" y "techies" del mundillo de la seguridad VoIP, en el caso de VOIPPACK hablamos de un producto de seguridad orientado a empresas que desarrollan su actividad en el mundo de la VoIP (como implementadores, fabricantes de hardware, ...)

Por cierto: Sandro Gauci es una persona muy agradable y con amplios conocimientos sobre seguridad en entornos VoIP así que si tenéis alguna duda al respecto no dudéis en contactar con Enablesecurity.

Asterisk: 
Qué te parece: