<font>&gt;&gt; so if they are connected to us via a psuedo account to monitor our features they still think we&#39;re using Asterisk...</font><div><font><br></font></div><div><font>You&#39;re mean!  :-P</font></div><div><font><br>

</font></div><div><font>Regards</font></div><div><font>HASSAN</font></div><div><font><br></font><font color="black" face="Arial, Helvetica, sans-serif"></font><br><div class="gmail_quote">On Mon, Jun 24, 2013 at 12:19 PM, John M <span dir="ltr">&lt;<a href="mailto:j_mj@aol.com" target="_blank">j_mj@aol.com</a>&gt;</span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><font color="black" face="Arial, Helvetica, sans-serif">I don<font>&#39;t think anyone expects that security by obscurity is all you need .. but in terms of tools that you use to secure your network it&#39;s a valid addition.<br>


<br>
Kinda like putting your hand over the keypad while entering your PIN at the ATM, it&#39;s not all you need to do but it&#39;s an extra step to help keep your account secure.<br>
<br>
If I present my server as an asterisk server and the attacker has a special set of scripts to attack Asterisk .. he&#39;ll probably/might use them and when it fails .. move on.<br>
<br>
In regard to the ability to be able to disguise the switch name .. i think this is a valid reason.<br>
<br>
Another one that comes to mind is competition .. we work in a tight local market and have some competitors that follow us liek sheep .. whatever price we set they follow.. etc..<br>
<br>
They run similar platforms hosted on Asterisk servers .. we are switching to FS and this is going to give us an edge .. I don&#39;t want these competitors to know that we are using a superior platform .. so I modify the name so if they are connected to us via a psuedo account to monitor our features they still think we&#39;re using Asterisk...<br>


</font><font color="black" face="Arial, Helvetica, sans-serif">

<div> <br>

</div>



<div> <br>

</div>



<div> <br>

</div>



<div style="font-size:10pt;font-family:helvetica,arial"><div class="im">-----Original Message-----<br>

From: Steven Ayre &lt;<a href="mailto:steveayre@gmail.com" target="_blank">steveayre@gmail.com</a>&gt;<br>

To: FreeSWITCH Users Help &lt;<a href="mailto:freeswitch-users@lists.freeswitch.org" target="_blank">freeswitch-users@lists.freeswitch.org</a>&gt;<br>

Sent: Fri, Jun 21, 2013 6:05 pm<br>

Subject: Re: [Freeswitch-users] remove in local SDP word FREESWITCH<br>

<br>






</div><div><div class="h5"><div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><span style="color:rgb(34,34,34);font-size:13px;font-family:arial,sans-serif">2) </span><u style="color:rgb(34,34,34);font-size:13px;font-family:arial,sans-serif">Security trough obscurity != security</u><span style="color:rgb(34,34,34);font-size:13px;font-family:arial,sans-serif"> its always better than nothing. &quot; hey you don&#39;t need to guess the <br>





</span><span style="color:rgb(34,34,34);font-size:13px;font-family:arial,sans-serif">the software I&#39;m using , I&#39;m giving the info for free just find an entry point  and you got it ....&quot;</span></blockquote>



<div><br>

</div>



<div>Actually I&#39;d argue the opposite. Security through obscurity often makes people assume they&#39;re secure and therefore neglect securing their systems in the places that actually matter.</div>



<div>
<br>


</div>



<div>The only argument I can really see of hiding that you&#39;re running $version of $product is that an bug in that $version means an exploit exists.</div>



<div><br>

</div>



<div>If that&#39;s the case then you need to upgrade to a patched copy of $product - you can NOT rely on the fact that people will not realise that they can use the exploit because you&#39;re hiding what you&#39;re running.</div>







<div><br>

</div>



<div>The flaw still exists and attackers might either a) guess you&#39;re using $product and try the exploit anyway or b) have their bot just randomly try every exploit in the book against you until one works in which case they don&#39;t even need to know you&#39;re using $product.</div>







<div><br>

</div>



<div>The things that matte are actually verifying your authentication is working correctly, you&#39;re running the latest software, you&#39;re following software updates / security announcements, etc.</div>





<div><br>

</div>



<div>Besides even when $product/$version are hidden they can often be found through fingerprinting by looking at differing behaviour between different products and within a product between versions.</div>



<div>

<br>

</div>



<div>-Steve</div>



<div><br>

</div>



<div><br>

</div>



<div><br>

</div>



<div><br>



<div class="gmail_quote">On 21 June 2013 07:59, Antonio Teixeira <span dir="ltr">&lt;<a href="mailto:eagle.antonio@gmail.com" target="_blank">eagle.antonio@gmail.com</a>&gt;</span> wrote:<br>



<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  

<div bgcolor="#FFFFFF" text="#000000">
    

<div>@Ken<br>


      I think we need to drop into the real world...<br>


      <br>


      1) Ok .,... Don&#39;t forget to say thanks to Debian , CentOs , Fedora
      , PHP , Python , Microsoft , all the authors of the OpenSource
      Libs , the creator of Make , the creator of the IDE that the Dev
      team uses ,  etc etc when you deliver the next project to your
      client ...<br>


      <br>


      2)<br>


      <u>Security trough obscurity != security</u> its always better
      than nothing. &quot; hey you don&#39;t need to guess the <br>


      the software I&#39;m using , I&#39;m giving the info for free just find an
      entry point  and you got it ....&quot;<br>


      <br>


      I could also imagine you agree with showing the version of the
      software in the HTPP headers (stuff that happens on some
      webservers/libs ( from my ming i can recall Django?!).<br>


      <br>


      3)<br>


      The clients pays it doesn&#39;t really care about what software you
      use ( unless he fears some patent infringement) he wants results.<br>


      <br>


      4)<br>


      No , Compliance could be internal or external the end-client could
      simply say &quot;i don&#39;t want the freeswitch brand&quot;.<br>


      <br>


      <br>


      ---- ///// ----<br>


      @all<br>


      I don&#39;t know you guys but my daily work is developing software for
      some fairly large financial institutions and sincerely i think you
      are all over reacting to this thing.<br>


      Yes if you open-source something you will get part of your
      software stolen , changed or use in a way you were not expecting
      and not given credit for , that&#39;s life .If you don&#39;t want it ,
      close the source , resell it , ask for NDA&#39;s , etc.<br>


      In my daily work me and my collegues use alot of open source (
      contrary to the popular belief) , closed source and everything in
      between and you don&#39;t expect a public statement thanking anyone
      for anything.<br>


      <br>


      This is the way life works and with open-source this is our
      current world ( i think the FS Team could even offer a fully
      custom branded solution) so it could help monetize the project.<br>


      <br>


      And before you start thinking yes i bought G729 licenses , the FS
      Book even before it was out and no to many miles between me and
      Gluecon , yes i know airplanes exist :D.<br>


      <br>


      P.S - I Also assume that you all as sysadmins once found a problem
      that a blogger may have solved and on your final report to the
      administration you didn&#39;t wrote &quot; problem solved by Blogger
      XXXXXX&quot;....<br>


      <br>


      And never forget he is just the mailman sometimes the boss wants
      something ( even if not morally correct ) and you have to do it. <br>


      But the point raised by Anthony regarding the SDP &quot;freeswitch
      flag&quot; is important and you be featured on the wiki :)<span><font color="#888888"><br>


      <br>


      Antonio Teixeira</font></span>

<div>

<div><br>


      <br>


      <br>


      On 6/19/13 3:49 PM, Ken Rice wrote:<br>


    </div>

</div>

</div>



<div>

<div>
    <blockquote type="cite">
      <pre>Ok... Lets look at these...

Branding... I don&#39;t want to show people that I&#39;m using F/OSS software for
running my for profit business so I can tell them I&#39;m using either
${some_comercial_platform} or ${we_developed_this_ourselves}

Security/Security Requirements - Security throught obscurity != security...

Client Requirements - That&#39;s a new one one... Unless client is &lt;see
branding&gt;

Compliance - isnt this the same thing as see security


On 6/19/13 8:44 AM, &quot;Antonio Teixeira&quot; <a href="mailto:eagle.antonio@gmail.com" target="_blank">&lt;eagle.antonio@gmail.com&gt;</a> wrote:

</pre>
      <blockquote type="cite">
        <pre>I could think off

Branding
Security
Client Requirements
Security Requirements
Compliance


On 6/19/13 2:37 PM, Michael Jerris wrote:
</pre>
        <blockquote type="cite">
          <pre>Why would you want to do that?

On Jun 19, 2013, at 9:28 AM, Abdullah <a href="mailto:abdullah@smonte.com" target="_blank">&lt;abdullah@smonte.com&gt;</a> wrote:

</pre>
          <blockquote type="cite">
            <pre>HI ALL ,

please help me ,how to change or remove o=*&quot;FreeSWITCH&quot;* in free switch Cli
Log .

any idea ??



o=FreeSWITCH 1369449071 1369449072 IN IP4 10.10.50.1
   s=FreeSWITCH
   c=IN IP4 10.10.50.1
</pre>
          </blockquote>
          <pre>_________________________________________________________________________
Professional FreeSWITCH Consulting Services:
<a href="mailto:consulting@freeswitch.org" target="_blank">consulting@freeswitch.org</a>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a>

FreeSWITCH-powered IP PBX: The CudaTel Communication Server
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a>

Official FreeSWITCH Sites
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
<a href="http://wiki.freeswitch.org" target="_blank">http://wiki.freeswitch.org</a>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a>

FreeSWITCH-users mailing list
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org" target="_blank">FreeSWITCH-users@lists.freeswitch.org</a>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
</pre>
        </blockquote>
        <pre>_________________________________________________________________________
Professional FreeSWITCH Consulting Services:
<a href="mailto:consulting@freeswitch.org" target="_blank">consulting@freeswitch.org</a>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a>

FreeSWITCH-powered IP PBX: The CudaTel Communication Server
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a>

Official FreeSWITCH Sites
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
<a href="http://wiki.freeswitch.org" target="_blank">http://wiki.freeswitch.org</a>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a>

FreeSWITCH-users mailing list
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org" target="_blank">FreeSWITCH-users@lists.freeswitch.org</a>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
</pre>
      </blockquote>
    </blockquote>
    <br>


  </div>

</div>

</div>



<br>

_________________________________________________________________________<br>


Professional FreeSWITCH Consulting Services:<br>


<a href="mailto:consulting@freeswitch.org" target="_blank">consulting@freeswitch.org</a><br>


<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a><br>


<br>


FreeSWITCH-powered IP PBX: The CudaTel Communication Server<br>


<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a><br>


<br>


Official FreeSWITCH Sites<br>


<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>


<a href="http://wiki.freeswitch.org" target="_blank">http://wiki.freeswitch.org</a><br>


<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a><br>


<br>


FreeSWITCH-users mailing list<br>


<a href="mailto:FreeSWITCH-users@lists.freeswitch.org" target="_blank">FreeSWITCH-users@lists.freeswitch.org</a><br>


<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a><br>


UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a><br>


<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>


<br>

</blockquote></div>

<br>

</div>



</div>





<div style="font-size:12px;font-family:Tahoma,Verdana,Arial,Sans-Serif;margin:0px">

<pre style="font-size:9pt"><tt>_________________________________________________________________________
Professional FreeSWITCH Consulting Services:
<a href="mailto:consulting@freeswitch.org" target="_blank">consulting@freeswitch.org</a>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a>

FreeSWITCH-powered IP PBX: The CudaTel Communication Server
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a>

Official FreeSWITCH Sites
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
<a href="http://wiki.freeswitch.org" target="_blank">http://wiki.freeswitch.org</a>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a>

FreeSWITCH-users mailing list
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org" target="_blank">FreeSWITCH-users@lists.freeswitch.org</a>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a>
</tt></pre>
</div>

 



</div></div></div>

</font></font><br>_________________________________________________________________________<br>
Professional FreeSWITCH Consulting Services:<br>
<a href="mailto:consulting@freeswitch.org">consulting@freeswitch.org</a><br>
<a href="http://www.freeswitchsolutions.com" target="_blank">http://www.freeswitchsolutions.com</a><br>
<br>
FreeSWITCH-powered IP PBX: The CudaTel Communication Server<br>
<a href="http://www.cudatel.com" target="_blank">http://www.cudatel.com</a><br>
<br>
Official FreeSWITCH Sites<br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>
<a href="http://wiki.freeswitch.org" target="_blank">http://wiki.freeswitch.org</a><br>
<a href="http://www.cluecon.com" target="_blank">http://www.cluecon.com</a><br>
<br>
FreeSWITCH-users mailing list<br>
<a href="mailto:FreeSWITCH-users@lists.freeswitch.org">FreeSWITCH-users@lists.freeswitch.org</a><br>
<a href="http://lists.freeswitch.org/mailman/listinfo/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/listinfo/freeswitch-users</a><br>
UNSUBSCRIBE:<a href="http://lists.freeswitch.org/mailman/options/freeswitch-users" target="_blank">http://lists.freeswitch.org/mailman/options/freeswitch-users</a><br>
<a href="http://www.freeswitch.org" target="_blank">http://www.freeswitch.org</a><br>
<br></blockquote></div><br></div>