martes, octubre 12, 2010

Usuarios de Mac OS X que comparten C$

Desde que estoy participando en Seguridad Apple estoy descubriendo un mundo divertido. Me lo estoy pasando como un niño con zapatos nuevos y en este periodo de tiempo, he llegado a una conclusión: Pobres usuarios de Mac OS X.

No, no me refiero a los que saben manejar el equipo, sino a todos aquellos que han comprado eso de que si tienes Mac OS X no te tienes que preocupar de malware, de troyanos, de ataques, etc... Debido a esto, es común encontrarse equipos Mac OS X sin antivirus, antimalware y lo peor, con usuarios confiados de que están a salvo sólo por comprarse un Mac Book Pro.

Así, después de ver que el 22% de las vulnerabilidades estaban sin solución, según Secunia, y tras ver que ya estaba en muchos kits de infección, como Black Hole o Eleonore, esto debía ser una fiesta.

Así que nada, aprovechando que estoy en un hotel y en unas conferencias donde hay muchos usuarios con Mac OS X, vamos a ver la preocupación que hay por posibles ataques en sus equipos.

Descubrir Mac OS X en la red local

Para descubrir los Mac, lo más sencillo es mirar las direcciones Mac del Mac. Sí, parece un trabalenguas, pero es tan fácil como que la mayoría del hardware Apple usa tarjetas de red fabricadas por ellos, así que basta con mirar la dirección MAC y mirar el fabricante. Para no complicarme, un escaneo con Cain y listo.


Figura 1: Equipos Apple conectados en la red local

Descubrir Mac OS X en Internet por AFP

Otra de las cuestiones que se me vino a la cabeza fue descubrir los Mac OS X que estén directamente conectados a Internet y que se encuentren como los Windows 98 y Windows Me, es decir, compartiendo las carpetas para todo el mundo en Internet.

Normalemte la gente escanea los recursos compartidos SMB, pero en esta ocasión decidí escanear las carpetas compartidas por AFP, es decir, el protocolo de compartición de archivos por red de Apple. AFP utliza el puerto 548, así que, para descubrir si hay equipos expuesto, basta con realizar un sencillo escaneo con nmap en rangos de operadoras en España y listo.


Figura 2: Escaneando redes con nmap en busca de AFP

Sorprendentemente, el número de equipos que apareció con la compartición de archivos habilitada para Internet es mucho mayor de lo que me pude imaginar al principio.


Figura 3: AFP habilitado para Internet

La conexión a los recursos

Estuve buscando un cliente AFP para Windows que me permitiera explorar los recursos compartidos en un Mac OS X a partir de una dirección IP, pero no encontre la herramienta que me satisfaciera, así que, nada, basta con utilizar un Mac OS X y buscar las carpetas, a ver que pasa.

En algunos no hay suerte, pero podemos descubrir información del equipo y siempre se puede esperar que no tengan actualizado el protocolo AFP.


Figura 4: Mac OS X con carpetas compartidas en Internet pero protegida

En otros, la cosa es bastante más sencilla, porque está habilitado el usuario Invitado, como en los Windows antaño.


Figura 5: Usuario invitado habilitado

Y basta con sentirse como tal, es decir, como un invitado, y entrar al equipo.


Figura 6: Carpetas compartidas en ese equipo

El número de equipos así es alto, y te puedes pasar el día de fiesta en fiesta, de "invitación en invitación".


Figura 7: Usuario invitado habilitado de nuevo

Y dentro, las carpetas compartidas:


Figura 8: Dos carpetas compartidas

Y dentro, pues lo que compartan, en este caso películas. ¿Llamamos a la SGAE o por tener Road Trip merece algo peor?


Figura 9: Contenido interno

¿A quién le recuerda esta situación a la época de los c$ compartidos en Internet?

Saludos Malignos!

30 comentarios:

Anónimo dijo...

1.- No deberías publicar las direcciones MAC completas (deberías borrar la segunda mitad).
2.- Hoy en día es poca la gente que está conectada directamente a Internet como antaño (aunque sigue habiendolos, por supuesto).
3.- Lo de que cualquiera pueda escribirte en la carpeta pública es una de las cosas que más me mató del mundo Apple cuando llegué.
4.- Te recomiendo encarecidamente que eches un vistazo a los "troyanos" en Mac. Son cutres, pero super-efectivos.

Anónimo dijo...

He de discrepar.. estas exponiendo una idea totalmente subjetiva sobre la seguridad de Mac OSX basandola en encontrar un equipo que comparte una carpeta con cuenta invitado. Que ademas no es c$ es la carpeta publica de usuario no su $home. Seria como hablar de la inseguridad de Windows porque alguien habilita el uso compartido de su carpeta publica. La inseguridad o vulnerabilidad existe a nivel usuario, pero como has probado es solo un usuario por lo que no puedes generalizar. Mas que una entrada en tu blog parece un flame.

Chema Alonso dijo...

@Anonimo, después de pasar nmap como a 500 segmentos de red tengo una buena cantidad de equipos que las comparten, pero para el artículo me ha parecido suficiente con mostrar 3 ejemplos. Si quieres más, he puesto el comando nmap. Elije tu los rangos.

Saludos!

Chema Alonso dijo...

Y la metáfora del C$ es eso, una metáfora. Uno que se levanta literato de vez en cuando.

Saludos!

Anónimo dijo...

Muy interesante desde luego, esto demuestra una vez más (desde mi punto de vista) que la mayor falla de seguridad en un equipo se encuentra siempre entre la silla y el teclado, tener actualizado el S.O. y no compartir nada por defecto creo que ya te quita un porcentaje muy muy alto, y al igual que en windows las puertas traseras normalmente se encuentran en cosas que la gente no hace bien como no actualizar software etc por loq ue pienso que con unas minimas pautas de seguridad se puede estar más o menos tranquilo

Chema Alonso dijo...

@anónimo, de Lorenzo de Sbd, en su twitter.

http://twitter.com/lawwait/status/27074005210

Saludos!

Anónimo dijo...

Se debería haber llamado usuarios inocentes, independientemente del sistema operativo usado no es así?

Lo demostrado es que aun existen usuarios que usan directorios públicos compartidos sin seguridad para intercambiar datos. Es completamente irrelevante las vulnerabilidad del so usado para lo que has demostrado.

Una pista, estoy en el mismo hotel

Saludos varios,

Karlos

Chema Alonso dijo...

@anónimo del hotel, (guiño, guiño). La pena es que parece que es por defecto así.

}:))

Anónimo dijo...

Añadir que muchos discos duros en red usan AFP (además de Samba, web y ftp) con directorios públicos o directamente no cambian las contraseñas por defecto.

Anónimo dijo...

Buenas tardes / noches Chema,

Te has pasado viendo las MAC (muy mal por publicarlas) yo diría que se tratan de iMacs y las geoposicionaria en un hotel en Lima, Perú. =)

Saludos,
Leo

Anónimo dijo...

Para los que os quejáis de que se han posteado MACs aquí van un par para que os horrizeis:

FA:BA:DA:FA:BA:DA
CA:FE:CA:FE:CA:FE

Buen hacking.

Chema Alonso dijo...

Ale, macs fuera...

Anónimo dijo...

Creo que he localizado los aparatos aquí y tienen sorpresa.......

http://img524.imageshack.us/img524/5130/63589860.jpg

Veanlo en la siguiente entrega.

Saludos varios,

Karlos

chencho dijo...

Entre los imacs de "anónimo" sale un bicho raro en el medio. Debe ser un virus... ah no, es el famoso "man in the middle!!"

un saludo,

chencho

Anónimo dijo...

gracias esta entrada está bastante intesante/maligana ;).

Sergio Hernando dijo...

Desactivar invitados AFP: sudo defaults write /Library/Preferences/com.apple.AppleFileServer \ guestAccess -bool no

Desactivar invitados SMB: sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server \ AllowGuestAccess -bool no

Facilmente verificable:

AFP: defaults read /Library/Preferences/com.apple.AppleFileServer guestAccess

SMB: defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server \

Un saludo,

Sergio Hernando dijo...

Y si se quiere ser mas restrictivo:

Desactivar AFP:

sudo launctl unload -w /System/Library/LaunchDaemons/com.apple.AppleFileServer.plist

Desactivar SMB:

sudo defaults delete /Library/Preferences/SystemConfiguration/com.apple.smb.server \ EnabledServices

Descargar demonio SMB:

sudo launctl unload -w /System/Library/LaunchDaemons/nmbd.plist

sudo launctl unload -w /System/Library/LaunchDaemons/smbd.plist

Anónimo dijo...

Ademas, ya hemos encontrado el problema, eran imacs... con ¡¡¡ Windows !!!!

Vease la graciosa imagen : http://img268.imageshack.us/img268/7264/imacwindows.jpg

Saludos,
Leo

Anónimo dijo...

Por tu cumpa me hicieron el ataque hasselhof 2.0 y me desactivaron el cambio de fondo de escritorio

Kuñao dijo...

El problema que tiene MAC es que una buena parte de sus usuarios es gente dedicada al mundo del diseño, audiovisual, y mierdas similares, y por tanto su manera de trabajar es todo lo contrario a la seguridad. Luego existe otro gran grupo de usuarios de MAC que son Snob a los que les gusta su diseño...

El usuario Windows ya está acostumbrado a sufrir, por eso se ven equipos medio actualizados, antivirus en todo equipo, y mínima capacidad para no abrir cualquier mierda que te mandan.
Por el contrario el usuario MAC asume que como no le afectan los virus para windows, el puede abrir cualquier cosa, hacer lo que le sale del pito, no actualizar el SO porque sinó se me jode el photoshop pirata, y no usar antivirus... porque los antivirus en MAC no sirven para nada xD

Pero vamos, como bien sabes usuarios cenutrios los hay en ambos lados.

Anónimo dijo...

te mandan un poco de odio desde esa comunidad de expertos en seguridad que es menéame: http://www.meneame.net/story/usuarios-mac-os-x-comparten-c/voters

No tienes alguno esbirros de Spectra que mandarles ;P

Un saludo y todo mi respeto y admiración,

Anónimo dijo...

Lo más curioso del artículo, es la defensa a ultranza de los usuarios de Apple, en los comentarios del foro......un usuario de Mac, lo defiende más que a su madre....

Anónimo dijo...

Básicamente lo que ocurre en un equipo siempre es culpa del usuario. Si el usuario es cenutrio (y de estos en el mundo mac hay muchos) pues peor.

Ahora bien, si cogemos varios ordenadores nuevos, así, pelaos, "out of the box", recién instalado el sistema operativo y nada más, y hacemos un ranking de equipos seguros nunca encontraremos windows en los primeros puestos.

Sin que un usuario le ponga las zarpas encima siempre windows anda por detrás de Linux y mac en seguridad.

Chema Alonso dijo...

@anónimo, esa afirmación de que Windows out of the box es más inseguro que Mac OS X es digna de un tecnicoless. Mac OS X lleva el 22% de las vulnerabilidades de este año sin parchear. Linux lleva otra buena jartá (no te pongo ninguna estadística pq depende de distro), pero... dime: En base a que dices eso de que Windows es peor? Cuanto de peor y en qué unidad?

Estadísticas Mac OS X 2010

Saludos!

Anónimo dijo...

Kuñao... así que el diseño, la música y el video son "mierdas similares". Imagino una vida muy pobre al que no consuma ninguna de estas "mierdas".

Anónimo dijo...

¿Que es estar conectado directamente a Internet?

Román Ramírez dijo...

Estoy viendo la foto de "ese personaje entrañable al que todos amamos" entre los dos iMac y estoy llorando de risa.

¿Has hablado con él? Le mando un correo :D

Por otro lado, ¿a estas alturas todavía tenemos fanatismos y forofismos absurdos? Que los tuxies ya pasaron su etapa de afirmar con rotundidad lo "invulnerables" que son los linux y son de las plataformas más reventadas (lo dicen las estadísticas)... que los Macs no son Aquiles (salvo por el talón famoso).

Sí, el usuario puede ser inocente o no tener conciencia, sí. Pero la plataforma también tiene culpa eh.

Que soy usuario de Mac OSX y me da el mismo miedo exactamente que un Windows XP, para qué engañarnos :D

Chema Alonso dijo...

@Román Ramírez... está enterado, está enterado }XD

Unknown dijo...

Estimado, tiene por ahi algun cliente AFP para windows?




necesito uno ya que el explorador de windows no sirve porque los puertos smb estan bloqueados pero los afp no.

me seria de mucha ayuda si me contaras.
gracias.

Unknown dijo...

amigo, tiene por ahi algun cliente AFP para windows, me seria de gran ayuda ya que el explorer de windows no me sirve porque los puertos estan bloqueados, si usted tendria uno por ahi, me seria de gran ayuda.

Gracias

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares