Desde que estoy participando en Seguridad Apple estoy descubriendo un mundo divertido. Me lo estoy pasando como un niño con zapatos nuevos y en este periodo de tiempo, he llegado a una conclusión: Pobres usuarios de Mac OS X.
No, no me refiero a los que saben manejar el equipo, sino a todos aquellos que han comprado eso de que si tienes Mac OS X no te tienes que preocupar de malware, de troyanos, de ataques, etc... Debido a esto, es común encontrarse equipos Mac OS X sin antivirus, antimalware y lo peor, con usuarios confiados de que están a salvo sólo por comprarse un Mac Book Pro.
Así, después de ver que el 22% de las vulnerabilidades estaban sin solución, según Secunia, y tras ver que ya estaba en muchos kits de infección, como Black Hole o Eleonore, esto debía ser una fiesta.
Así que nada, aprovechando que estoy en un hotel y en unas conferencias donde hay muchos usuarios con Mac OS X, vamos a ver la preocupación que hay por posibles ataques en sus equipos.
Descubrir Mac OS X en la red local
Para descubrir los Mac, lo más sencillo es mirar las direcciones Mac del Mac. Sí, parece un trabalenguas, pero es tan fácil como que la mayoría del hardware Apple usa tarjetas de red fabricadas por ellos, así que basta con mirar la dirección MAC y mirar el fabricante. Para no complicarme, un escaneo con Cain y listo.
Figura 1: Equipos Apple conectados en la red local
Descubrir Mac OS X en Internet por AFP
Otra de las cuestiones que se me vino a la cabeza fue descubrir los Mac OS X que estén directamente conectados a Internet y que se encuentren como los Windows 98 y Windows Me, es decir, compartiendo las carpetas para todo el mundo en Internet.
Normalemte la gente escanea los recursos compartidos SMB, pero en esta ocasión decidí escanear las carpetas compartidas por AFP, es decir, el protocolo de compartición de archivos por red de Apple. AFP utliza el puerto 548, así que, para descubrir si hay equipos expuesto, basta con realizar un sencillo escaneo con nmap en rangos de operadoras en España y listo.
Figura 2: Escaneando redes con nmap en busca de AFP
Sorprendentemente, el número de equipos que apareció con la compartición de archivos habilitada para Internet es mucho mayor de lo que me pude imaginar al principio.
Figura 3: AFP habilitado para Internet
La conexión a los recursos
Estuve buscando un cliente AFP para Windows que me permitiera explorar los recursos compartidos en un Mac OS X a partir de una dirección IP, pero no encontre la herramienta que me satisfaciera, así que, nada, basta con utilizar un Mac OS X y buscar las carpetas, a ver que pasa.
En algunos no hay suerte, pero podemos descubrir información del equipo y siempre se puede esperar que no tengan actualizado el protocolo AFP.
Figura 4: Mac OS X con carpetas compartidas en Internet pero protegida
En otros, la cosa es bastante más sencilla, porque está habilitado el usuario Invitado, como en los Windows antaño.
Figura 5: Usuario invitado habilitado
Y basta con sentirse como tal, es decir, como un invitado, y entrar al equipo.
Figura 6: Carpetas compartidas en ese equipo
El número de equipos así es alto, y te puedes pasar el día de fiesta en fiesta, de "invitación en invitación".
Figura 7: Usuario invitado habilitado de nuevo
Y dentro, las carpetas compartidas:
Figura 8: Dos carpetas compartidas
Y dentro, pues lo que compartan, en este caso películas. ¿Llamamos a la SGAE o por tener Road Trip merece algo peor?
Figura 9: Contenido interno
¿A quién le recuerda esta situación a la época de los c$ compartidos en Internet?
Saludos Malignos!
No, no me refiero a los que saben manejar el equipo, sino a todos aquellos que han comprado eso de que si tienes Mac OS X no te tienes que preocupar de malware, de troyanos, de ataques, etc... Debido a esto, es común encontrarse equipos Mac OS X sin antivirus, antimalware y lo peor, con usuarios confiados de que están a salvo sólo por comprarse un Mac Book Pro.
Así, después de ver que el 22% de las vulnerabilidades estaban sin solución, según Secunia, y tras ver que ya estaba en muchos kits de infección, como Black Hole o Eleonore, esto debía ser una fiesta.
Así que nada, aprovechando que estoy en un hotel y en unas conferencias donde hay muchos usuarios con Mac OS X, vamos a ver la preocupación que hay por posibles ataques en sus equipos.
Descubrir Mac OS X en la red local
Para descubrir los Mac, lo más sencillo es mirar las direcciones Mac del Mac. Sí, parece un trabalenguas, pero es tan fácil como que la mayoría del hardware Apple usa tarjetas de red fabricadas por ellos, así que basta con mirar la dirección MAC y mirar el fabricante. Para no complicarme, un escaneo con Cain y listo.
Figura 1: Equipos Apple conectados en la red local
Descubrir Mac OS X en Internet por AFP
Otra de las cuestiones que se me vino a la cabeza fue descubrir los Mac OS X que estén directamente conectados a Internet y que se encuentren como los Windows 98 y Windows Me, es decir, compartiendo las carpetas para todo el mundo en Internet.
Normalemte la gente escanea los recursos compartidos SMB, pero en esta ocasión decidí escanear las carpetas compartidas por AFP, es decir, el protocolo de compartición de archivos por red de Apple. AFP utliza el puerto 548, así que, para descubrir si hay equipos expuesto, basta con realizar un sencillo escaneo con nmap en rangos de operadoras en España y listo.
Figura 2: Escaneando redes con nmap en busca de AFP
Sorprendentemente, el número de equipos que apareció con la compartición de archivos habilitada para Internet es mucho mayor de lo que me pude imaginar al principio.
Figura 3: AFP habilitado para Internet
La conexión a los recursos
Estuve buscando un cliente AFP para Windows que me permitiera explorar los recursos compartidos en un Mac OS X a partir de una dirección IP, pero no encontre la herramienta que me satisfaciera, así que, nada, basta con utilizar un Mac OS X y buscar las carpetas, a ver que pasa.
En algunos no hay suerte, pero podemos descubrir información del equipo y siempre se puede esperar que no tengan actualizado el protocolo AFP.
Figura 4: Mac OS X con carpetas compartidas en Internet pero protegida
En otros, la cosa es bastante más sencilla, porque está habilitado el usuario Invitado, como en los Windows antaño.
Figura 5: Usuario invitado habilitado
Y basta con sentirse como tal, es decir, como un invitado, y entrar al equipo.
Figura 6: Carpetas compartidas en ese equipo
El número de equipos así es alto, y te puedes pasar el día de fiesta en fiesta, de "invitación en invitación".
Figura 7: Usuario invitado habilitado de nuevo
Y dentro, las carpetas compartidas:
Figura 8: Dos carpetas compartidas
Y dentro, pues lo que compartan, en este caso películas. ¿Llamamos a la SGAE o por tener Road Trip merece algo peor?
Figura 9: Contenido interno
¿A quién le recuerda esta situación a la época de los c$ compartidos en Internet?
Saludos Malignos!
1.- No deberías publicar las direcciones MAC completas (deberías borrar la segunda mitad).
ResponderEliminar2.- Hoy en día es poca la gente que está conectada directamente a Internet como antaño (aunque sigue habiendolos, por supuesto).
3.- Lo de que cualquiera pueda escribirte en la carpeta pública es una de las cosas que más me mató del mundo Apple cuando llegué.
4.- Te recomiendo encarecidamente que eches un vistazo a los "troyanos" en Mac. Son cutres, pero super-efectivos.
He de discrepar.. estas exponiendo una idea totalmente subjetiva sobre la seguridad de Mac OSX basandola en encontrar un equipo que comparte una carpeta con cuenta invitado. Que ademas no es c$ es la carpeta publica de usuario no su $home. Seria como hablar de la inseguridad de Windows porque alguien habilita el uso compartido de su carpeta publica. La inseguridad o vulnerabilidad existe a nivel usuario, pero como has probado es solo un usuario por lo que no puedes generalizar. Mas que una entrada en tu blog parece un flame.
ResponderEliminar@Anonimo, después de pasar nmap como a 500 segmentos de red tengo una buena cantidad de equipos que las comparten, pero para el artículo me ha parecido suficiente con mostrar 3 ejemplos. Si quieres más, he puesto el comando nmap. Elije tu los rangos.
ResponderEliminarSaludos!
Y la metáfora del C$ es eso, una metáfora. Uno que se levanta literato de vez en cuando.
ResponderEliminarSaludos!
Muy interesante desde luego, esto demuestra una vez más (desde mi punto de vista) que la mayor falla de seguridad en un equipo se encuentra siempre entre la silla y el teclado, tener actualizado el S.O. y no compartir nada por defecto creo que ya te quita un porcentaje muy muy alto, y al igual que en windows las puertas traseras normalmente se encuentran en cosas que la gente no hace bien como no actualizar software etc por loq ue pienso que con unas minimas pautas de seguridad se puede estar más o menos tranquilo
ResponderEliminar@anónimo, de Lorenzo de Sbd, en su twitter.
ResponderEliminarhttp://twitter.com/lawwait/status/27074005210
Saludos!
Se debería haber llamado usuarios inocentes, independientemente del sistema operativo usado no es así?
ResponderEliminarLo demostrado es que aun existen usuarios que usan directorios públicos compartidos sin seguridad para intercambiar datos. Es completamente irrelevante las vulnerabilidad del so usado para lo que has demostrado.
Una pista, estoy en el mismo hotel
Saludos varios,
Karlos
@anónimo del hotel, (guiño, guiño). La pena es que parece que es por defecto así.
ResponderEliminar}:))
Añadir que muchos discos duros en red usan AFP (además de Samba, web y ftp) con directorios públicos o directamente no cambian las contraseñas por defecto.
ResponderEliminarBuenas tardes / noches Chema,
ResponderEliminarTe has pasado viendo las MAC (muy mal por publicarlas) yo diría que se tratan de iMacs y las geoposicionaria en un hotel en Lima, Perú. =)
Saludos,
Leo
Para los que os quejáis de que se han posteado MACs aquí van un par para que os horrizeis:
ResponderEliminarFA:BA:DA:FA:BA:DA
CA:FE:CA:FE:CA:FE
Buen hacking.
Ale, macs fuera...
ResponderEliminarCreo que he localizado los aparatos aquí y tienen sorpresa.......
ResponderEliminarhttp://img524.imageshack.us/img524/5130/63589860.jpg
Veanlo en la siguiente entrega.
Saludos varios,
Karlos
Entre los imacs de "anónimo" sale un bicho raro en el medio. Debe ser un virus... ah no, es el famoso "man in the middle!!"
ResponderEliminarun saludo,
chencho
gracias esta entrada está bastante intesante/maligana ;).
ResponderEliminarDesactivar invitados AFP: sudo defaults write /Library/Preferences/com.apple.AppleFileServer \ guestAccess -bool no
ResponderEliminarDesactivar invitados SMB: sudo defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server \ AllowGuestAccess -bool no
Facilmente verificable:
AFP: defaults read /Library/Preferences/com.apple.AppleFileServer guestAccess
SMB: defaults write /Library/Preferences/SystemConfiguration/com.apple.smb.server \
Un saludo,
Y si se quiere ser mas restrictivo:
ResponderEliminarDesactivar AFP:
sudo launctl unload -w /System/Library/LaunchDaemons/com.apple.AppleFileServer.plist
Desactivar SMB:
sudo defaults delete /Library/Preferences/SystemConfiguration/com.apple.smb.server \ EnabledServices
Descargar demonio SMB:
sudo launctl unload -w /System/Library/LaunchDaemons/nmbd.plist
sudo launctl unload -w /System/Library/LaunchDaemons/smbd.plist
Ademas, ya hemos encontrado el problema, eran imacs... con ¡¡¡ Windows !!!!
ResponderEliminarVease la graciosa imagen : http://img268.imageshack.us/img268/7264/imacwindows.jpg
Saludos,
Leo
Por tu cumpa me hicieron el ataque hasselhof 2.0 y me desactivaron el cambio de fondo de escritorio
ResponderEliminarEl problema que tiene MAC es que una buena parte de sus usuarios es gente dedicada al mundo del diseño, audiovisual, y mierdas similares, y por tanto su manera de trabajar es todo lo contrario a la seguridad. Luego existe otro gran grupo de usuarios de MAC que son Snob a los que les gusta su diseño...
ResponderEliminarEl usuario Windows ya está acostumbrado a sufrir, por eso se ven equipos medio actualizados, antivirus en todo equipo, y mínima capacidad para no abrir cualquier mierda que te mandan.
Por el contrario el usuario MAC asume que como no le afectan los virus para windows, el puede abrir cualquier cosa, hacer lo que le sale del pito, no actualizar el SO porque sinó se me jode el photoshop pirata, y no usar antivirus... porque los antivirus en MAC no sirven para nada xD
Pero vamos, como bien sabes usuarios cenutrios los hay en ambos lados.
te mandan un poco de odio desde esa comunidad de expertos en seguridad que es menéame: http://www.meneame.net/story/usuarios-mac-os-x-comparten-c/voters
ResponderEliminarNo tienes alguno esbirros de Spectra que mandarles ;P
Un saludo y todo mi respeto y admiración,
Lo más curioso del artículo, es la defensa a ultranza de los usuarios de Apple, en los comentarios del foro......un usuario de Mac, lo defiende más que a su madre....
ResponderEliminarBásicamente lo que ocurre en un equipo siempre es culpa del usuario. Si el usuario es cenutrio (y de estos en el mundo mac hay muchos) pues peor.
ResponderEliminarAhora bien, si cogemos varios ordenadores nuevos, así, pelaos, "out of the box", recién instalado el sistema operativo y nada más, y hacemos un ranking de equipos seguros nunca encontraremos windows en los primeros puestos.
Sin que un usuario le ponga las zarpas encima siempre windows anda por detrás de Linux y mac en seguridad.
@anónimo, esa afirmación de que Windows out of the box es más inseguro que Mac OS X es digna de un tecnicoless. Mac OS X lleva el 22% de las vulnerabilidades de este año sin parchear. Linux lleva otra buena jartá (no te pongo ninguna estadística pq depende de distro), pero... dime: En base a que dices eso de que Windows es peor? Cuanto de peor y en qué unidad?
ResponderEliminarEstadísticas Mac OS X 2010
Saludos!
Kuñao... así que el diseño, la música y el video son "mierdas similares". Imagino una vida muy pobre al que no consuma ninguna de estas "mierdas".
ResponderEliminar¿Que es estar conectado directamente a Internet?
ResponderEliminarEstoy viendo la foto de "ese personaje entrañable al que todos amamos" entre los dos iMac y estoy llorando de risa.
ResponderEliminar¿Has hablado con él? Le mando un correo :D
Por otro lado, ¿a estas alturas todavía tenemos fanatismos y forofismos absurdos? Que los tuxies ya pasaron su etapa de afirmar con rotundidad lo "invulnerables" que son los linux y son de las plataformas más reventadas (lo dicen las estadísticas)... que los Macs no son Aquiles (salvo por el talón famoso).
Sí, el usuario puede ser inocente o no tener conciencia, sí. Pero la plataforma también tiene culpa eh.
Que soy usuario de Mac OSX y me da el mismo miedo exactamente que un Windows XP, para qué engañarnos :D
@Román Ramírez... está enterado, está enterado }XD
ResponderEliminarEstimado, tiene por ahi algun cliente AFP para windows?
ResponderEliminarnecesito uno ya que el explorador de windows no sirve porque los puertos smb estan bloqueados pero los afp no.
me seria de mucha ayuda si me contaras.
gracias.
amigo, tiene por ahi algun cliente AFP para windows, me seria de gran ayuda ya que el explorer de windows no me sirve porque los puertos estan bloqueados, si usted tendria uno por ahi, me seria de gran ayuda.
ResponderEliminarGracias