sábado, noviembre 20, 2010

Y lo que me he ahorrado...

El tema de las cámaras de vigilancia está ya manido. De él se ha hablado ya muchas ocasiones y en todas sus vertientes. Es un tema delicado pues atañe a la seguridad y la protección, pero al mismo tiempo a la privacidad de las personas. Aún así, a día de hoy, es posible encontrar a empresarios que se ahorran la pasta en buenos profesionales de la materia y deciden hacer chapuzas como este ejemplo.

¿Quién quiere un profesional técnico?

A nivel técnico la chapuza es, cuanto menos curiosa. Por supuesto, la cámara se encuentra "oculta" por el puerto 81, ya sabéis, el Well-Known de las camaras de seguridad. Eso no sería mayor inconveniente si la contraseña no estuviera guardada, por defecto, en el interfaz. Es decir, no es necesario ni adivinar, ni saber, ni escribir ninguna contraseña. Símplemente entrar.


Figura 1: La contraseña está cacheada en el intefaz

¿Quién quiere un profesional legal?

En los cursos de certificación de la D-Link Academy centrados en Cámaras de Vídeo Vigilancia, se hace también hincapié en cómo deben ser colocadas las cámaras de seguridad en una determinada ubicación para no estar incumpliendo ninguna de las leyes. Una de ellas, por supuesto, es que no se debe grabar la calle, y mucho menos sin que las personas lo sepan.


Figura 2: La cámara enfoca la calle

En la imagen de la cámara se puede ver que se está enfocando a la calle en una porción del espacio. He tomado la captura a una hora en la que la tienda aún está cerrada, no hay mucha iluminación y el cierre está bajado, pero aún así se observa que está a pie de calle y que por la puerta circulan paseantes.

En suma, con estas dos pifias, ¿cuánto le podría salir la broma a este empresario si hubiera una denuncia de por medio? A lo mejor sale más barato contratar profesionales de verdad, ¿no?

Saludos Malignos!

18 comentarios:

  1. Al que le puede salir caro es a ti, Chema. Se lo dije a los asistentes al acto de Pamplona: con la reforma del Código Penal que entra en vigor el 23 de diciembre de este año, estas cosas tan educativas que haces (y lo digo sin ironía) van a ser consideradas un delito tipificado en el artículo 197 del Código Penal. Basta con que uno de los afectados te denuncie (o que sean muchos, y se actúe de oficio), para que te veas en serios problemas. Problemas como que la policía entre en tu chiringuito, requise todos los ordenadores y te lleve detenido.

    Sinceramente, me parece una barbaridad, y es que me parece que la reforma del CP se ha hecho con el culo. Pero está como está, y en esos términos, hackeos como este, o alguna de tus "sangrías" en WiFis compartidas te pueden causar serios problemas legales.

    ResponderEliminar
  2. @Ender, aquí no he hackeado nada.... sólo he visitado una web que tenía un botón... ¿esto es un hack?

    ResponderEliminar
  3. Quizás éste de hoy no sea el mejor ejemplo. Pero el rastreo de webcams del otro día, entrando con sus passwords por defecto; las "razzias" en las WiFis desprotegidas que has contado alguna vez, o, lo que más me jode ;-), la captación de datos de usuarios MacOSX de hace no mucho... Te aseguro que esos ejemplos son de libro.

    ResponderEliminar
  4. Es que estaba pendiente de hablarlo contigo, el otro día no pude quedarme a la mesa redonda en Pamplona, y no encontraba tiempo para escribirte un e-mail. Hoy, al abrir el lector RSS para desayunar, me encuentro este post, así que ya no lo podía dejar pasar.

    ResponderEliminar
  5. Quizás éste de hoy no sea el mejor ejemplo. Pero el rastreo de webcams del otro día, entrando con sus passwords por defecto; las "razzias" en las WiFis desprotegidas que has contado alguna vez, o, lo que más me jode ;-), la captación de datos de usuarios MacOSX de hace no mucho... Te aseguro que esos ejemplos son de libro.

    ResponderEliminar
  6. Uyyy Chema, ya te veo pasando por la comisaría todos los días jajajaja!!!

    Chema, a partir de ahora todas las pruebas que hagas van a tener que ser sobre máquinas en donde te conozcan jajaja!!! Sino a chirona :)

    ResponderEliminar
  7. Gracias Chema!

    He probado por las IPs de mi ISP de la provincia y es peor todavia...hay ciertas camaras que no tienen ni user/pass.

    Metes las ip:81 y estas dentro.

    Un saludo!

    ResponderEliminar
  8. ni puto caso a ender maligno ;).
    Paz y amor que hace un bonito sabado.

    salu2

    ResponderEliminar
  9. Opino lo mismo, aunque Ender puede tener razón... los temas legales en la seguridad informática tienen lados positivos como lados negativos, como este, que por un tema de educación y una visión a la realidad, podrían encerrarte. Me parece absurdo que una persona que investiga, estudia, enseña y concientiza a la gente, tenga que pasar un proceso judicial porque a los dueños no les gusta que se sepa de su baja inversión en seguridad informática.

    A ver diles a los evangelistas del cambio climático que es un delito lo que hacen por mostrar tan sólo la realidad mundial... es lo mismo con esto, se intenta mostrar la realidad mundial, en este caso, la estupidez mundial de muchos.

    ResponderEliminar
  10. Entonces entiendo que si publicas los "hackeos" sin mostrar a quien se lo haces no pasaría nada pues nadie sabría si denunciarte porque era él la víctima/ejemplo o no, ¿correcto?

    ¿Que ocurriría si los artículos/post se hicieran sin imágenes? Podrías intentar enfocarlos de una forma teórica diciendo que has hecho POCs y funciona y tampoco sería delito, ¿no? O aunque te denunciaran tirar de la típica defensa de "No yo me estaba tirando un farol, en realidad eso no se hacerlo/no lo hice".

    Vaya mal rollo :S!...

    ResponderEliminar
  11. Precisamente los políticos a día de hoy quieren evitar que la gente aprenda, que vean cómo son las cosas en realidad y que piensen.

    Por eso cada día la educación es peor y se legisla en contra de la libertad de expresión :).

    A tirar de anonimato y a hacer lo que dice Luis, sin dar imagenes ni referencias, todo en un ámbito muy "teórico" o basandote en un "laboratorio de pruebas" hipotético.

    Un saludo y buen blog :)

    ResponderEliminar
  12. Lo cierto es que el profevisional también podría haberse leído la Guía de Videovigilancia de la AEPD https://www.agpd.es/portalwebAGPD/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf , de entretenida lectura y con ilustraciones al principio y al final, y un bonito indice con amarillo sobre blanco.
    No creo que haga falta ningún tipo de certificación para instalar una cámara de seguridad; solo sentido común, leerse los requisitos de obligado cumplimiento, e intentar ser mas técnico que less!

    ResponderEliminar
  13. @Ender: para no tener tiempo en enviarle un mail, has perdido el culo para escribir ese comentario inadecuado y fuera de lugar.

    Y como has dicho tu mismo, hoy no era el mejor ejemplo. Das impresión de tener mucho rencor contenido (y eso solo produce llagas).

    Anna

    ResponderEliminar
  14. Habrá q pedirle a €dans que nos ayude, parece que es el único al que le escuchan los politicuchos estos que tenemos.

    ResponderEliminar
  15. Ostia! un abogao!

    No me imagino el entrenamiento de los bomberos sin fuego, por más que esté prohibido encender fuego..

    Casi mas vale entonces que el de WikiLeaks no pise España, no vaya a ser que lo enchironen por publicar la receta oficial del gazpacho..

    En fin Chema, paciencia..

    Saludos!

    Wi®

    ResponderEliminar
  16. Hola señor Maligno, recién descubro tu existencia y me da rabia no haberlo hecho antes.

    Llevo días revisando los retoHackings (sin mirar las soluciones). Voy compaginándolos con un curso de cajón flamenco online que estoy siguiendo... mientras aporreo la madera voy engendrando ideas ¡lo recomiendo!

    Queriendo ser bien nacido, me daba cosa leerte (cuatro años dan para mucho) sin agradecértelo.

    La informática siempre ha sido cosa, y caso, de gurús y discípulos. Si vosostros dejáis de postear, las multinacionales se llevan el gato al agua. Y nosotros, uniformados, nos convertimos en transmisores del pensamiento único.

    A tus pies, señor del lado del mal...

    Martín Santomé.

    ResponderEliminar
  17. Ender, el tema de divulgar las fotos de las webcam SÍ incumple el 197 de la Ley Orgánica 10/1995 en sus puntos 1 y 3. La exploración de las redes para verificar puertos 81/TCP abiertos o los AFP de MAC OS/X NO lo incumple, tampoco se incumple al visualizar los discos del usuario, pero SÍ si se copia o difunde la información o se modifica/borra algún archivo de esos usuarios de MAC.

    ResponderEliminar
  18. Nada, si tienes suerte en comisaría tienen camaras con el mismo panorama y te dejan libre si les haces un apaño a su seguridad ;)

    ResponderEliminar