Uno de los proyectos más interesantes que se presentaron en el Master de Seguridad de la UEM de este año lo dirigió Alejandro Ramos "Dab", sobre la fortificación de kioscos interactivos por medio de una herramienta llamada F*CKTool. La idea es dejar un equipo en un punto de venta o información lo más robusto posible, para que no pase lo de esta historia.
La pelicula es que unos anónimos se encontraron con un nuevo punto de información en nuestra querida y concurrida Estación de Atocha. El punto de información tiene el sugerente mensaje de "Utilízame", así que suponemos que todo lo que sea usar la máquina está totalmente consentido por los tipos que ponen el equipo.
Nuestros queridos amigos, lo primero que hicieron fue, evidentemente, ponerse el escritorio cómodo, así que nada, a cambiar el escritorio y dejarlo fetén de la muerte con el gran David Hasselhoff allí puesto.
Figura 1: Utilizando a gusto el punto de información
Una vez configurado el fondo como mandan los cánones de la buena estética, el siguiente paso fue revisar los documentos del pérfil. Curiosamente el perfil pertenecía a un usuario llamado Dani (como se puede ver en la carpeta creada en elescritorio), que solo tenía dos archivos para cambiar la clave de Windows XP. La clave se pone con un bonito script descargado de la web principiantes.info.
Figura 2: Software de cambio de claves desde principiantes.info
Suponemos que la empresa tendrá registrados todos los números de serie corporativos que está implantando Dani en todos los puntos de infomación, porque sería muy feo que usara serials de Internet para ello.
Además de esto, el equipo tenía instalado un bonito software de control remoto con licencia gratuita de uso no comercial. Esto significa que no se puede utilizar en empresas, ¿no?
Figura 3: Software de control remoto con licencia no comercial
En fin, que para que no te pase esto, dale un vistazo a F*CKTool, aunque creo que Atocha quedó mucho mejor decorada con las fotos de David "The Man" Hasselhoff.
Saludos Malignos!
La pelicula es que unos anónimos se encontraron con un nuevo punto de información en nuestra querida y concurrida Estación de Atocha. El punto de información tiene el sugerente mensaje de "Utilízame", así que suponemos que todo lo que sea usar la máquina está totalmente consentido por los tipos que ponen el equipo.
Nuestros queridos amigos, lo primero que hicieron fue, evidentemente, ponerse el escritorio cómodo, así que nada, a cambiar el escritorio y dejarlo fetén de la muerte con el gran David Hasselhoff allí puesto.
Figura 1: Utilizando a gusto el punto de información
Una vez configurado el fondo como mandan los cánones de la buena estética, el siguiente paso fue revisar los documentos del pérfil. Curiosamente el perfil pertenecía a un usuario llamado Dani (como se puede ver en la carpeta creada en elescritorio), que solo tenía dos archivos para cambiar la clave de Windows XP. La clave se pone con un bonito script descargado de la web principiantes.info.
Figura 2: Software de cambio de claves desde principiantes.info
Suponemos que la empresa tendrá registrados todos los números de serie corporativos que está implantando Dani en todos los puntos de infomación, porque sería muy feo que usara serials de Internet para ello.
Además de esto, el equipo tenía instalado un bonito software de control remoto con licencia gratuita de uso no comercial. Esto significa que no se puede utilizar en empresas, ¿no?
Figura 3: Software de control remoto con licencia no comercial
En fin, que para que no te pase esto, dale un vistazo a F*CKTool, aunque creo que Atocha quedó mucho mejor decorada con las fotos de David "The Man" Hasselhoff.
Saludos Malignos!
Me da a mi que los "anónimos" son discípulos tuyos porque ese salvapantallas me suena mucho de verlo por aquí... ;)
ResponderEliminarSe te ha colado un metadato, las pulseras no las quita el MetaShield Protector...
ResponderEliminarVaya con los paneles de Atocha! no me fijé en ellos :O
ResponderEliminarJa, ja, ja, provocador en todos los sentidos, y me refiero a la máquina, al artefacto ese, no al menda man. Es chapucero, insólito.
ResponderEliminarOs aseguro que estaba asimilando la información con la boca abierta.
Im presionante.
Esto paso hace tiempo en Zamora y no veas que risas.http://www.elmundo.es/elmundo/2009/05/29/castillayleon/1243585814.html
ResponderEliminarPero en serio es tan sencillo "abrir" un kiosko de esos?? es decir, llegas, te colocas delante y haciendo (no se que) tienes acceso al SO completo?? sin mas seguridad?? yo flipo.
ResponderEliminarPD: le acabo de hacer el ataque DH al informático nuevo que empezaba hoy, se ha chinado, que poco humor...XD
Esta igual de joven
ResponderEliminarhttp://www.elpais.com/articulo/cultura/David/Hasselhoff/Soy/icono/cultura/americana/elpten/20110718elpepucul_5/Tes
En el blog de Blueliv podéis ver un pequeño ataque a uno de estos kioscos
ResponderEliminarhttp://bluelog.blueliv.com/hacking/de-como-evadir-las-restricciones-de-seguridad-establecidas-en-un-kiosko-2/
@chemaalonso David está en Madrid, puedes ir a pedirle un autógrafo, que con todo lo que hablas de él seguro que le hace ilusión. Además, luego puedes usar la foto firmada para ponerla en algún sitio de fondo de pantalla.
Un saludo
jaja ¡qué risas! Gracias por la referencia!! ;-)
ResponderEliminar