jueves, septiembre 05, 2013

La NSA prefiere hackear routers y switches para espiar(te)

No sé ni cuantas veces he visto conferencias de hacking de routers, switches, cámaras de vídeo-vigilancia o impresoras.... y yo he llegado a jugar hasta con sensores de temperatura. Todas ellas tienen al final algunas conclusiones similares peros las más importantes quizá desde el punto de vista de seguridad son: 
1) Son sistemas operativos completos con muchas funcionalidades
2) Están dentro de tu red
Es cierto que el sistema operativo que funciona en una cámara de video-vigilancia o un switch de red no es un Controlador de Dominio de la red, pero en él se pueden ejecutar sniffers de red, servidores web, bases de datos, programas de hacking para hacer ataques de red en IPv4 & IPv6, etcétera, etcétera, etcétera.

En segundo lugar están dentro de la red de la organización, con lo que ofrecen el punto de apoyo que pedía Arquímedes para mover el mundo pero para capturar e interceptar todas las comunicaciones de red que se producen desde todos los sistemas informáticos que se encuentran allí.

Teniendo esto presente, según revela un artículo en el Washington Post, los espías de la NSA decidieron que la mejor forma de espiar el mundo era mediante el hackeo de los dispositivos de red de las empresas, para que desde allí tomar control del resto del sistema.

Figura 1: Artículo en Washington Post explicando el proyecto de Black Budget

Según un memorandum interno filtrado por Edward Snowden, el hacking de los dispositivos de red tiene muchas más ventajas que pueden ser aprovechadas para colarse dentro de una red:
- Desactualizados: Por desgracia es cierto que dentro de las empresas el plan de actualización de software no se toma tan en serio con los dispositivos de red como con los equipos informáticos, por lo que suelen encontrarse con vulnerabilidades conocidas
- Contraseñas por defecto: El número de dispositivos que se encuentran con contraseñas por defecto es altísimo. Esto se basa muchas veces en la creencia de que no hay conexión desde fuera, lo que permite tomar el control de ellos fácilmente. En el artículo de Explorando una DMZ desde un servidor Citrix se puede ver claramente. 
- Backdoors de fábrica: Aunque parezca raro, muchos de los fabricantes crean usuarios secretos dentro de los dispositivos con capacidades de administración. Ejemplos de ellos hay cientos, pero os dejo como ejemplo el backdoor de super usuario descubierto en el Proyecto Fin de Master de la UEM sobre la seguridad de cámaras de vídeo vigilancia.

Figura 2: Ejemplo de Backdoor en Vídeo Cámara TelnetVid

- Faltos de auditoría de seguridad real de fábrica: Mientras que a los productos de software se les suelen hacer auditorías de seguridad robusta, a los sistemas que se implantan en los dispositivos de red de gama baja no suelen hacerse tan exhaustivas. Caso de ejemplo, la aparición de 0days como el que se publicó en el libro Hacker Épico en las cámaras de vídeo vigilancia que permite sacar las passwords remotamente
- Falta de fortificación del dispositivo: Así como en el software de escritorio existen políticas corporativas que marcan cómo debe instalarse un equipo en la red, en el caso de los dispositivos no se hace de forma tan estricta por lo que es fácil que aparezcan con IPv6 instalado y sin configurar, con portales web desprotegidos o con servicios SNMPv1 o SNMPv2 sin ninguna seguridad
- Sin software de seguridad: Mientras que los equipos de escritorio cuentan con soluciones antimalware para la protección de ataques o exploits - al menos algo hacen - en el resto de dispositivos de red nunca se ha pensado en poner ese tipo de medidas de forma extendida. Esto hace que sea más fácil usar cualquier herramienta e instalar cualquier software. 
- Sin monitorización: Muy pocas son las empresas que tienen una monitorización completa de todo lo que está pasando en todos los dispositivos conectados a la red de la organización. Es cierto que routers o switches de gama alta en empresas medianas y grandes son monitorizados, pero no suele monitorizarse la totalidad de los dispositivos que se conectan, entre otras cosas porque muchos de los equipos carecen de esas funcionalidades.
Todo esto fue tenido en cuenta por la NSA, y desde el año 2011 han estado hackeando y controlando todos los dispositivos que han podido, manejando equipos en redes de todo el mundo, especialmente en China, Rusia ... y países amigos.

Si estás gestionando una red, o llevando la política de seguridad de una organización, revisa todas estas cosas, ya que además muchos de estos dispositivos salen haciendo un poco de hacking con buscadores en sitios como Shodan, lo que te hace estar más expuesto aún.

Saludos Malignos!

3 comentarios:

  1. Wou es impresionante lo que hacen hoy en dia.
    todo para espiar .

    Buen Post Saludos

    ResponderEliminar
  2. No hace falta nada de eso.

    Como puedes leer en el siguiente artículo:

    http://cryptome.org/nsa-sabotage.htm

    La NSA lleva años forzando a los exportadores de hardware y software estadounidenses a que rebajen su seguridad o que incluso introduzcan bugs a propósito para facilitarles el acceso a ellos en caso de necesidad.

    Es decir, que tanto a nivel de protocolos de Internet como a nivel del hardware de red, existen con seguridad "ventanas" que la NSA puede emplear.

    Pero los datos que le interesan los puede coger directamente de los "cables" de la Red. Basta con tener unas sondas en los intercambiadores suficientes y podrían reunir todo el tráfico de Internet. Si no os lo creéis, echad un vistazo al proyecto TEMPORA de los británicos o al Sintel de nuestra querida España. El de los británicos es capaz de retener todo el flujo de Internet de tres días. Casi nada.

    Así que... para qué entrar en nuestros routers? Claro, en caso de necesidad lo pueden hacer con la gorra.

    ResponderEliminar
  3. muy buenas majo:

    ¿Podrias hacer algún tutorial de con que herramientas proteger nuestras comunicaciones ante "agentes externos" que nos roben datos de nuestras conexines con ataque de esos Man In the Midle y demas cosas de las que hablas en tu blog?

    ResponderEliminar