lunes, enero 27, 2014

Shodan: Proyectores, WebCams y Backups de vidas online

Uno de los buscadores que es fundamental cuando se practica el hacking con buscadores es Shodan y por eso en el libro se le dedica una parte importante del mismo a explicar los conceptos que subyacen. Yo lo tengo siempre presente, como el protagonista del libro de Hacker Épico, que en un momento crítico de la historia consigue no perder la pista de los malos tras ser capaz de encontrar un 0day en un sistema ayudado por Shodan... pero para saber cómo hace eso el protagonista deberás leer la historia.

En mi caso, yo he usado Shodan para muchas cosas, como para jugar con las passwords por defecto de muchos sistemas que dejan hacer prácticamente de todo, para localizar servicios de VoIP en Internet que puedan ser vulnerables o que estén mal configurados, para encontrar portales de administración de sistemas de control industrial, para colarse en termostatos, para localizar páginas web con Applets Java, para buscar servidores SNMPv2 y llegar hasta sacar las passwords de la línea de comando con la que se ejecutaron los programas sacando la lista de procesos, para encontrar servidores con métodos inseguros para meter una shell en una web con un método PUT, servidores de almacenamiento XServe de Apple inseguros.

Figura 1: Lista de procesos de un ps con su línea de comandos sacada vía SNMP

Recuerdo que cuando empecé con Shodan me maravilló el que fuera posible hasta descubrir y conectarse a terminales iPhone con jailbreak y servidores web o meterse dentro de un dispositivo con Windows CE para ver qué hay por allí.

Sin embargo, lo que más me gusta de John Matherly es que siempre está dando una vuelta de tuerca más al proyecto. Ya tiene aplicaciones para que puedas usar Shodan desde el iPhone o el iPad, añadió hace tiempo la búsqueda de exploits, y la búsqueda por comandos html que ya tantas veces he estado usando para localizar portales de todo tipo, y sigue añadiendo nuevas cosas.

Figura 2: Area de Developer de Shodan

En el último vistazo que le he pegado al sitio he podido ver - necesitas tener una cuenta de Shodan de las gratuitas para ver estas áreas - que en la parte de Developer ahora tiene un módulo de integración por medio de transformadas para Maltego que sacó hace tiempo, así que si usas Maltego vas a poder conectarte - igual que se hace con FOCA - al sistema Shodan para lanzar las transformadas de búsqueda.

Figura 3: Transformadas de Shodan para Maltego

También tiene un módulo que permite ver los resultados que Shodan va devolviendo en tiempo real, lo que te puede tener entretenido un buen rato a ver qué se caza al vuelo. Yo reconozco que me pasé unos veinte minutos viendo qué iba circulando por allí y descubriendo cosas como que la gente pone sus discos de backup de iOmega online sin poner ninguna contraseñas.

Figura 4: Una NAS de iOmega en Internet sin protección de password alguna

O que configura Android WebCam Servers conectados a Internet para vigilar zonas de sus casas sin necesidad de ninguna contraseña, lo que deja abierta otra puerta a terminar con la intimidad de la vida de la gente solo por probar estas tecnologías sin preocuparse de la seguridad.

Figura 5: Android WebCam servers para vigilar zonas

Otra de las cosas que tiene desde hace tiempo, es la de catalogar cuáles son las búsquedas más populares dentro del sistema. Allí, por supuesto, se encuentran las que tienen que ver con Webcams, routers, switches y passwords por defecto. Esta catalogada también la de meterse en los sistemas domóticos como Cortexa con sus passwords de fábrica y un montón de ellas más, lo que ha generado una buena base de conocimiento para cualquier pentesting externo que se haga a una red.

Yo me pasé un rato por allí viendo qué cosas raras buscaba la gente, y la verdad es que hay de todo, pero me llamó la atención una que no se me había ocurrido nunca: Colarse en los proyectores de vídeo de las salas de reunión de las empresas. La consulta es bastante sencilla, y devuelve un montón de proyectores de Sony que se encuentran dentro de las empresas. La password por defecto de estos sistemas es fácil de localizar - como todas, se encuentra en los manuales de instalación de los productos, así que no es rocket science para nada -.

El panel del administración web le permite a cualquiera jugar con la configuración y enredar. No se puede ver lo que se está proyectando, aunque sí que se puede elegir el punto de entrada, ver y configurar la red, la conexión de correo electrónico y los puertos de los servicios.

Figura 6: Panel de control de un Proyector Sony

Viendo estos proyectores enchufados a la red de las empresas es imposible no recordar las filtraciones sobre que la NSA prefería tomar control de la electrónica de red antes que los servidores de la organización, ya que allí no suele estar el software actualizado, las medidas de seguridad suelen ser más laxas - contraseñas por defecto, no firewall, no antivirus, no supervisión de los mismos, etc.. -, y por supuesto están conectados a la red interna.

En mi cabeza las preguntas eran ¿estará la NSA tomando control también de estos dispositivos? ¿Aparecerá algún programa que explique cómo toman el control de la red a partir de un producto creado por ANT para explotar un bug en proyectores? ¿Tendrá una puerta trasera en ellos? Yo, como ya soy un poco paranoico apuesto a que algo veremos.

Figura 7: Configuración de puertos y protocolos de comunicación en proyectores SONY

En cualquier caso, si tienes un proyector de estos con conexión de red revisa las configuraciones, los puertos, los usuarios por defecto, las passwords, etcétera. Si te dedicas a seguridad o quieres hacerlo, ya sabes que ser un máster con el hacking de buscadores y Shodan te puede ayudar a encontrar la llave que te de acceso al éxito en el test de intrusión. Por supuesto, Shodan se utiliza como parte fundamental en FOCA para hacer pentesting con FOCA y está integrado en nuestro servicio de pentesting persistente con Faast, faltaría más.

Saludos Malignos!

1 comentario:

  1. Estimado Sr. maligno: Shondan no, Shodan (error en título de artículo). ;-)

    ResponderEliminar