No expongas tu red en los Puntos Públicos de Información
Un muy cercano compañero y amigo me pasó esta semana unas fotos que había tomado jugando con un Punto de Información Multimedia que una empresa ha puesto a disposición de los usuarios por la ciudad de Madrid. Dichos puntos de información llevan una aplicación que está basada en vistas web, por lo que hacer el jailbreak y salir del navegador es algo trivial, como ya hemos visto muchas veces - como el caso del Punto de Información de Turismo Interior.
Figura 1: La aplicación corre sobre una vista web de un navegador |
Al abrir las opciones del navegador salían cosas curiosas, como que estaba haciendo un uso de un Proxy interno en la red basado en squid - o así parece por el puerto -. Desde ese punto, llegar al escritorio es una cuestión sencilla de jugar para hacer el jailbreak, al estilo de como se hace con Terminal Services o Citrix, y un sitio perfecto es la ayuda y la zona de impresión.
Figura 2: De ahí es fácil llegar a las impresoras |
En la lista de impresoras se puede ver también una lista de servidores de la red interna con información de dominios y subdominios, pero una vez que se llega al escritorio, hay unos ficheros en unas carpetas que dejan la información mucho más accesible para cualquiera que juegue con este Punto de Información Multimedia.
Figura 3: Y de las impresoras al escritorio y el explorador de archivos |
Por supuesto, en los documentos aparecen los usuarios y los lugares donde se encuentran estos Puntos de Información Multimedia, para que puedan ser conectados y controlados todos entre sí.
Figura 4: Direcciones IP, usuarios y nombres de equipos de los Puntos de Información |
Es curioso que a día de hoy, a sabiendas de todas estas cosas desde hace años, no se hagan procesos de auditoría y fortificación a estos Puntos de Información Públicos que se van a exponer a cualquiera que pase por delante de ellos. Para probarlos se pueden utilizar herramientas como IKAT (Interactive Kiosk Attack Tool) que utiliza trucos automatizados para probar si el navegador de un kiosko va a aguantar o no los ataques que se puedan realizar.
Figura 5: Interactive Kiosk Attack Tool |
Además, hace tiempo que se publicó el proyecto F*CK Tool para automatizar las fases de fortificación de los Puntos de Información basados en Kioskos Interactivos que se vayan a exponer, así que hay opciones para empezar el trabajo.
Figura 6: F*CK Tool |
Si tienes que hacer un proyecto similar, no lo saques a la calle sin hacer una auditoría de seguridad. Está claro que la exposición en la vía pública no es tan grande como en Internet, pero dejar que cualquier extraño se conecte a tu red interna no es ninguna buena idea. Por supuesto, si los tienes en Windows XP, con el fin del soporte que viene, deberías actualizarlos todos también.
Saluodos Malignos!
2 comentarios:
Menudo peligro tienes chema jajaja , saludos.
No se si sera el caso, pero las empresas de cierto tamaño, suelen confiar su servicio informático general o por proyectos a otra empresa generalmente de carácter nacional, que actúa como una picadora, que a su vez, subcontrata empresas o autónomos locales que realizan los servicios de instalación y puesta en marcha, bien como responsables directos de trabajo en su totalidad o como manos remotas.
Hasta aquí todo podría ser normal, con una buena linea de trabajo, procedimientos, etc., pero, son tan bajas las tarifas que pagan, que finalmente, los ejecutores físicos del trabajo, tienen un nivel de conocimientos "cero" ( de una escala entre 1 y 10 ) que no hacen prácticamente nada mas que ejecutar comandos de una lista de ordenes enviada a través de un correo electrónico con imágenes, e incluso algún vídeo.
No se puede obtener mano de obra de calidad si no se paga.
La seguridad, no es solo tener una buena muralla con unas anchas almenas. Los soldados, también, tienen que saber y entender el arte de la guerra.
Publicar un comentario