martes, marzo 18, 2014

No expongas tu red en los Puntos Públicos de Información

Un muy cercano compañero y amigo me pasó esta semana unas fotos que había tomado jugando con un Punto de Información Multimedia que una empresa ha puesto a disposición de los usuarios por la ciudad de Madrid. Dichos puntos de información llevan una aplicación que está basada en vistas web, por lo que hacer el jailbreak y salir del navegador es algo trivial, como ya hemos visto muchas veces - como el caso del Punto de Información de Turismo Interior.

Figura 1: La aplicación corre sobre una vista web de un navegador

Al abrir las opciones del navegador salían cosas curiosas, como que estaba haciendo un uso de un Proxy interno en la red basado en squid - o así parece por el puerto -. Desde ese punto, llegar al escritorio es una cuestión sencilla de jugar para hacer el jailbreak, al estilo de como se hace con Terminal Services o Citrix, y un sitio perfecto es la ayuda y la zona de impresión.

Figura 2: De ahí es fácil llegar a las impresoras


En la lista de impresoras se puede ver también una lista de servidores de la red interna con información de dominios y subdominios, pero una vez que se llega al escritorio, hay unos ficheros en unas carpetas que dejan la información mucho más accesible para cualquiera que juegue con este Punto de Información Multimedia.

Figura 3: Y de las impresoras al escritorio y el explorador de archivos

Por supuesto, en los documentos aparecen los usuarios y los lugares donde se encuentran estos Puntos de Información Multimedia, para que puedan ser conectados y controlados todos entre sí.

Figura 4: Direcciones IP, usuarios y nombres de equipos de los Puntos de Información

Es curioso que a día de hoy, a sabiendas de todas estas cosas desde hace años, no se hagan procesos de auditoría y fortificación a estos Puntos de Información Públicos que se van a exponer a cualquiera que pase por delante de ellos. Para probarlos se pueden utilizar herramientas como IKAT (Interactive Kiosk Attack Tool) que utiliza trucos automatizados para probar si el navegador de un kiosko va a aguantar o no los ataques que se puedan realizar.

Figura 5: Interactive Kiosk Attack Tool

Además, hace tiempo que se publicó el proyecto F*CK Tool para automatizar las fases de fortificación de los Puntos de Información basados en Kioskos Interactivos que se vayan a exponer, así que hay opciones para empezar el trabajo.

Figura 6: F*CK Tool

Si tienes que hacer un proyecto similar, no lo saques a la calle sin hacer una auditoría de seguridad. Está claro que la exposición en la vía pública no es tan grande como en Internet, pero dejar que cualquier extraño se conecte a tu red interna no es ninguna buena idea. Por supuesto, si los tienes en Windows XP, con el fin del soporte que viene, deberías actualizarlos todos también.

Saluodos Malignos!

2 comentarios:

53n553y dijo...

Menudo peligro tienes chema jajaja , saludos.

Anónimo dijo...

No se si sera el caso, pero las empresas de cierto tamaño, suelen confiar su servicio informático general o por proyectos a otra empresa generalmente de carácter nacional, que actúa como una picadora, que a su vez, subcontrata empresas o autónomos locales que realizan los servicios de instalación y puesta en marcha, bien como responsables directos de trabajo en su totalidad o como manos remotas.

Hasta aquí todo podría ser normal, con una buena linea de trabajo, procedimientos, etc., pero, son tan bajas las tarifas que pagan, que finalmente, los ejecutores físicos del trabajo, tienen un nivel de conocimientos "cero" ( de una escala entre 1 y 10 ) que no hacen prácticamente nada mas que ejecutar comandos de una lista de ordenes enviada a través de un correo electrónico con imágenes, e incluso algún vídeo.

No se puede obtener mano de obra de calidad si no se paga.

La seguridad, no es solo tener una buena muralla con unas anchas almenas. Los soldados, también, tienen que saber y entender el arte de la guerra.

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares