Pentesting Familiar: El chino, el TPV, el CCTV y ni un café
El sábado siguiente a la primera vista donde jugué con el sistema Yamaha volvimos al centro comercial, y mientras las chicas paseaban por las tiendas, casualmente decidí a tomar un café en el mismo local ;) Para mi sorpresa, no iba a ser tan fácil como llegar y triunfar como había planificado tras el primer contacto, y aún la historia iba a dar algunas vueltas. Esto es lo que pasó en mi segunda visita.
Enseguida identifiqué al dueño del negocio, un hombre de origen asiático que estaba sentado en la barra dando instrucciones al personal. Antes de pensar en hablar con él, decidí echar un vistazo a la red con el ordenador ya que en esta ocasión sí que me lo había traído junto con mi Kali Linux.
Eh, colega, ¿has visto mi Wi-Fi?
Tras explorar una y otra vez las redes Wi-Fi a mi alcance y ver que la red del local ya no aparecía, sospeché que algo había pasado. Antes de preguntar a nadie, exploré con airodump-ng los diferentes puntos de acceso, ya que disponía de la dirección MAC del router en los pantallazos de la vez anterior, para ver qué había pasado con la red. Tras hacer las comprobaciones pertinentes, pude determinar que el punto de acceso con la dirección MAC correspondiente al Livebox, estaba sirviendo una red Wi-Fi con autenticación WPA2 y el siguiente SSID: “Dani the best”.
Figura 10: Pentesting Familiar. El Chino, el TPV, el CCTV y ni un café |
Enseguida identifiqué al dueño del negocio, un hombre de origen asiático que estaba sentado en la barra dando instrucciones al personal. Antes de pensar en hablar con él, decidí echar un vistazo a la red con el ordenador ya que en esta ocasión sí que me lo había traído junto con mi Kali Linux.
Eh, colega, ¿has visto mi Wi-Fi?
Tras explorar una y otra vez las redes Wi-Fi a mi alcance y ver que la red del local ya no aparecía, sospeché que algo había pasado. Antes de preguntar a nadie, exploré con airodump-ng los diferentes puntos de acceso, ya que disponía de la dirección MAC del router en los pantallazos de la vez anterior, para ver qué había pasado con la red. Tras hacer las comprobaciones pertinentes, pude determinar que el punto de acceso con la dirección MAC correspondiente al Livebox, estaba sirviendo una red Wi-Fi con autenticación WPA2 y el siguiente SSID: “Dani the best”.
En este momento, no me quedó más remedio que utilizar la ingeniería social, así que comencé a hablar con un camarero italiano llamado Nicola que casualmente había empezado a trabajar esa misma semana, por lo que no me recordaba. Tras intimar un poco con él, utilizando mis habilidades sociales, me contó que por lo visto los dueños habían decidido dejar de compartir la Wi-Fi del local con sus clientes porque “iba demasiado lenta últimamente”. Por lo visto, el ocurrente SSID de la nueva red, era obra del jefe de cocina, que había cambiado la contraseña por cuenta propia y puesto ese nombre en su honor.
Figura 11: Eh, colega, ¿has visto mi Wi-Fi? |
Intentar obtener la nueva contraseña mediante un ataque de diccionario o la explotación del WPS en caso de que hubiera estado habilitado era una opción que llevaría mucho tiempo, y que tampoco tenía sentido puesto que como ya he comentado, mi intención era la de reportar lo descubierto, así que a través de Nicola comencé también a entablar una conversación con el dueño del local, que era de origen chino y no hablaba nada de español, pero sí un poco de inglés pues había estado viviendo en Irlanda.
Al cabo del rato, después de hablar de temas varios, le conté a lo que me dedicaba y lo que había descubierto, aunque estaba claro que no podría alcanzar a entenderlo sin una demostración, y más con la barrera del idioma, ya que su inglés era limitado. Por ello le pedí que me facilitara él mismo la nueva clave de la red Wi-Fi. Resulta que con un poco de paciencia logré entender que ni él mismo la conocía, y que "Dani the best" no estaba trabajando en ese turno.
Así que me ofrecí a proporcionarle yo mismo la clave de su propia Wi-Fi, conectándome directamente al router Livebox con un cable de red que llevaba en la mochila, y entrando con la contraseña por defecto, que sí que seguía igual. Una vez que tenía la nueva contraseña, le pedí permiso para cambiar momentáneamente a Kenny G. (por lo visto era su cantante favorito) y esta vez sí, poner durante unos segundos el mítico “Who's the Bad Man”, de Dee Pattern. Lamentablemente, no tengo un vídeo de aquel divertido momento pero os dejo aquí el tema para que lo podáis imaginar.
Figura 12: Who's the Bad Man de Dee Pattern
Tras contemplar todos atónitos la demostración de cambio musical en directo, el dueño me dijo que investigara lo que quisiera, y que volviera la semana siguiente otra vez que estaría su mujer, la
auténtica jefa del negocio (y de la pareja) para seguir comentando.
A por el TPV
Resultó además que este negocio era una franquicia de una conocida cadena de cafeterías que ellos habían decidido regentar, y él no tenía muchos detalles, pero me explicó que la administración tecnológica se controlaba desde los responsables de la propia cadena y que no tenían mucha capacidad para hacer nada. Visto lo que yo había podido comprobar, esto no era del todo cierto (si no que se lo digan a "Dani The Best"), y si lo fuese, todos los establecimientos de la cadena podrían ser vulnerables.
Figura 13: Windows Embedded POSReady2009 |
Con todo el tiempo invertido en este proceso del descubrimiento de la nueva red y la ingeniería social con camarero y dueño, había pasado ya un rato, tocaba volver otra vez con las chicas, así que escaneé muy rápidamente los servicios del servidor CAJA3 para comprobar que efectivamente estaban habilitados, y determinar que se trataba de un equipo con sistema operativo “Windows Embedded Pos Ready 2009 SP3” , una versión ligera de Windows XP utilizada habitualmente en plataformas TPV o POS (Point of Sales).
Figura 14: Frauden en Point of Sales (PoS)
Muy acorde en este momento es que os deje la sesión de Fraude en Point of Sales que hizo Gabriel Bergel sobre estos asuntos por si queréis profundizar en lo que podría significar que alguien tomara control de estos PoS o TPV. El mundo del fraude ha puesto los ojos en estos sistemas, como se puede ver en el informe que ha publicado Kaspersky & ElevenPaths sobre ello, pero, si existía alguna vulnerabilidad explotable, tocaría descubrirlo en una tercera visita, así que tras pagar mi café me despedí de mis nuevos amigos y quedamos para la semana siguiente.
El siguiente viernes por la tarde volví a hacer los 80 km al centro comercial con mi ordenador y mi Kali Linux 2, y al llegar a mi cafetería favorita y pedir mi cortado natural oscuro (cortado largo de café para los que no viváis en las Islas Canarias), la situación no podía ser más surrealista. “Dani the Best” había desaparecido también, y ahora el nuevo SSID del Livebox era “Cam Station Center”. Tres configuraciones diferentes en tres semanas. Para más INRI, la pareja de dueños (sí, ese día estaba la jefa) estaba hablando con un técnico de la empresa que se encontraba justo en ese momento instalando cámaras de vigilancia en el local, de ahí el nombre de la nueva red
Esperé un rato hasta que el dueño vino con su esposa a saludarme, pero enseguida pude comprobar que a ésta no le interesaba en absoluto que investigáramos nada, ya que me volvió a repetir el argumento de que cualquier tema que tuviera que ver con la tecnología debía de ser aprobado por los responsables de la cadena. Como estaban ocupados con el nuevo juguete de las cámaras, y había comprobado quién mandaba en el negocio y probablemente en la relación, tampoco tenía ganas de invertir más tiempo así que pagué nuevamente mi café y me volví a casa al rato.
Ahora en Remoto
Una vez en casa, tras colocar el ordenador en la mesa y dar por concluida la historia de esta cafetería tan smart, reparé en que en la primera visita antes de irme me había quedado con la dirección IP pública del router, por lo que le di una pasada muy rápida con nmap para comprobar si lo que pasaba por mi cabeza en aquel momento podría ser cierto, y en efecto.
Figura 15: Escaneo con nmap de la dirección IP pública del establecimiento |
El puerto 80 estaba abierto y si intentábamos acceder al sitio web alojado en esa dirección IP pública nos encontrábamos con la pantalla de inicio de sesión de lo que parecía ser el panel de administración de la recién instalada estación CCTV que controla las cámaras de vigilancia. Mi investigación había concluido ya, pero por curiosidad eché un vistazo a la página de inicio de sesión ya que tras la pertinente búsqueda en Google, no parecía ser una solución utilizada ampliamente.
Si querías intentar autenticarte, tendría que ser con Internet Explorer a través de la instalación de un control ActiveX, y una vez así, introducir las credenciales en el formulario para la cuenta de admin, que ya venía establecida por defecto. Una cosa menos que adivinar ;)
Figura 16: Panel de administración del sistema de CCTV |
Como curiosidad, echando un vistazo al código fuente de la página de autenticación, podían encontrarse pistas, como por ejemplo esta dirección URL a la que se le pasa como parámetro el usuario admin y una contraseña en blanco para invocar parámetros de configuración de las cámaras:
Figura 17: URL para conseguir los parámetros de configuración |
Accediendo a esta URL podemos comprobar que entre estos parámetros que se configuran es posible encontrar valores de diferentes puertos para HTTP, RTSP, así como el número de canal o el lenguaje en el que estaban configuradas las cámaras.
Figura 18: Parámetros de configuración del sistema CCTV |
Lo último que hice por curiosidad fue analizar el tráfico que se genera al enviar cualquier cosa a través del formulario para comprobar que las credenciales son enviadas en texto plano a través del puerto 8000 que aparecía como abierto en el escaneo previo realizado con nmap. Sobra decir que si se accede a este panel de administración desde una red Wi-Fi abierta o susceptible a ataques MITM un atacante malicioso podría interceptar estas credenciales al enviarse en texto plano.
A la hora de introducir las mismas, el campo para la contraseña está limitado a una longitud de 6 caracteres. Cabe recordar que el nombre de la cuenta de usuario se conoce, pues viene establecido por defecto como “admin”. Por tanto, a quien quisiese intentar realizar un ataque de diccionario para poder administrar las cámaras de vigilancia, le bastaría con programarse un script que enviase los datos directamente al puerto 8000 y monitorizar las diferencias que se obtienen en la respuesta recibida del servidor.
Figura 19: Credenciales enviadas en texto plano a través del puerto 8000 |
Pero no iba a ser yo quien lo hiciera, por motivos evidentes, ni acercarme a intentar explicarle qué es una VPN o cómo segmentar la red. Bastante tiempo había invertido ya en analizar la seguridad del local y reportar lo encontrado a los dueños, sin haber recibido a cambio ni un triste café como invitación de la casa ;) Eso sí, hay que reconocer que ir a tomar un café con la familia y terminar jugando con nmap, Kali Linux y seguridad web hacen que mereciera la pena entrar en ese café sí o sí.
Corolario
Corolario
Al final, se trata de un ejemplo más de cómo la seguridad tiene para algunos pequeños o medianos negocios un valor intangible que sólo sale a la luz cuando hay problemas. En este caso, se prefiere invertir en añadir funcionalidades a la infraestructura aunque no se tenga un control certero de los sistemas ni unas mínimas garantías de que no podrán ser penetrados. Afortunadamente, esto no es así en todos lados y la cultura de la sociedad está cambiando. Cada vez son más las organizaciones y empresas que invierten recursos en fortificar la seguridad a todos los niveles. Aunque está claro que aún queda trabajo por hacer.
Yo solo espero que os hayáis entretenido con la historia al igual que yo me entretuve con la de Pablo González y el bar de copas que nos contó en "Cervezas, Cámara...¡Acción!" o la de Daniel Romero y su viaje que contó en la historia de "El blues (de la Wi-Fi) del autobús". Pentesters, siempre pensando en lo mismo... ¿Tienes tú alguna historia así? Deberías escribirla y enviársela a Chema Alonso para que la leamos todos, que siempre son entretenidas.
Autor: Deepak Daswani
Yo solo espero que os hayáis entretenido con la historia al igual que yo me entretuve con la de Pablo González y el bar de copas que nos contó en "Cervezas, Cámara...¡Acción!" o la de Daniel Romero y su viaje que contó en la historia de "El blues (de la Wi-Fi) del autobús". Pentesters, siempre pensando en lo mismo... ¿Tienes tú alguna historia así? Deberías escribirla y enviársela a Chema Alonso para que la leamos todos, que siempre son entretenidas.
Autor: Deepak Daswani
7 comentarios:
Cada vez escribes peores articulos chema. Era necesario tomar una captura de wireshark para demostrar que la peticion iba por http? ...
"Corolario
Al final, se trata de un ejemplo más de cómo la seguridad tiene para algunos pequeños o medianos negocios un valor intangible que sólo sale a la luz cuando hay problemas"
Creo que ese último comentario que aparece en el Corolario, es totalmente erróneo, o mejor dicho matizable, no solo las pequeñas empresas, hay grandes empresas con agujeros de seguridad impresionantes.
Por desgracia en nuestro país, la cultura de la seguridad informática es muy baja por no decir nula.
Hace aproximadamente un año, y ante el auge de las Wifis, intenté crear una empresa de seguridad informática, centrándome sobre todo en los accesos Wifis, me hice una app Android y me dediqué a pasear con el coche recabando información de posibles clientes, para posteriormente, y con un informe personalizado abordarlos para una posible actuación sobre sus equipos. Obteniendo respuestas tan increíbles como: "no tengo tiempo para esas tonterías" o "si pasa algo ya llamaremos a un técnico". Ante estas respuestas ya podréis imaginar la viabilidad de la empresa.
El total de señales Wifis que encontré fue de 30 mil, de las cuales sólo el 10% tenían estaban protegidas con WP2. Estos datos corresponden a zonas comerciales e industriales de Gran Canaria (soy paisano del señor Daswani, mejor dicho de la isla de enfrente).
Para concluir, la matización que quería hacer, durante la recogida de datos encontré unos 140 accesos pertenecientes a una gran empresa, mas concretamente unos grandes almacenes con presencia en la mayoría de las ciudades españolas, no daré el nombre por motivos legales, pero supongo que muchos sabrán a quien me refiero.
Les envié a su departamento informático un informe detallado de cada uno de los accesos, en especial los que tenían codificación WEP (con los tiempos que corren y todavía con WEP), de eso hace mas de un año, como suponía no recibí respuesta, pero es que además siguen sin cambiar la codificación.
Tu lo que eres es un pringao con una nula vision comercial.
¡Los artículos de Deepak son geniales! Me encantan todos los que ha publicado :) El día a dia de alguien que le apasiona lo que hace y tiene la amabilidad de compartirlo motiva mucho.
Eres tan retrasado, tan retrasado, que ni siquiera eres capaz de leer que el artículo no lo escribió Chema, sino Dipu Daswani. Habría que verte a ti escribir uno, a ver qué tal se te da :)
Pero el mio tiene flores ☺
Pero el mio tiene flores ☺
Publicar un comentario