20 marzo 2015

Sistemas de "Comunicación por Microondas" expuestos

Todos hemos visto alguna vez Torres de este tipo, en alguna montaña, encima de algún edificio, etc.

Antes de expansión de la fibra Óptica, los sistemas de Microondas formaron durante varios años el corazón de los sistemas de transmisión telefónica de larga distancia.

Actualmente los usos son muy diversos, desde transmitir datos de procesos industriales a centros de control, llevar internet a zonas geográficamente aisladas, interconectar redes locales, y un largo etc, etc.

Las comunicaciones por microondas son relativamente baratas. Colocar dos torres sencillas y poner antenas en cada una es más económico que enterrar 50 kilómetros de fibra óptica a través de una área urbana congestionada o sobre una montaña aislada.

Los alcances que pueden ir de escasos metros, hasta 200 km con línea de vista clara. También es posible enlaces sin línea de vista en cortas distancias (hasta 10 km) y enlaces con línea de vista parcialmente obstruida (hasta 40 km). Velocidades de hasta 300 Mbps en bandas no licenciadas como 2.4 GHz y 5.8 GHz, y velocidades de más de 700 Mbps en bandas licenciadas como 2.5 GHz, 4.5 GHz, 4.9GHz y de 6 GHz a 26 GHz, entre otras bandas.

Existen múltiples fabricantes, que dan soluciones a este tipo de comunicaciones.

Hoy vamos a ver cuanto de inseguras pueden ser estas comunicaciones no por el sistema en sí, si no por lo que pasa casi siempre, configuraciones relajadas por parte de los administradores/instaladores de estos sistemas.

Como el objetivo no es otro que demostrar que estos sistemas también poseen problemas de seguridad como todos los demás, no vamos a facilitar detalles de los sistemas que hemos analizado, para evitar que puedan ser comprometidos y permitiesen dejar sin servicio a algunos procesos industriales, o simplemente sin Internet a varios cientos de personas.

El esquema básico del montaje que vamos a examinar es el siguiente:


Ingredientes:

Primero un poco de Google para identificar a fabricantes de este tipo de tecnología, seguidamente un poco de Shodan, dónde encontramos un gran número de de estos dispositivos distribuidos por todo el planeta, incluida nuestra querida España.

Muchas de estos dispositivos pueden ser gestionados de forma remota dejando acceso o bien por el puerto telnet standard 23 , a través de una interface web en el puerto 80 o ambos.

Echándole un vistazo a la documentación que facilita el fabricante de nuestro ejemplo ,se puede ver claramente, como el sistema por defecto tiene las siguientes credenciales: user:admin password:admin ,sin ni siquiera sugerir al usuario que las cambie, una vez el sistema ha sido instalado y configurado.

Una vez leído el manual de instalación y con el detalle anteriormente mencionado ¿ya sabéis lo que va a pasar no? Efectivamente, el 90% de los dispositivos que hemos examinado, permiten acceder mediante telnet con las credenciales por defecto como podéis ver en la figura 1.

Acceso via telnet contraseñas por defecto.

Una vez introducido las credenciales por defecto nos muestra una serie de opciones que permitirán administrar el dispositivo.

Opciones de configuración

Como podéis ver las algunas opciones son suculentas, como la configuración de la red, establecer contraseñas, determinar las frecuencia de transmisión, etc. Vemos que el dispositivos tiene un panel web de administración. La opción (6) nos permitiría establecer las credenciales de administración.

Vamos a visitar el servicio web.

Login del Panel Web de administración
El manual del fabricante detalla en la página correspondiente a la información del acceso al panel web indica que las credenciales de acceso por defecto para visualizar las configuraciones son: User:viewer password:viewer, a estas alturas, ya sabéis lo que va a suceder.

Acceso al panel de administración vía credenciales por defecto

No vamos a entrar en más detalles, pero seguro que se os están viniendo a la cabeza, varios tipos de ataques del tipo MITM modificando los parámetros de la red, denegaciones de servicio, etc.

En este caso concreto el servicio está suministrando internet mediante wifi a varias decenas de usuarios.

Como habéis visto y sabéis las configuraciones relajadas existen en todas las tecnologías, si vives en un pueblo aislado y las comunicaciones provienen de sistemas microondas, o tal vez tu empresa usa este sistema para unir redes locales, o te sirven wifi como en este ejemplo, y te quedas sin servicio, es posible que simplemente haya sido por que el administrador del sistema no quiso perder 1 minuto en cambiar las credenciales por defecto. Quizás lo más grave, es que para acceder a estos sistemas, sólo hemos necesitado saber leer y escribir.

Artículo cortesía de @Erratum_

11 comments :

Rosana Ruiz dijo...

Sublime

anónimo dijo...

pobres brasileños

DefineOverflow dijo...

Uno de los mejores posts que he leído en este blog. Y ya son muchos años por aquí ...

Ollupacre dijo...

Bueno, este tema me afecta directamente. Manejo casi un centenar de radioenlaces de microondas, en diversas tecnologias, todas en banda "libre". La verdad que tanto en mi empresa como en la competencia, este tema nos lo tomamos en serio, raramente me he topado con un equipo con credenciales por defecto. Al al ser banda libre, cualquier paisano desde su casa con un equipo de 60 € puede liarse a aprobar contraseñas, suponiendo que le dejara conectarse a la parte radio. Por otro lado, me sorprende ver muchos de estos equipos accesibles por shodan, o sea conectaos y accesiles por cale y desde Internet . Jamas expondria uno de mis cacharros en una red publica asi directamente. Aunque claro, viendo lo que se lee sobre sistemas SCADA, ya no me sorprende nada.

Juan Ligero Lopez dijo...

Buenas,

Me interesa mucho el tema ya que mi empresa se base en estas redes, cual es mi sorpresa cuando la busco por Shodan (desconocida para mi) y efectivamente ésta aparece, ahora bien, ni por asomo tiene las credenciales por defecto imposibilitando el acceso, pero ahí podría entrar la historia de hacer un fuerza bruta.

Me parece muy interesante este tema, pero tengo una duda, cuando dices Ollupacre que cualquiera con un equipo de 60€ puede entrar y probar contraseñas a que te refieres?

Gracias por la información. Brillante publicación.

Gonnza Cabrera dijo...

Gracias por no tapar un title en una de las screenshots jajaja. Buen post! :D

Ollupacre dijo...

Muchos radioenlaces son en banda libre de 5ghz. Aparte de las diversas medidas de seguridad y de protocolos propietarios, se puede comprar en cualquier tienda de informatica u online un Ubiquiti Nanostation, o muchos otros similares, equipos de menos de 100€ con gran potencia de emision, que te permiten "fichar" radioenlaces punto a punto en la banda de los 5Ghz desde Kms, Muchos Kms.

Por tanto se hace necesaria una bateria de medidas de seguridad, desde una clave de cifrado fuerte, ACL (poco efectivas, pero barrera son), uso de extensiones propietarias, etc ya que por el aire estamos bastante expuestos.

Por no halar ya del "Radio Jamming" que en banda libre, se esta muy expuesto.

fernanditodsm dijo...

buen post

Juan Ligero Lopez dijo...

Muchas gracias por la aclaración, buscaré mas información acerca del tema.

fresnel dijo...

Hay un error técnico en este artículo. Los vanos son de alrededor de 40-60 km normalmente, pudiendo llegar a 80-100 km, pero raramente. No digo que no se hayan conseguido vanos de 200km, pero no es lo normal en producción. No es sólo que se necesite visión directa entre los enlaces, es que la tierra no es recta, y por la curvatura de la tierra conseguir que el radioenlace funcione normalmente con 200km es arriesgado, nadie lo hace así.

Y para lo de parcialmente obstruída... no influye tanto en la longitud del vano, sino en cuánto está obstruído

Ignacio Agulló dijo...

Excelente trabajo.