04 abril 2015

Sistemas de Conectividad Universal Expuestos: 1,2,3,4, Dentro


Cuando buscaba información para la entrada "Sistemas de Comunicación por Microondas", me encontré con otros sistemas más complejos que eran capaces ,de interconectar múltiples tecnologías, IP, Voip, GSM,Fibra óptica,Datos, Mircroondas, Radio Frecuencia,etc en un sólo dispositivo.

¿Existen dispositivos de Conectividad Universal expuestos en Internet?

Según unos de los esquemas de montaje posibles, en el caso de comprometer alguno de estos sistemas, estarían en juego por ejemplo, la telefonía, datos,Comunicaciones por Radio frecuencia,por satélite, fibra, etc, tendrías un KIT completo de espionaje al más estilo NSA...

Para contestar rápidamente a la pregunta que me hice anteriormente, había que empezar por el principio, localizar fabricantes de este tipo de tecnología y echarle un vistazo a sus catálogos y manuales para entender un poco como funcionan.

Encontré varias soluciones, pero me llamo la atención una de ellas por la cantidad de dispositivos indexados por shodan en nuestro País.

Una vez localizado al fabricante y algunos de sus productos, los quise cuantificar y ubicar geográficamente, para ello use maps.shodan.io, me mostró 549 dispositivos de un modelo en concreto indexados por Shodan, 45 de ellos en España.



Tenía toda la pinta de que haciéndote con el control de uno de estos dispositivos, podrías hacer sudar al administrador y al equipo de IT.


Echándole un vistazo al manual del dispositivo elegido para la entrada de hoy, vemos que explica con detalle su funcionamiento y puesta en marcha.


Al grano voy, yo quería ver, que tipo de servicios permitían administrarlo, y si por defecto, tenía asignada alguna credencial de fábrica. 
Extracto del Manual
Efectivamente en una de sus páginas vemos que para el usuario System Engineer viene por defecto asignado la contraseña: 1234, y en otras páginas muestran que el usuario System Administrator tiene por defecto como contraseña, ¿adivináis? 

pues si, también 1234. Remarcar que tener por defecto contraseñas como 1234, no es malo, siempre y cuando una vez instalado el sistema, las cambies.


Pues nada, probamos con un dispositivo nacional (al azar), iniciamos sesión como Ingeniero del Sistema, y la clave que aparece en el manual del fabricante que descargamos: 1234

Si, efectivamente 1 de 1, la primera "Interface web" probada, tenía todavía la contraseña 1234, tal y como indicaba el manual.

Menú de Administración vista: Ingeniero de Sistemas
De nuevo, un suculento y jugoso menú de configuración que en el caso, de que una persona malintencionada, se pusiese a manipular, podría generar un disgusto a la compañía en cuestión, una factura millonaria en mensajes SMS, o llamadas internacionales con coste y por que no, en nuestro caso un mensajito por el sistema de Megafonía, "Les rogamos verifiquen su política de Seguridad, gracias"

Este dispositivo elegido hoy al azar, por lo que he podido ver , parece ser que sólo es usado para interconectar sistemas de voz, pero ¿cuantos usuarios pueden depender (telefónicamente hablando) de un sistema cómo este? cientos, miles?

Además, en el caso de este fabricante ,si indica claramente que, "para evitar accesos no autorizados se deben cambiar las credenciales por defecto", por lo que deduzco, que el Administrador o el Ingeniero, no pudo leer el manual, seguramente, por que estaba muy atareado con otros asuntos más importantes. ( las impresora X no imprime, Mi Pc hace cosas raras, no tengo acceso a la carpeta X, etc)

Sirva pues, para recordar a los administrador de este tipo de sistemas, que lean este Blog, que es muy fácil cambiar las credenciales por defecto, en la página número 36 del manual, indica, como cambiar las claves suministradas de fábrica, tanto para el usuario Ingeniero de Sistemas, como para el usuario Administrador de sistemas, no os ocupará más de un minuto, y podréis seguir con sus tareas normalmente, y potencialmente con menos riesgos de que los sistemas que administras, se vean comprometidos por tener credentials by default.

Artículo por J.A.Esteban (@Erratum_)