No sé ni cuantas veces he visto conferencias de hacking de
routers,
switches, cámaras de vídeo-vigilancia o
impresoras.... y yo he llegado a jugar hasta con
sensores de temperatura.
Todas ellas tienen al final algunas conclusiones similares peros las
más importantes quizá desde el punto de vista de seguridad son:
1) Son sistemas operativos completos con muchas funcionalidades
2) Están dentro de tu red
Es cierto que el sistema operativo que funciona en una cámara de video-vigilancia o un switch de red no es un
Controlador de Dominio de la red, pero en él se pueden ejecutar
sniffers de red, servidores web, bases de datos, programas de hacking para hacer
ataques de red en IPv4 & IPv6, etcétera, etcétera, etcétera.
En segundo lugar están dentro de la red de la organización, con lo que ofrecen el punto de apoyo que pedía Arquímedes
para mover el mundo pero para capturar e interceptar todas las
comunicaciones de red que se producen desde todos los sistemas
informáticos que se encuentran allí.
Teniendo esto presente, según revela un
artículo en el Washington Post, los espías de la
NSA
decidieron que la mejor forma de
espiar el mundo era mediante el hackeo
de los dispositivos de red de las empresas, para que desde allí tomar
control del resto del sistema.
 |
| Figura 1: Artículo en Washington Post explicando el proyecto de Black Budget |
Según un memorandum interno filtrado por Edward Snowden, el hacking de los dispositivos de red tiene muchas más ventajas que pueden ser aprovechadas para colarse dentro de una red:
- Desactualizados: Por desgracia es cierto que dentro de las
empresas el plan de actualización de software no se toma tan en serio
con los dispositivos de red como con los equipos informáticos, por lo
que suelen encontrarse con vulnerabilidades conocidas.
- Contraseñas por defecto: El número de dispositivos que se encuentran con contraseñas por defecto
es altísimo. Esto se basa muchas veces en la creencia de que no hay
conexión desde fuera, lo que permite tomar el control de ellos
fácilmente. En el artículo de Explorando una DMZ desde un servidor Citrix se puede ver claramente.
- Backdoors de fábrica: Aunque parezca raro, muchos de los
fabricantes crean usuarios secretos dentro de los dispositivos con
capacidades de administración. Ejemplos de ellos hay cientos, pero os
dejo como ejemplo el backdoor de super usuario descubierto en el Proyecto Fin de Master de la UEM sobre la seguridad de cámaras de vídeo vigilancia.
Figura 2: Ejemplo de Backdoor en Vídeo Cámara TelnetVid
- Faltos de auditoría de seguridad real de fábrica: Mientras que a
los productos de software se les suelen hacer auditorías de seguridad
robusta, a los sistemas que se implantan en los dispositivos de red de
gama baja no suelen hacerse tan exhaustivas. Caso de ejemplo, la
aparición de 0days como el que se publicó en el libro Hacker Épico en las cámaras de vídeo vigilancia que permite sacar las passwords remotamente.
- Falta de fortificación del dispositivo: Así como en el software
de escritorio existen políticas corporativas que marcan cómo debe
instalarse un equipo en la red, en el caso de los dispositivos no se
hace de forma tan estricta por lo que es fácil que aparezcan con IPv6 instalado y sin configurar, con portales web desprotegidos o con servicios SNMPv1 o SNMPv2 sin ninguna seguridad.
- Sin software de seguridad: Mientras que los equipos de escritorio cuentan con soluciones antimalware para la protección de ataques o exploits
- al menos algo hacen - en el resto de dispositivos de red nunca se ha
pensado en poner ese tipo de medidas de forma extendida. Esto hace que
sea más fácil usar cualquier herramienta e instalar cualquier software.
- Sin monitorización: Muy pocas son las empresas que tienen una
monitorización completa de todo lo que está pasando en todos los
dispositivos conectados a la red de la organización. Es cierto que routers o switches
de gama alta en empresas medianas y grandes son monitorizados, pero no
suele monitorizarse la totalidad de los dispositivos que se conectan,
entre otras cosas porque muchos de los equipos carecen de esas
funcionalidades.
Todo esto fue tenido en cuenta por la NSA, y desde el año 2011
han estado hackeando y controlando todos los dispositivos que han
podido, manejando equipos en redes de todo el mundo, especialmente en China, Rusia ... y países amigos.
Si estás gestionando una red, o llevando la política de seguridad de una
organización, revisa todas estas cosas, ya que además muchos de estos
dispositivos salen haciendo un poco de
hacking con buscadores en sitios como
Shodan, lo que te hace estar más expuesto aún.
http://www.elladodelmal.com
Chema Alonso
