Blog gratis
Reportar
Editar
¡Crea tu blog!
Compartir
¡Sorpréndeme!
Blog de la Escuela de Educación Secundaria Técnica N 8 de Quilmes
Administrador Prof. Claudio Enrique Alonso Alvite
img
04 de Abril, 2015    General

Sistemas de Conectividad Universal Expuestos: 1,2,3,4, Dentro


Cuando buscaba información para la entrada "Sistemas de Comunicación por Microondas", me encontré con otros sistemas más complejos que eran capaces ,de interconectar múltiples tecnologías, IP, Voip, GSM,Fibra óptica,Datos, Mircroondas, Radio Frecuencia,etc en un sólo dispositivo.

¿Existen dispositivos de Conectividad Universal expuestos en Internet?

Según unos de los esquemas de montaje posibles, en el caso de comprometer alguno de estos sistemas, estarían en juego por ejemplo, la telefonía, datos,Comunicaciones por Radio frecuencia,por satélite, fibra, etc, tendrías un KIT completo de espionaje al más estilo NSA...

Para contestar rápidamente a la pregunta que me hice anteriormente, había que empezar por el principio, localizar fabricantes de este tipo de tecnología y echarle un vistazo a sus catálogos y manuales para entender un poco como funcionan.

Encontré varias soluciones, pero me llamo la atención una de ellas por la cantidad de dispositivos indexados por shodan en nuestro País.

Una vez localizado al fabricante y algunos de sus productos, los quise cuantificar y ubicar geográficamente, para ello use maps.shodan.io, me mostró 549 dispositivos de un modelo en concreto indexados por Shodan, 45 de ellos en España.



Tenía toda la pinta de que haciéndote con el control de uno de estos dispositivos, podrías hacer sudar al administrador y al equipo de IT.


Echándole un vistazo al manual del dispositivo elegido para la entrada de hoy, vemos que explica con detalle su funcionamiento y puesta en marcha.


Al grano voy, yo quería ver, que tipo de servicios permitían administrarlo, y si por defecto, tenía asignada alguna credencial de fábrica. 
Extracto del Manual
Efectivamente en una de sus páginas vemos que para el usuario System Engineer viene por defecto asignado la contraseña: 1234, y en otras páginas muestran que el usuario System Administrator tiene por defecto como contraseña, ¿adivináis? 

pues si, también 1234. Remarcar que tener por defecto contraseñas como 1234, no es malo, siempre y cuando una vez instalado el sistema, las cambies.


Pues nada, probamos con un dispositivo nacional (al azar), iniciamos sesión como Ingeniero del Sistema, y la clave que aparece en el manual del fabricante que descargamos: 1234

Si, efectivamente 1 de 1, la primera "Interface web" probada, tenía todavía la contraseña 1234, tal y como indicaba el manual.

Menú de Administración vista: Ingeniero de Sistemas
De nuevo, un suculento y jugoso menú de configuración que en el caso, de que una persona malintencionada, se pusiese a manipular, podría generar un disgusto a la compañía en cuestión, una factura millonaria en mensajes SMS, o llamadas internacionales con coste y por que no, en nuestro caso un mensajito por el sistema de Megafonía, "Les rogamos verifiquen su política de Seguridad, gracias"

Este dispositivo elegido hoy al azar, por lo que he podido ver , parece ser que sólo es usado para interconectar sistemas de voz, pero ¿cuantos usuarios pueden depender (telefónicamente hablando) de un sistema cómo este? cientos, miles?

Además, en el caso de este fabricante ,si indica claramente que, "para evitar accesos no autorizados se deben cambiar las credenciales por defecto", por lo que deduzco, que el Administrador o el Ingeniero, no pudo leer el manual, seguramente, por que estaba muy atareado con otros asuntos más importantes. ( las impresora X no imprime, Mi Pc hace cosas raras, no tengo acceso a la carpeta X, etc)

Sirva pues, para recordar a los administrador de este tipo de sistemas, que lean este Blog, que es muy fácil cambiar las credenciales por defecto, en la página número 36 del manual, indica, como cambiar las claves suministradas de fábrica, tanto para el usuario Ingeniero de Sistemas, como para el usuario Administrador de sistemas, no os ocupará más de un minuto, y podréis seguir con sus tareas normalmente, y potencialmente con menos riesgos de que los sistemas que administras, se vean comprometidos por tener credentials by default.

Artículo por J.A.Esteban (@Erratum_)
Palabras claves , , ,
publicado por alonsoclaudio a las 18:40 · Sin comentarios  ·  Recomendar
 
Más sobre este tema ·  Participar
Comentarios (0) ·  Enviar comentario
Enviar comentario

Nombre:

E-Mail (no será publicado):

Sitio Web (opcional):

Recordar mis datos.
Escriba el código que visualiza en la imagen Escriba el código [Regenerar]:
Formato de texto permitido: <b>Negrita</b>, <i>Cursiva</i>, <u>Subrayado</u>,
<li>· Lista</li>
CALENDARIO
Ver mes anterior Octubre 2017 Ver mes siguiente
DOLUMAMIJUVISA
1234567
891011121314
15161718192021
22232425262728
293031
BUSCADOR
Blog   Web
TÓPICOS
» General (2606)
NUBE DE TAGS  [?]
SECCIONES
» Inicio
ENLACES
MÁS LEÍDOS
» Cómo espiar WhatsApp
» Cómo usar Metashield protector for Client y por qué utilizarlo
» Ejecución remota de código arbitrario en OpenSSH
» Ganar dinero con 1.200 Millones de identidades robadas
» Hardware y sus 4 Funcionamientos Basicos y Principales en una Computadora
» #Phishing masivo a #BancoFrances, #PagoMisCuentas y #Movistar (110 afectados en 4 horas)
» Redes de la Deep Web: CJDNS y la Red Hyperboria
» Unidad Central de Procesamiento CPU
» Vulnerabilidad en Youtube permitió borrar cualquier video
» Wassap, la aplicación que permite usar WhatsApp desde la PC
SE COMENTA...
» Cómo espiar WhatsApp
23 Comentarios: HACKERS, HACKERS, clinton, [...] ...
» Curso en línea "Fundamentos de Administración de Sistemas Linux"
1 Comentario: ruchiroshni
» SoftPerfect WiFi Guard permite saber quién esta conectado a mi WiFi
1 Comentario: carlos lopez
» Analizando el LiveBox 2.1 de Orange
2 Comentarios: Nadie, brahim
» Antenas WiFi de gran potencia. Enlaces a 1.000 Km.
2 Comentarios: julio enoy, julio enoy
SOBRE MÍ
FOTO

Prof. Claudio Enrique Alonso Alvite



» Ver perfil

AL MARGEN
Escuela de Educacion Secundaria Tecnica N 8 de Quilmes
(Técnicos en Informática Personal y Profesional)
FULLServices Network | Blogger | Privacidad