No sé ni cuantas veces he visto conferencias de hacking de routers, switches, cámaras de vídeo-vigilancia o impresoras.... y yo he llegado a jugar hasta con sensores de temperatura.
Todas ellas tienen al final algunas conclusiones similares peros las
más importantes quizá desde el punto de vista de seguridad son:
1) Son sistemas operativos completos con muchas funcionalidades
2) Están dentro de tu red
Es cierto que el sistema operativo que funciona en una cámara de video-vigilancia o un switch de red no es un Controlador de Dominio de la red, pero en él se pueden ejecutar sniffers de red, servidores web, bases de datos, programas de hacking para hacer ataques de red en IPv4 & IPv6, etcétera, etcétera, etcétera.
En segundo lugar están dentro de la red de la organización, con lo que ofrecen el punto de apoyo que pedía Arquímedes
para mover el mundo pero para capturar e interceptar todas las
comunicaciones de red que se producen desde todos los sistemas
informáticos que se encuentran allí.
Teniendo esto presente, según revela un artículo en el Washington Post, los espías de la NSA
decidieron que la mejor forma de espiar el mundo era mediante el hackeo
de los dispositivos de red de las empresas, para que desde allí tomar
control del resto del sistema.
 |
| Figura 1: Artículo en Washington Post explicando el proyecto de Black Budget |
Según un memorandum interno filtrado por Edward Snowden, el hacking de los dispositivos de red tiene muchas más ventajas que pueden ser aprovechadas para colarse dentro de una red:
- Desactualizados: Por desgracia es cierto que dentro de las empresas el plan de actualización de software no se toma tan en serio con los dispositivos de red como con los equipos informáticos, por lo que suelen encontrarse con vulnerabilidades conocidas.
- Contraseñas por defecto: El número de dispositivos que se encuentran con contraseñas por defecto es altísimo. Esto se basa muchas veces en la creencia de que no hay conexión desde fuera, lo que permite tomar el control de ellos fácilmente. En el artículo de Explorando una DMZ desde un servidor Citrix se puede ver claramente.
- Backdoors de fábrica: Aunque parezca raro, muchos de los fabricantes crean usuarios secretos dentro de los dispositivos con capacidades de administración. Ejemplos de ellos hay cientos, pero os dejo como ejemplo el backdoor de super usuario descubierto en el Proyecto Fin de Master de la UEM sobre la seguridad de cámaras de vídeo vigilancia.
Figura 2: Ejemplo de Backdoor en Vídeo Cámara TelnetVid
- Faltos de auditoría de seguridad real de fábrica: Mientras que a los productos de software se les suelen hacer auditorías de seguridad robusta, a los sistemas que se implantan en los dispositivos de red de gama baja no suelen hacerse tan exhaustivas. Caso de ejemplo, la aparición de 0days como el que se publicó en el libro Hacker Épico en las cámaras de vídeo vigilancia que permite sacar las passwords remotamente.
- Falta de fortificación del dispositivo: Así como en el software de escritorio existen políticas corporativas que marcan cómo debe instalarse un equipo en la red, en el caso de los dispositivos no se hace de forma tan estricta por lo que es fácil que aparezcan con IPv6 instalado y sin configurar, con portales web desprotegidos o con servicios SNMPv1 o SNMPv2 sin ninguna seguridad.
- Sin software de seguridad: Mientras que los equipos de escritorio cuentan con soluciones antimalware para la protección de ataques o exploits - al menos algo hacen - en el resto de dispositivos de red nunca se ha pensado en poner ese tipo de medidas de forma extendida. Esto hace que sea más fácil usar cualquier herramienta e instalar cualquier software.
- Sin monitorización: Muy pocas son las empresas que tienen una monitorización completa de todo lo que está pasando en todos los dispositivos conectados a la red de la organización. Es cierto que routers o switches de gama alta en empresas medianas y grandes son monitorizados, pero no suele monitorizarse la totalidad de los dispositivos que se conectan, entre otras cosas porque muchos de los equipos carecen de esas funcionalidades.
Todo esto fue tenido en cuenta por la NSA, y desde el año 2011
han estado hackeando y controlando todos los dispositivos que han
podido, manejando equipos en redes de todo el mundo, especialmente en China, Rusia ... y países amigos.
Si estás gestionando una red, o llevando la política de seguridad de una
organización, revisa todas estas cosas, ya que además muchos de estos
dispositivos salen haciendo un poco de hacking con buscadores en sitios como Shodan, lo que te hace estar más expuesto aún.
Fuente: http://www.elladodelmal.com/2013/09/la-nsa-prefiere-hackear-routers-y.html
No hay comentarios:
Publicar un comentario