google translator

miércoles, 22 de febrero de 2012

Descuidos de seguridad, accesos no autorizados


He estado dos días en Madrid, haciendo un curso con la empresa. El domingo llegué a mi hotel y como buen adicto a mi mail que soy, abro el portátil, me conecto al wifi del hotel y ¡Oh, sorpresa!, me sale un portal cautivo. Mirando en la típica documentación que hay en todas las habitaciones descubro que cobran ¡¡¡3 euros la hora de internet!!! y ¡¡¡10 euros el día!!! Como soy alérgico a los atracos, desisto de la wifi del hotel y reviso más en la lista de las encontradas. Y hay otra abierta, XXXX_Guest a ver que nos depara...


Conecto con la red, y veo que me da una IP privada


Abro navegador y ¡zas, en toda la boca! certificado digital no válido, en la IP 1.1.1.1 Un momento, esa IP me suena de algún adaptador virtual por defecto.


Bueno, miro el certificado, no veo nada raro y como me gusta el riesgo, lo acepto


Curioso, otra pantalla de login. Esos colores me recuerdan algo. Así que, venga, vamos a probar, por si suena la flauta, las credenciales por defecto que traen esos aparatos. Usuario cisco y password cisco

De repente se abre otra pestaña del navegador, con la web de un fabricante japonés de coches. Miro la pestaña anterior, en la que he metido las credenciales.



¿¿Login successful?? ¿Pero qué clase de técnico ha instalado esto que no ha quitado las credenciales por defecto? Bueno, será que estoy en una red cerrada, que sólo puedo acceder a la web que me ha dejado, como suele montar algún banco en sus oficinas para que la gente haga transacciones online, pero filtrando todo lo que no sean sus propias webs. También deduzco eso de la palabra Guest en el SSID. Abro Google, y entra. Miro las webs de los principales periódicos y entran bien. Entonces, entro en una de mis cuentas de correo de pega (para registrarme en foros dudosos) y entra perfectamente, sin que salte ningún certificado no válido ni en Gmail ni en Hotmail. Así que descartado mitm, entro en mi correo por la puerta grande y me pongo a navegar por varias webs que tenía que consultar, sin ningún tipo de problema en la navegación. Y durante 2 días :)

Cuando ya he acabado de leer mis cosas, lanzo un escaneo de red, simplemente para ver qué hay por ahí y me empieza a devolver varios nombres de servidores. Ahí apago, yo sólo quiero navegar, no quiero reventar nada ni problemas.

En resumen, tenemos una empresa que se ha gastado una pasta en un punto de acceso, en una instalación y en unos sistemas que se supone que son seguros. Y lo son, hasta que al técnico que lo ha puesto, se le olvida quitar credenciales por defecto. Desconozco si esa red inalámbrica tiene como fin que los visitantes se conecten mientras esperan o si es de empresa. La palabra Guest en el SSID no hace pensar que sea de empresa, sino para invitados. Dejando al margen las credenciales, no es nada seguro que una persona que va a visitar tu empresa (en este caso comprar un coche) pueda ver los servidores de la empresa mientras navega en internet). Lo lógico es que, en estos tiempos que corren en que hasta los cepillos de dientes tienen wifi, desde muchas empresas ofrezcan a los clientes o visitantes un acceso wifi para que puedan leer su correo, navegar o lo que necesiten. A mi me ha tocado montar lo mismo en algún cliente. Pero ese servicio añadido no debe poner en riesgo la seguridad de la empresa, por lo que es recomendable que funcione en una VLAN diferente.

Recapitulando:
- BIEN por la empresa que quiere dar un servicio añadido a los clientes
- BIEN por querer controlar esos accesos con usuario y password, para evitar que cualquiera se cuele a la conexión y navegue sin autorización
- MAL que el técnico haya dejado las credenciales por defecto. Suele ser bastante habitual que se olviden de eliminarlas o cambiar el password por defecto, y si no, jugar un rato con Google o con Shodan puede dar grandes momentos de diversión.
- MAL, MUY MAL, que ese wifi no esté aislado del resto de la empresa, dejando que cualquier persona con acceso (por muy visitante o cliente que sea) pueda ver los servidores y los equipos de la gente que trabaja ahí. Sniffers hay para todo tipo de plataformas, así que en un momento dado, ese "señor tan majo que está leyendo su correo" puede estar capturando tráfico o lanzando ataques contra nuestra empresa.

Lo lógico en estos casos, es montar una VLAN independiente, con salida directa a internet, que aisle al visitante del resto de la red corporativa. Esto lo permiten todos los switches y routers, por lo que no es excusa no haberlo hecho. Si se puede y el presupuesto lo permite, lo ideal sería utilizar un firewall por hardware, utilizando una de las bocas de zonas para conectar esa red inalámbrica y gestionar el ancho de banda y la navegación. Si un cliente está esperando a ser atendido, no me importa que lea su correo o las ultimas noticias, pero no es muy lógico que pueda ver pornografía o descargar con el emule.

Evidentemente, puede que la ciudad no haya sido Madrid, que la empresa no vendiera coches e incluso que no estuviera en un hotel ;)

2 comentarios:

  1. Buen articulo Osito... si, la verdad que suele pasar! triste pero cierto

    ResponderEliminar
  2. Gracias :)

    Es algo bastante más habitual de lo que parece y, en vez de asumir muchas veces la culpa el que lo ha instalado (todos somos humanos y cometemos errores) se suele usar la típica excusa de "Fue un hacker".

    ResponderEliminar