viernes, 13 de julio de 2018

¿Quién dijo vacaciones?

Que no, que si te dedicas a la Informática y en especial a la seguridad, no tienes vacaciones porque siempre ves algo que te llama la atención y que tienes curiosidad por saber qué puede tener. Esto fue lo que me pasó hace poco cuando fui a Huelva unos días para "descansar" de lo que llevo de año. Digo "descansar" porque yo me llevé un portátil de repuesto para seguir haciendo cosas, pero sin dedicarle tanto tiempo como cuando estoy en casa, pero no, es imposible.


Alquilé para esos días una habitación. La intención era que, nada más llegar, relajarme y ver el Uruguay-Portugal, y así empecé. Me senté en el sofá y vi algo que ya me quitó 60 minutos de partido con sus 15 minutos de descanso. Lo que vi, fue el router de la casa.


Lo cogí, le di la vuelta y vi la pegatina con las credenciales. Eran válidas, y además me decía la URL a la que conectarme para configurar el router. Eso era algo bueno, ya que me ahorraba de tirar de Nmap. Por supuesto, el usuario y contraseña venía en la pegatina.


Estaba dentro y podía hacer todo lo que quisiera en la red. No hice nada malo, sólo mire...y bueno, algo más sí que hice.


Miré cada apartado de la aplicación web que mostraba información sobre el router y la red y por supuesto, podía cambiar el SSID o incluso la clave de la red. Podía incluso desactivar la red Wifi. El control que tenía, como es obvio, era total.


Podía cambiar la IP del router, algo que podría ser útil  para evitar posibles ataques. La seguridad por oscuridad es algo que funciona y es fácil de realizar. Pero lo que sería problemático sería desactivar el DHCP ya que la habitación que alquilé es una que recién dejaron un grupo de Universitarias y Universitarios que en septiembre, vuelven al piso. Si desactivo el DHCP server, cuando vuelvan, se podrán conectar al punto de acceso pero no podrán acceder a la red de Internet ya que no les dará IP de forma automática. Se tendrían que configurar ellas y ellos la IP de forma manual, y no sé qué me da a mí la nariz, que ni saben cuál es, ni siquiera, el identificador de su red, por lo que lo tendrían complicado para configurarse ellos una IP.


Podría ser aún más malo y bloquear algunos dominios como instagram.com, twitter.com o youtube.com todos los días. Este no era el caso, pero podríamos saber el correo de algunos de los inquilinos que vuelven en septiembre para que cuando se conecten de nuevo de nuevo, enviarles un correo de Phishing simulando ser Youtube, Instagram o Facebook para que escriban sus credenciales y ahí tenerlos owned.


Esto hubiese sido genial si encima hubiese activado el DynDNS para acceder al router por nombre de dominio y una vez que me llegasen las credenciales, quitar el bloqueo de dominios para que no sospechasen nada al volver a conectarse a esos servicios.


La primera parte del partido de Portugal estaba terminando y yo con el nmap desde el móvil, ya que no quería sacar aún el usb booteado con Kali Linux para arrancar como Live. Lo que hice fue escanear al router y saqué cosillas interesantes, para empezar que por el puerto 8082 te conectas a un Mongoose que te redirige a una aplicación web con el Spectrum Analyzer.


Mirando por cvedetails y Exploit Database encontré que este Mongoose tenía varias vulns y exploits públicos.

Como he dicho, no hice nada, pero podría cambiar también los DNS servers y poner uno que utilizo yo para pruebas para que cuando se conecten a instagram.com, twitter.com o youtube.com, no se conecten a esos servicios, sino a una máquina que tenga yo controlada con esas webs clonadas y que me dejarán las credenciales de los inquilinos y que después les rediriga a Youtube, Twitter o Instagram de verdad.

Como he dicho, no hice nada, pero me llamó la atención que la dueña del piso al entrar recuerdo que me dijo "Y ahí tienes el internet". Señaló al router. Sí, mucha gente se refiere al router como "el internet". Ahora me hace gracia porque pienso que la dueña se creía que como estaba el router, tendría que ir todo bien y no tiene por qué, ya que si hubiesen desconectado el DHCP server, me hubiese sido difícil conectarme.

Es verdad que en la pegatina del router dice de conectarse a 192.168.0.1 para la administración del router y ahí me da el identificador de red, pero hasta que caes en que puede ser por el dhcp, puede pasar un rato, y eso si eres informático, que sino lo eres lo mismo llamas a un técnico y todo.

Yo esto se lo dije a la dueña y se quedó con una cara rara al principio, pero le dije lo que tenía que mirar siempre que un inquilino dejase el piso y si el dhcp estaba habilitado y la ip del dns server era la misma que la que ya venía y algunos "tips" más, es que estaba todo bien en principio. También le dije lo de la vuln y que se la solucionaba y así hice.

Me sorprendió que se lo tomase tan bien, no suele ser la reacción habitual para nada, pero vio que pude hacer cosas peores y que no las hice y que encima la avisé para que no le pasase a ningún inquilinx suyo.

Al final el partido de Portugal me lo perdí casi entero con esto :P. Se reafirma lo que muchas veces digo que es que un informático no es un trabajo, es una forma de vida que no termina a las 15:00, sino que hasta de "vacaciones" puede surgir algo que te pique la curiosidad y enredar durante horas si hace falta. Eso es lo maravilloso de la Informática.

¿Hackeamos el Mundo?


No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...