30 mar. 2016

VNC Roulette: miles de VNC abiertos y accesibles (sí, SCADAs también)

Parece que hay un nuevo significado para "Internet abierta". En un sitio web llamado VNC Roulette (ahora caído) se han recopilado miles de imágenes tomadas de PC compartidas a través del popular software VNC, que permite a los usuarios acceder de forma remota al equipo.

Si VNC está configurado sin una contraseña, cualquier persona puede tener acceso al equipo. Un grupo de personas autodenominados "Revolver" quiso saber cuantos ordenadores estaban configurados de esta manera. "Hemos tenido acceso a administradores de miles de máquinas con datos sensibles. No hay ninguna seguridad en absoluto."

Revolver creó un script que busca direcciones IP con el puerto 5900/5901 (VNC) habilitado y trata de conectarse a través de un visor VNC. Si el script encuentra una conexión disponible sin ninguna autenticación, se conecta y toma una captura de pantalla.
Después de miles de conexiones exitosas, ahora tiene unos 60 gigas de imágenes guardadas. Revolver rápidamente se dio cuenta de que tenía miles de computadoras de escritorio, Windows, Mac, Linux y cientos de imágenes de sistemas SCADA muy sensibles, que se suelen utilizar en instalaciones industriales.

Esto no es un problema de VNC, es el resultado de la indiferencia absoluta de los usuarios para utilizar una configuración de seguridad básica."Una vez que instalas un VNC server, aparece una interfaz diciendo que debes colocar una contraseña de seguridad. Y muchas personas no lo hacen", dijo Revolver.

Tal vez resulte sorprendente, pero esta no es una idea nueva. Shodan.IO lo hace desde hace tiempo.

Actualización 31/03: alguien ha hecho un deface o un cambio de DNS al sitio y ahora se encuentra aquí. Mientras tanto, Insecam sigue haciendo de las suyas.

Fuente: ZDNet

5 comentarios:

  1. http://vncroulette.com/ ha sido defaced por fatalsec, acabo de verlo :P

    ResponderEliminar
  2. Han hackeado su web... Me parto...

    ResponderEliminar
  3. La web no va.

    ResponderEliminar
  4. La demora es que alguien manifieste la inseguridad de otros, sin antes, asegurarse de la propia.
    No estoy de acuerdo con el Deface hecho a la página de vncroulette. Sin embargo, considero que es una buena oportunidad para que los administradores de sitios, servidores, bases de datos, entre otros, reflexionen respecto de la debida diligencia ¿cuándo fue la última vez que cambié la contraseña?, ¿he hecho hardening últimamente?¿he hecho o en contratado Ethical Hacking?.

    ResponderEliminar
  5. No lo defacearon, el flaco que le vendio el dominio tuvo un problema con revolver y decidió cambiarle la página principal. De hacker no tiene nada el FatalSec ese.


    ResponderEliminar

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!