6 jul 2016

Obtención de información "sensible" con Shodan

Para contrarrestar cualquier ataque o intrusión, lo mejor es realizar pruebas de penetración a la red (Pentesting), para descubrir los puntos débiles de la red y trabajar en ellas, sólo así subsanaremos las fallas de seguridad.

La primera parte de una prueba de penetración (Pentesting) es la recolección de información (Information Gathering), en este caso es recopilar la mayor información posible sobre el objetivo u organización, los dominios, las IP, los servicios, versiones, puertos abiertos y sistemas operativos que trabajan en aquella red.

Existen una gran variedad de herramientas para lograr esto, entre ellos se utilizan, Shodan, Google Hacking, Robtex y otros. Shodan es un motor de búsqueda de dispositivos conectados a Internet, esto quiere decir que encuentra router, servidores y otros dispositivos.

Luego en el campo de texto del buscador escribes el dominio de la organización y obtienes una variedad de resultados, la IP, el dominio y servicios levantados en ellas, estos resultados mostrados en una búsqueda a nivel mundial.

Ahora también se pueden probar las claves por defecto (default), por ejemplo admin+admin, o también "admin+1234", pruebo esta ultima y el resultado es asombroso, 9717 resultados entre routers y otros dispositivos a nivel mundial como se ve en el gráfico.
Vaya sorpresa, una empresa de telecomunicaciones que cuenta con especialistas en sistemas y redes, utiliza una clave por defecto y este es su gateway principal, esto es sumamente peligroso, más tratándose de una empresa reconocida a nivel mundial y con millones de dispositivos conectadas a ella.

Nota: siempre respetando, por ética de no ir más allá, ni cambiar la configuración del dispositivo, esto se realiza sólo con fines de prueba. Es más se comunica a la empresa para que resuelvan esta vulnerabilidad.

Grande es mi sorpresa, estoy dentro del dispositivo, imagínense si un ciberdelincuente accede a este, puede hacer cualquier cosa, empezando por cambiar la clave de acceso al dispositivo y ser él exclusivo en este, además de ataques de hombre en el medio, capturar el tráfico, infectar los servidores o inclusive ejecutar el tan temido rasomware, rotkits u otro malware persistente.

Y esto se logró solo haciendo una recolección de información, ahora se dan cuenta, lo peligroso que resulta no cambiar las claves de acceso a todo los dispositivos de la red.

Fuente: Maxima Seguridad

Suscríbete a nuestro Boletín

3 comentarios:

  1. Esto ocurre generalmente. No por desconocimiento sino por subestimar el conocimiento ajeno. En todos los manuales de cualquier router. Se insta al administrador que cambie las claves. Sin embargo no lo hacen y luego vienen los problemas. Gracias por la información.

    ResponderBorrar
  2. Ese es el punto, un administrador de redes debe como primer paso asegurar el gateway principal, la empresa en mención se fundo en 1989, el administrador de aquel entonces no aplico tales cambios... entonces me pregunto, era realmente un especialista en arquitectura de redes el que configuro un gateway que conecta a millones de dispositivos hoy en día... cuando realice la prueba y encontré esta atrocidad de seguridad, pensé, no soy de seguro el primero en hallar esto... todos los días escanean puertos y servicios con Nmap u otra herramienta, es probable que ya alguien haya plantado sus semillas dentro de esta red y la utilice como una red de botnets, además de vender información sensible de la empresa en el mercado negro

    ResponderBorrar
  3. Se cambio el link de la fuente original a https://maximaseguridadcorporation.blogspot.pe/2016/07/cuando-el-firewall-perimetral-deja-de.html gustoso de participar en temas relacionados a seguridad informática, saludos

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!