Lo gracioso de los quioscos de información es que siempre hay alguna forma de saltarselos. Seguramente influye el que los pongan donde hay gente aburrida y con tiempo para perder.

Después de algunos otros casos que hemos relatado aquí y otros que no puedo contar tenemos una nueva entrega de quioscos inseguros. En este caso le ha tocado a Adif y a sus puntos de información (information points).

Estos puntos permiten tener acceso a información sobre los servicios de trenes y tal. Se trata de una pantalla  muy grande y táctil. El navegador que utiliza es Google Chrome.

El problema es que es posible salirse del navegador fácilmente. ¿Cómo? Pues si sois de Adif echadnos un correito. Al resto, en el próximo Sec&Beer os lo cuento.

Algunas fotos sobre el tema para abrir boca.

Se trata de un entorno Windows que debe tener una aplicación local con Tomcat y MySQL. Parece que el dispositivo tiene interfaz bluetooth, lo que facilitaría las cosas porque la interfaz táctil era bastante perrillera.

En estos casos recordad que C:\WINDOWS\SYSTEM32\OSK.EXE es vuestro amigo. Aún así, era un dolor hacer cualquier cosa.

Lo curioso de los quioscos es que se confía en que no se puede salir del navegador, por lo que, una vez conseguido, es posible navegar por todo el disco, acceder a la red, navegar por cualquier sitio, tener acceso a aplicaciones locales, etc.

Estos equipos tendrían que estar configurados de forma segura y el usuario debería tener privilegios mínimos y visibilidad mínima del disco local y de la red. En la guía de Windows del CIS hay opciones de configuración paranoica para terminales públicos.

Por favor, aplicad este tipo de medidas cuando tengáis terminales de acceso público. Recordad que siempre hay algún modo de salirse del quiosco.

Un pequeño listado de recomendaciones si vais a hacer un quiosco de acceso público:

  • Aparte de la configuración en modo quiosco del navegador, también aplicad restricciones  en el sistema operativo: usuario con privilegios mínimos, limitada visión del disco, etc.
  • Limitad la conectividad del equipo a la mínima necesaria. Incluso, si podéis evitar utilizar recursos externos, mejor. Esto es, con un cortafuegos (nada de las limitaciones del navegador o del proxy que puedas quitar).
  • Cuidado con el Flash y otros applets similares, que pueden saltarse las restricciones que impongas en el navegador.

Y por último, haced pruebas de seguridad, no puede ser que alguien en cinco minutos consiga saltarselo. Eso significa que nadie lo ha intentado durante las pruebas. Y digo yo, ¿no es uno de los requisitos principales de estos cacharros, que no se pueda acceder al sistema operativo?