Lo gracioso de los quioscos de información es que siempre hay alguna forma de saltarselos. Seguramente influye el que los pongan donde hay gente aburrida y con tiempo para perder.

Después de algunos otros casos que hemos relatado aquí y otros que no puedo contar tenemos una nueva entrega de quioscos inseguros. En este caso le ha tocado a Adif y a sus puntos de información (information points).

Estos puntos permiten tener acceso a información sobre los servicios de trenes y tal. Se trata de una pantalla  muy grande y táctil. El navegador que utiliza es Google Chrome.

El problema es que es posible salirse del navegador fácilmente. ¿Cómo? Pues si sois de Adif echadnos un correito. Al resto, en el próximo Sec&Beer os lo cuento.

Algunas fotos sobre el tema para abrir boca.

Se trata de un entorno Windows que debe tener una aplicación local con Tomcat y MySQL. Parece que el dispositivo tiene interfaz bluetooth, lo que facilitaría las cosas porque la interfaz táctil era bastante perrillera.

En estos casos recordad que C:\WINDOWS\SYSTEM32\OSK.EXE es vuestro amigo. Aún así, era un dolor hacer cualquier cosa.

Lo curioso de los quioscos es que se confía en que no se puede salir del navegador, por lo que, una vez conseguido, es posible navegar por todo el disco, acceder a la red, navegar por cualquier sitio, tener acceso a aplicaciones locales, etc.

Estos equipos tendrían que estar configurados de forma segura y el usuario debería tener privilegios mínimos y visibilidad mínima del disco local y de la red. En la guía de Windows del CIS hay opciones de configuración paranoica para terminales públicos.

Por favor, aplicad este tipo de medidas cuando tengáis terminales de acceso público. Recordad que siempre hay algún modo de salirse del quiosco.

Un pequeño listado de recomendaciones si vais a hacer un quiosco de acceso público:

  • Aparte de la configuración en modo quiosco del navegador, también aplicad restricciones  en el sistema operativo: usuario con privilegios mínimos, limitada visión del disco, etc.
  • Limitad la conectividad del equipo a la mínima necesaria. Incluso, si podéis evitar utilizar recursos externos, mejor. Esto es, con un cortafuegos (nada de las limitaciones del navegador o del proxy que puedas quitar).
  • Cuidado con el Flash y otros applets similares, que pueden saltarse las restricciones que impongas en el navegador.

Y por último, haced pruebas de seguridad, no puede ser que alguien en cinco minutos consiga saltarselo. Eso significa que nadie lo ha intentado durante las pruebas. Y digo yo, ¿no es uno de los requisitos principales de estos cacharros, que no se pueda acceder al sistema operativo?

Una cosa que no acabo de entender muy bien es como puede ser que los administradores de sistemas monten cualquier software que va a dar servicio a una aplicación y lo dejen todo tal cual, por defecto o por omisión (que suena más a pecado).

Da la impresión de que suceden varias cosas:

  • El administrador no tiene ni puta idea del software y lo instala con todo lo que traiga
  • El administrador no tiene ni puta idea de los requisitos de desarrollo (si se trata de un sistema para ejecutar una aplicación a medida)
  • El administrador no se ha molestado en mirar ninguna instrucción sobre qué hacer después de la instalación del software ni ha buscado guías de configuración segura

Vamos, menos mal que, cada vez más, las opciones por defecto suelen ir viniendo mucho más seguras que antes, que si no…

Y lo de las contraseñas por defecto o muy, muy sencillas es otra historia similar.

En fin, para ilustrar esta no muy alegre situación, os dejo un nuevo lunes desmotivador para vuestro deleite esta semana, como si el calor no fuera ya suficiente.

Los MPD (Multi-function devices), comúnmente llamados ‘impresoras gordas’, tienen ciertas consideraciones de seguridad a tener en cuenta. Ya vimos no hace mucho algunas de esas consecuencias.

Ayer encontré por azar esta guía del CIS (Center for Internet Security) que tiene muy buena pinta para instalación y mantenimiento de vuestras impresoras.