Siempre le he tenido ganas a los terminales públicos en general. Tal y como están pensados los sistemas operativos es complicado hacer un sistema de accceso público que impida totalmente escapar de las limitadas funciones que presenta.

En IKEA hay varios terminales con diversas funcionalidades y siempre que voy me da por echar un ojillo a alguno de ellos a ver si consigo escaparme de la interfaz. Si recordáis, hace tiempo conseguí navegar desde un terminal de consulta.

Esta vez le ha tocado el turno al terminal de encuesta de opinión.

Este terminal te muestra un navegador en modo pantalla completa en el que, supuestamente, sólo puedes marcar lo que opinas en una encuesta y escribir observaciones en un TEXTAREA. El terminal tiene un teclado completo y un ratón, cosa muy peligrosa.

Probando, todas las combinaciones de teclas que conozco de Windows estaban desactivadas excepto Alt-Tab, que nos deja ver el nombre del software empleado que parece llamarse OneBrowser. Aunque no he encontrado nada por Internet al respecto en una búsqueda rápida.

Probé a rellenar el TEXTAREA con un texto muy largo a ver si eso provocaba algún error en la aplicación pero no parece que tuviera efecto. Sin embargo, si terminas de rellenar el formulario aparece una página de agradecimiento con Ana. Ana parece ser un objeto Flash que te deja pulsar con el botón derecho y ver las típicas opciones de Flash.

Pulsando en ‘Print…’ obtenemos un cuadro de ‘Guardar como’ para un fichero .XPS ya que no parece que tengan configurada ninguna impresora. Y aquí es donde empieza la fiesta.

Desde este cuadro, que es un navegador al completo, no parece posible acceder a ficheros locales (sólo la unidad de CD) pero sí es posible ver equipos de red y carpetas compartidas.

Usando la ‘Vista previa’ o el ‘Abrir con’ es posible visualizar los documentos de estas carpetas. No llegué a probar si era posible navegar (seguramente no) ni a lanzar un interprete de comandos (que lo veo jodido) aunque teniendo la posibilidad de ejecutar aplicaciones seguro que algo se puede hacer.

Además, en este caso hay todo el tiempo del mundo porque yo todavía no he visto a nadie rellenar la hojita, no como en otros sitios donde no para de llegar gente y te da cosa.

Pese a que la configuración segura en los sistemas de IKEA es muy buena, no sé por qué razón el sistema no sólo se encuentra conectado al dominio sino que tiene acceso a sistemas y carpetas de red.

Quizá sea por tener el sistema actualizado o controlado desde el dominio. Pero esto tiene un riesgo mayor cuando se consigue escapar del modo quiosco.

En fin, mucho cuidadito con cómo diseñáis un sistema de acceso público y comprobadlo todo, aporread el teclado, pinchad en todos los sitios y aseguraos que no hay forma de escapar y, si alguien lo consigue, que no tenga mucho más que hacer.

Por cierto, al lado de uno de estos terminales me encontré un Ethernet Exposed. Por supuesto, no pude probarlo… ¿dará link?

Si vas al IKEA veras que está lleno de unos terminales de libre acceso para consultas sobre los productos que se venden. Estos terminales ejecutan Internet Explorer sobre Windows en ‘modo kiosko‘.

El objetivo de este terminal es que seas capaz de navegar por la página de IKEA pero que no lo utilices ni para navegar por otros sitios ni para usar el sistema operativo ni acceder a su red interna.

Este tipo de situaciones tiene unos requisitos de seguridad específicos. Podéis leerlos mejor de lo que yo los pueda explicar en estas dos presentaciones.

Como veis existen múltiples medidas de seguridad necesarias (físicas, de red, de sistema, del propio kiosko, etc.). El problema es confiar en que el usuario no va a ser capaz de saltarse el ‘modo kiosko’. Ya que siempre hay algún desliz que hace que se pueda hacer algo más de lo previsto.

Por ejemplo, en el caso del terminal de IKEA, el modo kisoko está muy conseguido: ni menús del botón derecho, ni combinaciones de teclas, ni parece que puedas acceder a enlaces fuera de IKEA (ni siquiera al blog), ni pasa nada cuando pinchas sobre enlaces mailto.

A primera vista parece que lo único que podemos hacer es consultar los productos o hablar con Ana. Pero realmente se trata de un terminal con acceso a Internet al estilo IKEA, o sea, que te lo tienes que montar tú mismo.

Veamos cómo. Probando un poquito di con una página que permite descargarse un zip para tener IKEA en tu GPS (podéis buscar GPS en el buscador de arriba y es el único enlace que aparece). Si pincháis en TomTom, por ejemplo, podéis ver que sale un dialogo de abrir/grabar/cancelar. Y después viene un enlace para ‘ayuda’. Ups. Y si pinchas en ese enlace aparece la ‘ayuda’ que no es otra cosa que el Internet Explorer en modo ‘help browser”.

Pero claro, sólo podemos ver las páginas de ayuda… ¿o no? Pues resulta que si pincháis en el icono de la ventana una de las opciones es ‘jump to URL’.

Hasta aquí euforia :). Sin embargo, hay un proxy que corta todas las páginas (google, facebook, etc.). Parece que deja cargar la página principal de tiwtter pero sin CSS.. Vaya… Pero si pincháis sobre ‘options’ podéis acceder a las opciones de Internet donde para sorpresa de muchos es posible inhabilitar el proxy y acceder a google, por ejemplo. Bueno, a google sueco :) como veis en la foto.

Parece que, sin embargo, queda cierto filtrado porque no he podido llegar a la página de explotación de kioskos. Por ahora simplemente es posible navegar en el caso de que os haga falta, pero estoy seguro de que se puede hacer mucho más.

Como comenté antes, el problema es confiar que el usuario no va a saltarse el modo kiosko y dejar que pueda configurar el proxy. En este caso, la defensa en profundidad es el mejor remedio.