Pues resulta que estoy haciendo una auditoría en un cliente y estoy sentado junto a la gente de informática. Me encuentro un VNC sin contraseña y entro a echar un vistazo.

Estoy echando un ojo al disco cuando veo que ese equipo está siendo usado por un usuario. Ups, rápidamente el usuario legítimo se sale de la sesión y yo me desconecto.

Al poco escucho a uno de los de informática hablando por teléfono con un usuario. Resulta que el usuario le explicaba que el ratón se movía sólo y que aparecían en pantalla cosas en inglés y que decía “Este equipo está siendo controlado por Anonymous”.

Sorprendido, dejé pasar un rato antes de volver a conectarme… Y lo que encontré fue esto.

Como veis, se trata de la ventanita del VNC con algunas opciones para seleccionar :).

Si no fuera por estos momentos…

El cortador de césped es una de esas películas sobre el ciberespacio y la inmersión en ‘mundos digitales’. Cuando la vi de pequeño en el cine me impresionó mucho, aunque supongo que ahora, si la viese, me parecería más bien floja.

En cualquier caso, una cosa que se me quedó grabada es el final de la película en la que, finalmente, el cortador de césped, viviendo en el ciberespacio, consigue escapar a la ‘prisión’ donde le intentan atrapar y hace sonar todos los teléfonos de la Tierra.

Pues bien, gracias a Sevilla Sec&Beer ahora tú también puedes hacer realidad este sueño de juventud, hacer sonar muchos teléfonos a la vez, gracias a la  voz sobre IP y a las credenciales por defecto.

Lo primero que tienes que conseguir es un sitio donde haya muchos teléfonos IP con alguna interfaz de configuración a la que puedas llegar. Luego tienes que tener la suerte de que no hayan cambiado las credenciales de acceso por defecto para administrar. Y por último sólo te hace falta tener unos mínimos conocimientos de scripting para lanzar los mismos comandos a todos a la vez.

Recientemente he tenido la suerte de encontrarme un entorno de estas características. Sesenta y tantos teléfonos IP de la marca Thomson (ya sabéis, no comprad sin Thom ni Son). Estos teléfonos tienen una interfaz web y otra telnet. El usuario administrador tiene como credenciales por defecto ‘administrator/784518′.

Echando un ojo a la interfaz telnet nos encontramos que podemos hacer de todo con el teléfono. Entre otras cosas, podemos hacer que se enciendan los leds y que suene el tono de llamada que queramos.

Pues ya sólo nos queda preparar un script. Para eso, y sin que sirva de precedente, yo he usado expect, que está especialmente pensado para interaccionar con sistemas remotos en base a dos comandos principales expect "algo" y send "algo".

El script en cuestión es el siguiente (le he llamado thomson.ip).

set address [lrange $argv 0 0]
spawn ncat -tC $address 23
expect "Login: "
send "administrator\r"
expect "Password: "
send "784518\r"
expect "#"
send "music start 1\r"
expect "#"
send "exit"

Este script acepta una dirección IP como argumento y hace que suene el teléfono. He usado ncat en vez de telnet porque, por alguna causa, no acababa de autenticarse bien.

Ahora sólo nos queda lanzarlo a la vez para todos los teléfonos. Para ello usaremos las capacidades de paralelismo de xargs. También puedes usar GNU parallel que precisamente es un xargs que lanza en paralelo los comandos.

Suponiendo que has creado un fichero llamado tlfs.ip con una línea por cada dirección IP que pertenezca a un teléfono, podemos hacer lo siguiente para hacerlos sonar todos a la vez.

cat tlfs.ip | xargs -n 1 -P `cat tlfs.ip | wc -l` expect thomson.expect

Y ya está. Riiingggg, riiiiiingggg, riiiiinggggggg, riiiiiingggg, riiiiiingggg….

Bueno, aparte de la chorrada de hacer sonar los teléfonos, la moraleja de todo esto es que hay que tener cuidadito con cambiar las credenciales por defecto, por un lado, y desactivar los servicios si no se usan, por otro. Si no, que suenen todos los teléfonos a la vez va a ser el menor de tus problemas.

Recientemente, en declaraciones a Sevilla Sec&Beer, un alumno de la Universidad Politécnica de Madrid, al que llamaremos Federico Nanas para mantener su anonimato, ha confesado el verdadero origen del Esqsuema Nacional de Seguridad.

Todo comenzó cuando el profesor Mañas pidió a sus alumnos, una vez más, “otro coñazo trabajo de clase para desarrollar sus locuras personales“. Esta vez se trataba de crear un marco de trabajo de gestión de la seguridad para la Administración Pública. “No es la primera vez que nos pide que le haggamos trabajos inocentes que acaban siendo estándares” dijo Federico refiriéndose a la famosa metodología de análisis de riesgos MAGERIT.

Un grupo de alumnos, cansados ya de esta situación de explotación universitaria, quisieron vengarse del profesor redactando lo que llamaron el Engendro Nacional de Seguridad (ENS). Con ello pretendían burlarse de todos los sistemas de gestión de seguridad, creando un cutrepaste traducido de varios estándares.

Decidimos hacerlo enrevesado, con complejas valoraciones que luego resultan inútiles. Dimos mucha importancia al análisis de riesgos (sin nombrar MAGERIT para que no se notara mucho) e incluimos definiciones de responsabilidades difusas a propósito, para que no hubiera por donde meterle mano” nos confesaba otro miembro de grupo de trabajo. “Total, sólo era un trabajo de clase“.

Según hemos investigado, los alumnos ya le tienen cogido el estilo al profesor Mañas y saben que, mientras más enrevesado presenten los trabajos, mejor. “Lo que más valora es que haya muchas tablas con valoraciones, todo debe ser muy analítico, aunque las valoraciones sean imposibles de medir o inútiles“. Y, efectivamente, Federico nos contó que su grupo sacó la mejor nota de la clase.  El resto es historia.

Si llegamos a saber que iba a acabar siendo un Real Decreto nos lo habríamos currado un poco más” fueron las últimas palabras, a modo de excusa, de este alumno.

Viendo todo el revuelo periodístico que se ha formado alrededor de las actividades de ciertos grupos de hackers (Anonymous, Lulz, etc.) me ha venido a la mente este corte de un programa de hablar por hablar de hace bastante tiempo.

Si no lo habéis oído aún, dedicadle un ratillo porque es muy bueno y nos da una idea también de hasta qué punto los periodistas saben de este tipo de cosas.

Audio MP3

La verdad es que no he seguido mucho las actividades de estos grupos pero sí he visto que se están usando mucho para varias cosas:

  • Denostar la seguridad de las grandes empresas
  • Perpetuar el asunto del APT
  • Promocionar productos (con mi producto esto fijo que no te pasa)
  • Probar que el zorro sólo tiene que encontrar una oveja despistada (bueno, o muchas en el caso de Sony)

La verdad es que en muchos casos es un problema de superficie de ataque pero también se trata de un problema de descuidos y de falta de control, que siempre va a haber. No he oido demasiado acerca de qué tal han respondido estas empresas ante dichos ataques, en cuanto a tiempos de resolución y acciones (aparte de la contratación de un responsable de seguridad en Sony).

En cualquier caso, para muchos el mensaje debe ser como el de este grupillo de hackers a Bill Gates “a ver qué va a pasar”.

El otro viernes iba yo paseando por la calle en la sobremesa cuando vi pasar a dos colegas con alguna copita de más (típico de los viernes tarde). Iban andando apoyándose uno en el otro.

Total, que el primero le dice a su colega: “bla bla bla… eso es indefendible” y el colega le responde “indefendible, monstruo“. Y después “bla bla bla… eso es indefendible” y el colega le vuelve a responder “indefendible, monstruo“. Y así parece que seguía la cosa en un bucle infinito.

Por un momento pensé “¿hay un secandbeer alternativo del que no nos hemos enterado??“. Pero bueno, supongo que hablaría de su jefe, de su mujer, de su político favorito o vete tú a saber.

En cualquier caso, me quedo con “indefendible, monstruo” que resonará en mi cabeza cada vez que oiga describir algún entorno de sistemas de información kafkiano (¿es que los hay de otro modo?). Qué poder de síntesis, cómo transmite a la vez una realidad, una frustración, una crítica y una llamada a la catarsis por fuego (como diría @Vic).

Desde aquí os reto a lanzar este mantra en la próxima reunión con vuestro jefe, responsable, cliente o proveedor: “¡esto es indefendible, monstruo!“. Igual así le hacéis comprender y asimilar lo que sentís al ver las barbaridades que se hacen a menudo y que, para qué engañarnos, no hay quién proteja a posteriori.

Quiero compartir con vosotros este cómic sobre los estados de la auto-concienciación que nos ha enviado @esanz (muchas gracias, es genial).

Respecto a seguridad de la información, es muy importante, al menos, saber las propias limitaciones y dónde nos encontramos. ¿En qué estado te encuentras tú?

No hace mucho que me encontré con un colega en el Corte Inglés. Mientras jugábamos con unos iPads de muestra, apareció un conocido suyo que, entre otras cosas, le contó que últimamente se dedica a ser ‘hacker a domicilio‘ en el barrio.

La siguiente imagen muestra su ‘tarjeta de visita‘.

Tarjeta de hacker a domicilio

Tarjeta de hacker a domicilio

El principal reclamo de esta tarjeta es proporcionar acceso a Internet Wi-Fi gratis a través del uso de la conexión de algún vecino (al que no le sale gratis, claro). Aunque nos contó que los ‘clientes’ le piden otro tipo de servicios ‘más complejos’, tales como:

  • Esnifar el messenger de otros
  • Descrubrir la contraseña de correo de la novia

En definitiva, que aunque el chaval en cuestión no parecía ser otra cosa que un ‘script kiddie‘ esta es una amenaza más a considerar en el entorno doméstico. Ahora cualquiera, supongo que por poco dinero, puede intentar acceder a tu conexión Wi-Fi y, si lo consigue, ya de paso, enterarse de lo que estás haciendo en la red. Y además alguien que vive cerca de ti.

Para echarse unas risas yo recomiendo, al que pueda, implantar la ‘Internet vuelta del revés‘. A ver si un día de estos flasheo mi router Wi-Fi con alguna distro de Linux.

Por otro lado, esto también es una oportunidad de negocio en el caso de que algún día nos cansemos o se cansen de nuestro trabajo actual. No muy honorable pero… ¿qué trabajo lo es?

  • la cerveza: mientras más bebes más te gusta pero más borracho estás.
  • los pañuelos: los usas para limpiarte cuando tienes mocos porque no eres capaz de curar el resfriado.
  • la felicidad: que es algo que se recuerda.
  • perdidos: te pasas un montón de años teniendo aventuras pero al final no te enteras de nada.
  • el tenis: que si no vas ganando, es que vas perdiendo.
  • los pañales: dado que no puedes educar al implicado, al menos intentas que no lo ponga todo perdido.
  • la filosofía zen: todo el mundo cree saber de qué va porque lo han visto en alguna película.
  • la amistad: si no la mantienes periodicamente, se acaba perdiendo.
  • los videojuegos: que siempre te quedas atrapado en alguna fase de la que no sabes salir.