Al final acabaremos haciendo una sección como la de Ethernet Exposed de Security by default y es que últimamente hay mucha gente a la que le parece interesante poner quioscos para que los que lleguemos al establecimiento podamos entretenernos en intentar vulnerarlos.

Os pongo algunos casos recientes (sin dar nombres, que luego me riñen).

Equipo para hacer cocinas de empresa sueca

La verdad es que ya ni me acuerdo cómo se conseguía esto, pero ahí está.

Equipo para encuesta de opinión de empresa sueca

Este equipo ya os sonará de la otra vez. Parece que han cambiado el software de las encuestas y que ya no funciona lo que antes funcionaba… pero hay otros métodos para salirse del modo quiosco.

Tienda online en tienda de menaje de empresa gallega

Este caso es especialmente curioso porque se trata de un iPad metido en un marco. No parece que tenga ningún tipo de software de quiosco ni nada. Únicamente que el botón del iPad está algo inaccesible… pero no imposible :).

Nuevos desafíos

No todo iba a ser color de rosas. Hay algunos quioscos que permanecen imbatidos. Como el de Nespresso del Corte Inglés, los totems de juego de la empresa esta sueca o algunos de los de la Universidad.

¿Conocéis quioscos a los que os gustaría que echáramos un vistazo? Envíanoslo y veremos qué podemos hacer. ¿Tenéis alguna historia de éxito que queráis compartir con nosotros? Si nos la mandas te la publicamos.

Lo gracioso de los quioscos de información es que siempre hay alguna forma de saltarselos. Seguramente influye el que los pongan donde hay gente aburrida y con tiempo para perder.

Después de algunos otros casos que hemos relatado aquí y otros que no puedo contar tenemos una nueva entrega de quioscos inseguros. En este caso le ha tocado a Adif y a sus puntos de información (information points).

Estos puntos permiten tener acceso a información sobre los servicios de trenes y tal. Se trata de una pantalla  muy grande y táctil. El navegador que utiliza es Google Chrome.

El problema es que es posible salirse del navegador fácilmente. ¿Cómo? Pues si sois de Adif echadnos un correito. Al resto, en el próximo Sec&Beer os lo cuento.

Algunas fotos sobre el tema para abrir boca.

Se trata de un entorno Windows que debe tener una aplicación local con Tomcat y MySQL. Parece que el dispositivo tiene interfaz bluetooth, lo que facilitaría las cosas porque la interfaz táctil era bastante perrillera.

En estos casos recordad que C:\WINDOWS\SYSTEM32\OSK.EXE es vuestro amigo. Aún así, era un dolor hacer cualquier cosa.

Lo curioso de los quioscos es que se confía en que no se puede salir del navegador, por lo que, una vez conseguido, es posible navegar por todo el disco, acceder a la red, navegar por cualquier sitio, tener acceso a aplicaciones locales, etc.

Estos equipos tendrían que estar configurados de forma segura y el usuario debería tener privilegios mínimos y visibilidad mínima del disco local y de la red. En la guía de Windows del CIS hay opciones de configuración paranoica para terminales públicos.

Por favor, aplicad este tipo de medidas cuando tengáis terminales de acceso público. Recordad que siempre hay algún modo de salirse del quiosco.

Un pequeño listado de recomendaciones si vais a hacer un quiosco de acceso público:

  • Aparte de la configuración en modo quiosco del navegador, también aplicad restricciones  en el sistema operativo: usuario con privilegios mínimos, limitada visión del disco, etc.
  • Limitad la conectividad del equipo a la mínima necesaria. Incluso, si podéis evitar utilizar recursos externos, mejor. Esto es, con un cortafuegos (nada de las limitaciones del navegador o del proxy que puedas quitar).
  • Cuidado con el Flash y otros applets similares, que pueden saltarse las restricciones que impongas en el navegador.

Y por último, haced pruebas de seguridad, no puede ser que alguien en cinco minutos consiga saltarselo. Eso significa que nadie lo ha intentado durante las pruebas. Y digo yo, ¿no es uno de los requisitos principales de estos cacharros, que no se pueda acceder al sistema operativo?

Siempre le he tenido ganas a los terminales públicos en general. Tal y como están pensados los sistemas operativos es complicado hacer un sistema de accceso público que impida totalmente escapar de las limitadas funciones que presenta.

En IKEA hay varios terminales con diversas funcionalidades y siempre que voy me da por echar un ojillo a alguno de ellos a ver si consigo escaparme de la interfaz. Si recordáis, hace tiempo conseguí navegar desde un terminal de consulta.

Esta vez le ha tocado el turno al terminal de encuesta de opinión.

Este terminal te muestra un navegador en modo pantalla completa en el que, supuestamente, sólo puedes marcar lo que opinas en una encuesta y escribir observaciones en un TEXTAREA. El terminal tiene un teclado completo y un ratón, cosa muy peligrosa.

Probando, todas las combinaciones de teclas que conozco de Windows estaban desactivadas excepto Alt-Tab, que nos deja ver el nombre del software empleado que parece llamarse OneBrowser. Aunque no he encontrado nada por Internet al respecto en una búsqueda rápida.

Probé a rellenar el TEXTAREA con un texto muy largo a ver si eso provocaba algún error en la aplicación pero no parece que tuviera efecto. Sin embargo, si terminas de rellenar el formulario aparece una página de agradecimiento con Ana. Ana parece ser un objeto Flash que te deja pulsar con el botón derecho y ver las típicas opciones de Flash.

Pulsando en ‘Print…’ obtenemos un cuadro de ‘Guardar como’ para un fichero .XPS ya que no parece que tengan configurada ninguna impresora. Y aquí es donde empieza la fiesta.

Desde este cuadro, que es un navegador al completo, no parece posible acceder a ficheros locales (sólo la unidad de CD) pero sí es posible ver equipos de red y carpetas compartidas.

Usando la ‘Vista previa’ o el ‘Abrir con’ es posible visualizar los documentos de estas carpetas. No llegué a probar si era posible navegar (seguramente no) ni a lanzar un interprete de comandos (que lo veo jodido) aunque teniendo la posibilidad de ejecutar aplicaciones seguro que algo se puede hacer.

Además, en este caso hay todo el tiempo del mundo porque yo todavía no he visto a nadie rellenar la hojita, no como en otros sitios donde no para de llegar gente y te da cosa.

Pese a que la configuración segura en los sistemas de IKEA es muy buena, no sé por qué razón el sistema no sólo se encuentra conectado al dominio sino que tiene acceso a sistemas y carpetas de red.

Quizá sea por tener el sistema actualizado o controlado desde el dominio. Pero esto tiene un riesgo mayor cuando se consigue escapar del modo quiosco.

En fin, mucho cuidadito con cómo diseñáis un sistema de acceso público y comprobadlo todo, aporread el teclado, pinchad en todos los sitios y aseguraos que no hay forma de escapar y, si alguien lo consigue, que no tenga mucho más que hacer.

Por cierto, al lado de uno de estos terminales me encontré un Ethernet Exposed. Por supuesto, no pude probarlo… ¿dará link?

Vamos a ver si animamos un poco esto que está algo decaído. Y nada mejor que un quiosco inseguro, que siempre es muy gracioso.

Desde lo del IKEA le tengo ganas a cualquier quiosco que pillo y siempre intento meterles mano. He pillado alguno más que no puedo contar porque son de clientes (algunos pagados y otros de buen rollo).

En particular, este que os cuento hoy ha sucedido esta mañana en unas oficinas de un organismo nacional del que prefiero mantener el anonimato.

El quiosco en cuestión está en la puerta para expedir los tiques de turno para ser atendido. Nada más verlo te das cuenta de que es un Explorer con una web.

Pues la cosa es que dándole varias veces en la esquina con el dedo así rápido conseguimos sacar el menú de imágenes del Explorer. A partir de ahí, es posible acceder al navegador de ficheros pulsando el último icono (que te lleva a ‘mis imágenes’), que te muestra también la barra de Windows.

Aquí os dejo una foto del hecho. Observad que se trata de Windows XP con servicios Novell y, al menos, tiene instalado el MySQL -Front. Este software es gracioso porque, según su descripción es:

MySQL-Front es una sencilla pero útil aplicación diseñada especialmente para desarrolladores que trabajan con MySQL.

Desde el primer momento en el que empiezas a usar este administrador descubres su facilidad para obtener información sobre las bases de datos, tanto de sus tablas como de su estructura y contenido.

Todo ello desde un interfaz muy intuitivo que recuerda bastante a la estructura del Explorador de Windows.

Con MySQL-Front se pueden realizar acciones básicas como añadir, borrar o modificar tablas, campos, registros, y además:

No parece muy necesario en un quiosco… Lo que me sorprende también es que tiene un software de quiosco… pero vamos, no parece ser muy efectivo contra acceso al sistema operativo.

Por cierto que, os estaréis preguntando… ¿pero tenia conexión a Internet? ¿Se podía acceder a otros equipos del organismo? ¿Qué privilegios tenía vuestro usuario? ¿Era parte del dominio? ¿Presume un pájaro cuando vuela? ¿Ha visto usted algún marciano?

Pues la verdad es que… ni puta idea. Lo primero es que el cacharro no tiene teclado físico. Así que por aquél entonces no sabía como lanzar uno virtual (parece que Windows XP trae un ‘on screen keyboard’ que puede lanzarse mediante el comando OSK).

Y lo segundo es que no paraba de entrar gente a por su turno y así no había manera de probar nada.

Por lo tanto, si vuelvo a ir ya os contaré, siempre y cuando no esté la cosa saturada de peña, que si no…

Para terminar, un poco de moralina. Y es que no se pueden tener quioscos así desprotegidos porque afectan a la seguridad de toda la organización y, en muchos casos, es trivial saltarse la protección del ‘modo quiosco’.

Y en este caso en concreto, ¿de verdad es necesaria una página web y un windows XP para cuatro botones que escupen un turno secuencial?

Si vas al IKEA veras que está lleno de unos terminales de libre acceso para consultas sobre los productos que se venden. Estos terminales ejecutan Internet Explorer sobre Windows en ‘modo kiosko‘.

El objetivo de este terminal es que seas capaz de navegar por la página de IKEA pero que no lo utilices ni para navegar por otros sitios ni para usar el sistema operativo ni acceder a su red interna.

Este tipo de situaciones tiene unos requisitos de seguridad específicos. Podéis leerlos mejor de lo que yo los pueda explicar en estas dos presentaciones.

Como veis existen múltiples medidas de seguridad necesarias (físicas, de red, de sistema, del propio kiosko, etc.). El problema es confiar en que el usuario no va a ser capaz de saltarse el ‘modo kiosko’. Ya que siempre hay algún desliz que hace que se pueda hacer algo más de lo previsto.

Por ejemplo, en el caso del terminal de IKEA, el modo kisoko está muy conseguido: ni menús del botón derecho, ni combinaciones de teclas, ni parece que puedas acceder a enlaces fuera de IKEA (ni siquiera al blog), ni pasa nada cuando pinchas sobre enlaces mailto.

A primera vista parece que lo único que podemos hacer es consultar los productos o hablar con Ana. Pero realmente se trata de un terminal con acceso a Internet al estilo IKEA, o sea, que te lo tienes que montar tú mismo.

Veamos cómo. Probando un poquito di con una página que permite descargarse un zip para tener IKEA en tu GPS (podéis buscar GPS en el buscador de arriba y es el único enlace que aparece). Si pincháis en TomTom, por ejemplo, podéis ver que sale un dialogo de abrir/grabar/cancelar. Y después viene un enlace para ‘ayuda’. Ups. Y si pinchas en ese enlace aparece la ‘ayuda’ que no es otra cosa que el Internet Explorer en modo ‘help browser”.

Pero claro, sólo podemos ver las páginas de ayuda… ¿o no? Pues resulta que si pincháis en el icono de la ventana una de las opciones es ‘jump to URL’.

Hasta aquí euforia :). Sin embargo, hay un proxy que corta todas las páginas (google, facebook, etc.). Parece que deja cargar la página principal de tiwtter pero sin CSS.. Vaya… Pero si pincháis sobre ‘options’ podéis acceder a las opciones de Internet donde para sorpresa de muchos es posible inhabilitar el proxy y acceder a google, por ejemplo. Bueno, a google sueco :) como veis en la foto.

Parece que, sin embargo, queda cierto filtrado porque no he podido llegar a la página de explotación de kioskos. Por ahora simplemente es posible navegar en el caso de que os haga falta, pero estoy seguro de que se puede hacer mucho más.

Como comenté antes, el problema es confiar que el usuario no va a saltarse el modo kiosko y dejar que pueda configurar el proxy. En este caso, la defensa en profundidad es el mejor remedio.