miércoles, 27 de abril de 2016

OSINT Parte III - La (in)seguridad del IoT

Buenas,

Esta entrada es la tercera y última para completar el capítulo de OSINT. En este post se va a comentar los buscadores de dispositivos conectados a Internet y cómo pueden ser accedidos de forma remota a través de Internet. Este auge de los dispositivos "inteligentes" es el llamado "Internet de las Cosas" (IoT), que está muy relacionado con los buscadores como Shodan o Censys.

Shodan es un buscador, pero no es un buscador como Google o Bing. Es un buscador diferente, está pensado para encontrar  dispositivos conectados a Internet. Descubre y obtiene información de unos 500 millones de dispositivos conectados a Internet cada mes. Desde cámaras de seguridad, aires acondicionados, frigoríficos, smartTV,... pasando por puertas de cocheras, sistemas VoIP, sistemas de calefacción,…





Simplemente por el hecho estar estos dispositivos conectados a Internet ya es un riesgo, pues pueden ser controlados mediante acceso remoto. Estas configuraciones erróneas pueden ser una null session, es decir, no requieren ninguna autenticación o a través de un nombre de usuario y una contraseña. Sin embargo, en la mayoría de casos dichas credenciales son la de por defecto, siendo fáciles de encontrar en el manual del fabricante.

Shodan permite realizar diferentes tipos de búsquedas en función de los inputs introducidos: IP, localización geográfica, puertos, contraseñas por defecto, protocolo,...

Probando por usuario y contraseña por defecto, se encuentran 13.121 resultados con:

Nombre de usuario: admin
Contraseña: 1234





En la parte izquierda se pueden ver los servicios y los países donde se han encontrados dispositivos, máquinas, cámara de vídeo-vigilancia sistemas de entornos industriales conectados a Internet que bien pueden ser consultados o ser controlados por acceso remoto.

En este ejemplo, en el primer puesto está el servicio HTTP y el país top es Taiwan con 1.974 dispositivos.

Si se prueba el acceso a uno de los dispositivos encontrados:



Por lo que introduciendo los credenciales por defecto que se han visto, se podría obtener acceso.

Es importante resaltar que está información es pública y conocida, sin embargo, si se considera un delito acceder a dichos servicios si para ello se requiere saltarse una medida de protección, como puede ser un panel de login.

Del mismo Shodan también permite búsquedas de cámaras de video-vigilancia desde las típicas de un aparcamiento de un centro comercial hasta las de las tiendas de alimentación. Sin embargo, la mayoría si requieren de username y password.

Por ejemplo para buscar cámaras de vídeo en España sería:

Server: SQ-WEBCAM country:es






Permitir el acceso remotamente es una ventaja para la persona encargada de su funcionamiento. Sin embargo, esta ventaja es peligrosa debido al uso de una autenticación por defecto que bien se puede sacar del manual del fabricante o son las típicas de “admin” “admin” o “admin”1234. 




Es necesario revisar estos procedimientos de autenticación para evitar un acceso no permitido, en especial cambiar las contraseñas por defecto.

Además de Shodan, también existe Censys. Censys recopila data en los servidores y sitios web diariamente, escaneando todo el espectro de direcciones IPv4 y cada vez más IPv6.




Normalmente una búsqueda muy recurrida son los servidores FTP. Es un problema conocido la existencia de servidores FTP en los que no es necesario loguearse, por lo tanto, introduciendo las keywords: FTP "anonymous access allowed" se tiene:




Haciendo clic en él incluso se puede obtener su localización geográfica:



El propio banner nos indica que se encuentra activo en este momento.

Otras búsquedas más modernas en relación al IoT son las casas domóticas, que posibilitan el acceso a los servidores de control de tal manera que se pueden controlar las luces, puerta del garaje, cortinas, cámaras, alarma,...Es realmente sencillo encontrar sus credenciales por defecto en el manual de usuario y por lo tanto, lograr su acceso si no se han cambiado.




En conclusión, hay que tener en cuenta que el acceso a los dispositivos, servidores, cámaras,...se implementa con objeto de proporcionar usabilidad a los usuarios, sin embargo, es necesario tener presente las amenazas que esto incorpora. 

No nos sirve de nada que un técnico desde su casa se conecte para controlar unos servicios si para ello, no necesita autenticación o si está es por defecto, empleando los credenciales que son fácilmente deducible. Por ejemplo, si un ciberdelincuente logra acceder a la cámara de vigilancia de una tienda y la puede girar apuntando la techo con objeto de realizar un robo físico y no sean grabados.

Hay que recordar que esta entrada sólo pretende, mediante fines educativos indicar los dispositivos que pueden ser accedidos remotamente, en muchos casos, gracias a la información pública, que se encuentra en Internet. Por lo tanto, se indica específicamente que no se debe acceder ( o intentar loguearse) contra dispositivos sin tener autorización.

Saludos.

NaxHack5

"La mejor defensa es un buen ataque"

No hay comentarios:

Publicar un comentario

Google Analytics