Relacionado con el post anterior.
INFORMATION GATHERING CON SHODAN + LOS ACCESOS POR DEFAULT
jueves, 30 de junio de 2016
Un especialista de seguridad de la Red y Sistemas tiene que realizar los afinamientos necesarios para proteger la red de una intrusión externa o interna, no todo depende del sistema de firewall perimetral, del balanceador o de los antivirus, se sabe que hay forma para saltar estos controles, además, que también estos tienen vulnerabilidades que pueden ser explotadas, no existe software perfecto.
Para contrarrestar cualquier ataque o intrusión, lo mejor es realizar pruebas de penetración a la red (Pentesting), para descubrir los puntos débiles de la red y trabajar en ellas, sólo así subsanaremos las fallas de seguridad.
La primera parte de una prueba de penetración (Pentesting) es la recolección de información (Information Gathering), en este caso es recopilar la mayor información posible sobre el objetivo u organización, los dominios, las IP, los servicios, versiones, puertos abiertos y Sistemas Operativos que trabajan en aquella red.
Existen una gran variedad de herramientas para lograr esto, entre ellos se utilizan, Shodan, Google Hacking, Robtex y otros.
Yo utilizaré en está ocasión Shodan, un motor de búsqueda de dispositivos conectados a Internet, esto quiere decir que encuentra router, servidores y otros dispositivos.
Basta con escribir la URL shodan.io (https://www.shodan.io) y accederán a la página web del buscador.
Luego en el campo de texto del buscador escribes el dominio de la organización y obtienes una variedad de resultados, la IP, el dominio y servicios levantados en ellas, estos resultados mostrados en una búsqueda a nivel mundial.
Ahora también se pueden probar las claves por defecto (default), por ejemplo admin+admin, o también admin+1234, pruebo esta ultima y el resultado es asombroso, 9717 resultados entre routers y otros dispositivos a nivel mundial como se ve en el gráfico.
Vaya sorpresa, una empresa de telecomunicaciones que cuenta con especialistas en sistemas y redes, utiliza una clave por defecto y este es su gateway principal, esto es sumamente peligroso, más tratándose de una empresa reconocida a nivel mundial y con millones de dispositivos conectadas a ella.
Probaré para comprobar si el acceso esta permitido.
Nota: siempre respetando, por ética de no ir más allá, ni cambiar la configuración del dispositivo, esto se realiza sólo con fines de prueba. Es más se comunica a la empresa para que resuelvan esta vulnerabilidad.
Grande es mi sorpresa, estoy dentro del dispositivo, imagínense si un ciberdelincuente accede a este, puede hacer cualquier cosa, empezando por cambiar la clave de acceso al dispositivo y ser él exclusivo en este, además de ataques de hombre en el medio, capturar el tráfico, infectar los servidores o inclusive ejecutar el tan temido rasomware, rotkits u otro malware persistente.
Y esto se logró solo haciendo una recolección de información, ahora se dan cuenta, lo peligroso que resulta no cambiar las claves de acceso a todo los dispositivos de la red.
Una clave de acceso por default puede poner fin a tu organización en el mercado global.
Especialízate y no seas uno más del montón, protege tu red como un profesional completo, sé apasionado en tu especialidad, sé el mejor.
Todo lo expuesto en esta publicación son con fines educativos, sobre la cultura y seguridad informática., no me responsabilizo del mal uso que hagan con ella.
Saludos.
Punto 1.4 -> http://admlinux.cubava.cu/2016/01/26/sugerencias-de-seguridad-en-servidores/, la gente no hace caso…
Saludos, Koratsuki.
Primero que todo, gracias por su comentario. Se agradece muchísimo.
Sí, tiene toda la razón (y muy bueno el post). Yo me he topado muchos colegas que le dejan la contraseña por defecto a los equipos o ponen contraseñas demasiado evidentes. 🙁 Y mira que les repito las cosas hasta la saciedad, pero parece que hay que usar una pistola de aire caliente para incrustárselo a fuego en el micro. 😀
No es que haya que incrustárselo en el micro, no… Hay que mandar todo el contenido de su cerebro a /dev/null, porque mira que los hay brutos… Es solo aplicar lo que se estudia.
Pero para eso estamos nosotros, para recordarles como deben hacer las cosas…
Un salu2, tu blog también está bueno 😛
Saludos, Koratsuki.
Jajajajajajajaja. Está bueno eso. Pensé que luego ibas a meter nuevos datos en el micro otra vez. 😀
Sí, aunque no sé si por fortuna o por desgracia, porque… hagamos lo que hagamos, somos los mal mirados. 🙂
Ah, y gracias por tu opinión sobre el blog. 😀
Ná, no es que seamos mal mirados, es que nosotros hacemos nuestro trabajo, los demás no… Y no es criticarlos, no… Es ayudarlos a entender lo que sucede cuando eso pasa… por ejemplo, se de muchos administradores que dejan la contraseña del Xampp, Wamp, o como se llame en root:root, y ya, para ellos eso está bien. Por eso escribo cositas como -> http://admlinux.cubava.cu/2016/03/07/administrador-de-red-en-serio/, o artículos como -> http://admlinux.cubava.cu/2016/03/08/guia-del-administrador-de-red/.
Mi recomendación, escuchen a los mayores, que oyendo consejos se llega a viejo…
Otra cosa, como ando sin internet, en estos lares en los que trabajo, disculpa si no comento seguido, el acceso a las redes se me hace complicado…
Salu2 hermano y mantén el blog…
Saludos, Koratsuki.
Sí, tienes toda la razón. Aunque ya uno lleva mucho tiempo en esto, a veces se pierden buenas prácticas, lo que hace que cada cierto tiempo volvamos a nuestros orígenes. Y sí, hay muchos admines que dejan la contraseña por defecto en muchas configuraciones, acá tengo algunos colegas que hacen eso (en ese aspecto: ¿sabías que una buena parte de ellos me dice «abuelo cascarrabias» o «padrino»?, me hacen sentir viejo, caray). 🙁
Espero que muchos escuchen hagan eso, escuchar consejos.
No te preocupes, yo también he estado desconectado algunas veces y sé lo que se siente.
Trataré de seguir tu consejo. Saludos a ti también. 😀
??… Blog argentino? Hola, soy el autor de la publicación original y el blog no es argentino jeje, y por cierto les dejo el nuevo enlace del blog ya que cerré el blog Máxima Seguridad corp y aperture Máxima Seguridad corporation por un tema con Google Adsense, les dejo el link https://maximaseguridadcorporation.blogspot.pe/2016/07/information-gathering-con-shodan-los.html yo gustoso de colaborar en temas de Ciberseguridad, saludos, desde Perú, Rafael Huamán Medina -Rayohack, especialista TIC y en Ciberseguridad https://pe.linkedin.com/in/marcelo-rafael-huam%C3%A1n-medina-472a9944?trk=prof-samename-name
Saludos, Rafael.
Primero que todo, gracias por su comentario.
Disculpe mi error, es lo que vi en Internet. No obstante, muchísimas gracias por el dato. 🙂
Su nuevo blog será visto y revisado con frecuencia desde acá. Muchísimas gracias por el enlace nuevo. 🙂