.

.

viernes, 14 de octubre de 2016

SHODAN: El buscador del Internet de las cosas


Este artículo trata sobre el buscador de dispositivos conectados a internet más potente del mundo: SHODAN.

Todos a día de hoy hemos escuchado hablar del "internet de las cosas". ¿Qué es esto? Pues ni más ni menos una expresión que hace referencia a todos los dispositivos conectados a internet, bajo una IP, simple y sencillo: cámaras de seguridad, frigoríficos, alarmas, impresoras, web cam, semaforos, farolas,... y todos los dispositivos que sus dueños conectan a Internet, a veces (la mayoría de ellas) sin la seguridad necesaria.

Shodan busca direcciones HTTP conectadas a Internet, muchas provenientes de la deep web imposibles de encontrar para otros buscadores como Google, Firefox, etc. Localiza cualquier dispositivo que sea visible en la Red. Además del mencionado HTTP (puerto 80), también recoge datos FTP (p 21), SSH (p 22) Telnet (p 23), SNMP (p 161) y SIP (p 5060).


Shodan tiene servidores ubicados en todo el mundo y además proporciona una API pública que permite a otras herramientas acceder a todos los datos encontrados.

Lo primero que tenemos que hacer es acceder a la url oficial y crear una cuenta:
https://www.shodan.io/

 Lo siguiente, ya que yo no os lo voy a mostrar, es que seais curiosos y navegueis por las diferentes pestañas y opciones de menú de SHODAN.
Una vez que os hayais movido un poco por el entorno podemos seguir. Yo voy a ir directamente a entrar en acción.

¿Que hace SHODAN? Pues vamos a verlo...
Como en cualquier otro buscador, tenemos la barra de búsqueda en la que añadiremos el valor que queramos buscar y daremos a intro para ver que resultados nos devuelve. En el caso de SHODAN lo que vamos a buscar son dispositivos de cualquier tipo conectados a la red.
Para haceros una idea de que se puede buscar, os aconsejo que os metais en un primer momento en el apartado "Explore" donde se puede ver un Top de búsquedas hechas en el sitio, las últimas, lo más buscado, etc. Y ante todo navegar y navegar probando este fantastico buscador, ya que en cualquier momento os puede sorprender... cuentan sus creadores que ellos mismos se han  visto sorprendidos llegando a encontrar centrales nucleares, centrales electricas, o la línea de semaforos de una ciudad entera.

 Para que os hagais una ligera idea, yo mismo haciendo este artículo, escribia en el buscador la palabra "camara" y me lleve una pequeña sorpresa.
Aquí en la siguiente imagen se puede ver el entorno que nos ofrece SHODAN.
Devuelve todos los resultados encontrados y los separa por país, servicio, organización, ...
y a la derecha se pueden ver ya directamente direcciones IP con el lugar de procedencia, la compañía telefonica que ofrece el servicio y más a la derecha una descripción más detallada, en donde podemos ver datos tan interesantes como la MAC, el host, IP y MAC alternativas, producto y versión, etc.


 Quería mostrar algo como camaras de seguridad o algo por el estilo, ya que puede ser algo muy vistoso y resultón.
 Filtro por país...



Y mi sorpresa viene cuando veo entre los resultados esto:


Os podeis imaginar. Ya solo esta imagen vale más que mil palabras..., tenemos un equipo con el nombre "MIRIAM_PORTATIL" y Shodan directamente nos está mostrando el nombre de los directorios, con nombres tan apetecibles de hackear como "Backups_Rafa", "Fotos", "Rafa-Movil", etc... ¿Veis el potencial de este buscardor?

Evidentemente omito la IP... pero cualquiera con fines maliciosos o que le pueda más la emoción que la razón lo tiene muy facil. Porque si fuese poco, SHODAN nos ofrece en bandeja hasta la ubicación de esta IP.









Con tantas facilidades y aunque solo sea por curiosidad, solo tendría que empezar por ejemplo por aquí...


... y a ver que pasa.

Volviendo a SHODAN y a la idea inicial de las cámaras:
Podemos filtrar, buscando por ejemplo por los diferentes tipos de marca de cámaras de seguridad:
  • Webcamxp
  • Acti
  • Axis
  • Sony
  • Cisco
  • Toshiba
  • Panasonic
  • Y un largo etc...

En el resultado SHODAN nos dará una serie de IPs como hemos visto en ejemplos anteriores, solo tendremos que pinchar sobre muchas de ellas y directamente tendremos acceso a la cámara. Si no, con copiar y pegar la IP en el navegador, añadiendo el puerto 8080 en muchas debe de valer.

Tienda de alimentación en México

Algunas veces no hace falta ni acceder a la propia cámara, siendo Shodan quien incluso nos ofrece la imagen.
Aquí vemos como a través del navegador, he conseguido acceder al circuito de cámaras de la Universidad Princeton en Estados Unidos, donde Shodan me ofrece diferentes camaras del circuito perteneciente a una IP concreta.












A estas alturas, muchos no habeis parado de clicar y pegar direcciones IP y estareis cabreados porque muchas de ellas están protegidas y no os muestran nada.


Pero que no cunda el pánico... Pues aunque no lo creais, lo que suelen decir las noticias diariamente sobre la mala gestión de contraseñas es verdad.

Para mayor ejemplo, el otro día estuve en una conferencia sobre seguridad y dieron un dato muy gracioso que yo desconocía. Sacaron a relucir un informe que habían hecho en referencia al famoso hackeo a Aslhey Madison, con las 50 contraseñas más usadas... xD (risas en la sala). Como la más usada (el top 1) estaba, no recuerdo el número exacto y no lo voy a buscar ahora, pero con muchos más de 100.000: 123456. Pero no os lo perdais, la siguiente en el ranking con unos 50.000: 12345.

IMPRESIONANTE, sobre todo si contamos que hablamos de una web para infieles y se supone que no quieren que su mujer les pille.
Bueno pues esto era solo una anécdota para que cojáis el concepto de lo vaga que es la gente cuando de poner contraseñas se trata. Dicho esto, me quiero referir a que un grandiiiiisimo número de cámaras que os pidan contraseña, tendrán la que viene por defecto, por qué jamás nadie se planteo que podían espiarle a través de ella.

Solo tenéis que buscar en Google o donde os de la gana: "Password (O contraseña) por defecto para "nombre de la cam"" así o claro está en ingles, que tendreis más resultados : (Nombre de la cámara) "default password".

En el caso de la de la imagen anterior, una Webcamxp, las credenciales por defecto suelen ser: Nombre=Admin y Contraseña= (ninguna).... y ahí lo teneis.

























Doy por acabada esta entrada por hoy.... pero no os preocupeis por que SHODAN da para algunas entradas más.
Nos vemos en la siguiente.
H@ppy H@cking!!

lunes, 10 de octubre de 2016

"Sandbox" el termino de moda de este otoño

Sandbox (Caja de arena)
 Aunque este es un blog en su mayoría dedicado a la actividad técnica, no excluye entradas teóricas o de cualquier tipo en cuanto a lo que a seguridad informática o de la información se refiere. Y hoy es uno de esos días! xD
Quiero dedicar esta breve entrada a mencionar unos terminos que aunque no son nuevos ya que llevan un tiempo entre nosotros, si bien es cierto que deben de estar muy de moda y es que en las últimas conferencias y eventos dedicados a la seguridad,  a los que he estado asistiendo en el último mes, no he escuchado otra cosa por parte de todos los ponentes que sandbox, sandbox, sandbox,...

 Pues aunque para muchos de los lectores de este blog sea algo evidente y básico, hay otros muchos que no lo han escuchado o que tienen una vaga idea, pero no lo terminan de tener claro. Para estos últimos va dirigida esta entrada.

¿Qué es Sandbox?

A parte de significarse en castellano "Caja de arena" (si de esas en las que juegan los niños con sus cubos en algunos parques), en informática se denómina a entornos aislados, entornos situados fuera de la parte general/principal de un sistema, una red, un sistema operativo... dependiendo del contexto... pero siempre un entorno aislado.
Puede ser o denominarse así a una zona de la memoria completamente aislada del resto de la memoria disponible, con el objetivo de ejecutar un programa o aplicación para verificar si contiene malware o software malicioso. También a un entorno de pruebas (virtual) que aísla los cambios en el código, fruto de la experimentación, del propio entorno de producción o entorno de edición.

 En conclusión, un mecanismo para ejecutar programas con seguridad y de manera separada al resto del sistema, para no ponerle en riesgo, de cuales quiera sean las causas.
Por ejemplo, podemos encontrar aislamiento del tipo Sandbox en muchos antivirus, que lo utilizan para aislar programas en ejecución, para mantener el equipo protegido.

El Sandbox es normalmente desarrollado y gestionado mediante herramientas destinadas al control de revisiones, de manera que se pueda trabajar con una copia del código fuente original, para crear un entorno similar al real, sin dañarlo o modificarlo.
Este entorno es utilizado normalmente por desarrolladores a forma de espejo de un sistema original, para probar nuevo software producido y posteriormente migrar su aplicación al entorno de producción después de haberlo testeado.

Asimismo, podemos utilizar sandbox solitarios como sandboxie para windows (software que crea un «contenedor» dentro del cual los programas de aplicación se ejecutan de forma segura) para evaluar aplicaciones pequeñas y evitar ser víctimas de ciberdelincuentes.