Los yanquees prefieren hackear routers y switches para espiar(te) : Argentina Indymedia (( i ))

versión para imprimir - envía este articulo por e-mail

Los yanquees prefieren hackear routers y switches para espiar(te)
Por Agencia Brutus Fans Club - Tuesday, Jan. 14, 2014 at 10:44 PM
reenvío BFC Global

No sé ya ni cuantas veces he visto conferencias de hacking de routers, switches, cámaras de vídeo-vigilancia o impresoras.... y yo, hasta he llegado a jugar con sensores de temperatura. Todas ellas tienen al final algunas conclusiones similares, pero las más importantes quizá desde el punto de vista de seguridad son:

1) sistemas operativos completos con muchas funcionalidades

2) Están dentro de tu red

Es cierto que el sistema operativo que funciona en una cámara de video-vigilancia o un switch de red no es un Controlador de Dominio de la red, pero en él se pueden ejecutar sniffers de red, servidores web, bases de datos, programas de hacking para hacer ataques de red en IPv4 & IPv6, etcétera, etcétera, etcétera.
En segundo lugar están dentro de la red de la organización, con lo que ofrecen el punto de apoyo que pedía Arquímedes para mover el mundo pero para capturar e interceptar todas las comunicaciones de red que se producen desde todos los sistemas informáticos que se encuentran allí.
Teniendo esto presente, según revela un artículo en el Washington Post, los espías de la NSA decidieron que la mejor forma de espiar el mundo era mediante el hackeo de los dispositivos de red de las empresas, para que desde allí tomar control del resto del sistema.

Proyecto Black Budget

Según un memorandum interno filtrado por Edward Snowden, el hacking de los dispositivos de red tiene muchas más ventajas que pueden ser aprovechadas para colarse dentro de una red:

- Desactualizados: Por desgracia es cierto que dentro de las empresas el plan de actualización de software no se toma tan en serio con los dispositivos de red como con los equipos informáticos, por lo que suelen encontrarse con vulnerabilidades conocidas.

- Contraseñas por defecto: El número de dispositivos que se encuentran con contraseñas por defecto es altísimo. Esto se basa muchas veces en la creencia de que no hay conexión desde fuera, lo que permite tomar el control de ellos fácilmente. En el artículo de Explorando una DMZ desde un servidor Citrix se puede ver claramente.

- Backdoors de fábrica: Aunque parezca raro, muchos de los fabricantes crean usuarios secretos dentro de los dispositivos con capacidades de administración. Ejemplos de ellos hay cientos, pero les dejo como ejemplo el backdoor de super usuario descubierto en el Proyecto Fin de Master de la UEM sobre la seguridad de cámaras de vídeo vigilancia.

- Faltos de auditoría de seguridad real de fábrica: Mientras que a los productos de software se les suelen hacer auditorías de seguridad robusta, a los sistemas que se implantan en los dispositivos de red de gama baja no suelen hacerse tan exhaustivas. Caso de ejemplo, la aparición de 0days como el que se publicó en el libro Hacker Épico en las cámaras de vídeo vigilancia que permite sacar las passwords remotamente.

- Falta de fortificación del dispositivo: Así como en el software de escritorio existen políticas corporativas que marcan cómo debe instalarse un equipo en la red, en el caso de los dispositivos no se hace de forma tan estricta por lo que es fácil que aparezcan con IPv6 instalado y sin configurar, con portales web desprotegidos o con servicios SNMPv1 o SNMPv2 sin ninguna seguridad.

- Sin software de seguridad: Mientras que los equipos de escritorio cuentan con soluciones antimalware para la protección de ataques o exploits - al menos algo hacen - en el resto de dispositivos de red nunca se ha pensado en poner ese tipo de medidas de forma extendida. Esto hace que sea más fácil usar cualquier herramienta e instalar cualquier software.

- Sin monitorización: Muy pocas son las empresas que tienen una monitorización completa de todo lo que está pasando en todos los dispositivos conectados a la red de la organización. Es cierto que routers o switches de gama alta en empresas medianas y grandes son monitorizados, pero no suele monitorizarse la totalidad de los dispositivos que se conectan, entre otras cosas porque muchos de los equipos carecen de esas funcionalidades.

Todo esto fue tenido en cuenta por la NSA, y desde el año 2011 han estado hackeando y controlando todos los dispositivos que han podido, manejando equipos en redes de todo el mundo, especialmente en China, Rusia ... y países amigos.
Si estás gestionando una red, o llevando la política de seguridad de una organización, revisá todas estas cosas, ya que además muchos de estos dispositivos salen haciendo un poco de hacking con buscadores en sitios como Shodan, lo que te expone más aún.

MÁS DE LO MSMO LLEVADO AL MÁXIMO

La NSA lleva años forzando a los exportadores de hardware y software estadounidenses a que rebajen su seguridad o que incluso introduzcan bugs a propósito para facilitarles el acceso a ellos en caso de necesidad.
Es decir, que tanto a nivel de protocolos de Internet como a nivel del hardware de red, existen con seguridad "ventanas" que la NSA puede emplear.
Pero los datos que le interesan los puede agarrar directamente de los "cables" de la Red. Basta con tener unas sondas en los intercambiadores suficientes y podrían reunir todo el tráfico de Internet. Si no me creen lo que digo, echar un vistazo al proyecto TEMPORA de los británicos o al gallego Sintel, de nuestra querida Madre Puta. El de los británicos es capaz de retener todo el flujo de Internet de tres días. Casi nada.
Así que... para qué molestarse entrando en nuestros routers?. En caso de necesidad, lo pueden hacer con la gorra y el arma reglamentaria.