Default Passwords: Adelante por favor
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Default Passwords: Adelante por favor

  • 8,577 views
Uploaded on

Charla sobre contraseñas por defecto impartida por Chema Alonso en las Jornadas de Seguridad de la Universidad de A Coruña de 2011

Charla sobre contraseñas por defecto impartida por Chema Alonso en las Jornadas de Seguridad de la Universidad de A Coruña de 2011

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
8,577
On Slideshare
5,956
From Embeds
2,621
Number of Embeds
13

Actions

Shares
Downloads
327
Comments
0
Likes
1

Embeds 2,621

http://www.elladodelmal.com 2,559
http://static.slidesharecdn.com 39
http://paper.li 8
http://juan.dyndns-blog.com 3
http://dashboard.bloglines.com 2
http://www.netvibes.com 2
http://epropias.cv.uma.es 2
http://rsscorner.com 1
http://feeds.feedburner.com 1
http://localhost:82 1
http://anonymouse.org 1
http://127.0.0.1:8795 1
http://translate.googleusercontent.com 1

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Default Passwords:Adelante por favor!
    Chema Alonso
    chema@informatica64.com
    @chemaalonso
  • 2. Qué plantel!!!
    http://www.elladodelmal.com/2010/12/compra-ya-tu-calendario-torrido-2011.html
  • 3. Contraseñas
    Son sistemas de autenticación…
    Fácilmente copiables
    Por «mirones»
    Por troyanacos
    Por sniffers de red
    Por la misma porquería…
  • 4. Contraseñas
    Si son complejas los usuarios no las recuerdan….
    http://www.elladodelmal.com/2008/04/leyendas-urbanas.html
  • 5. Contraseñas: Nivel Master
  • 6. La primera password
    Todo «aparato» o «sistema» cuando se monta necesita una password por defecto…
    … que debe ser cambiada, pero…
    …pero…
    …pero…
  • 7. La pereza nos puede…
  • 8. Y usamos…
    Passwords por defecto
    Passwords repetidas
    Passwords simplonas
    1234
    Admin
    qawsedrftg
    Passwords con «un método infalible»
  • 9. Algunos ejemplos
  • 10. El caso Dan Kaminsky…
    Cuñao!!!!!
    Usaba un método infalible:
    Fuck.facebook, fuck.gmail, fuck.twitter…..
  • 11. Gracias a las claves por defecto no hay que ser un superhero para colarse
  • 12. Pero la nueva ley dice…
    3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...
    http://www.elladodelmal.com/2010/11/o-todos-bot-o-el-spider-al-rio.html
  • 13. ¿Qué es una medida de seguridad?
  • 14. ¿Qué es una medida de seguridad?
    http://www.elladodelmal.com/2010/02/cuando-sali-de-usa.html
  • 15. ¿Lo son las passwords por defecto?
    ¿ein?
  • 16. Mac OS X: Carpetas compartidas
    Utiliza el protocolo AFP (Apple FilingProtocol)
    Puerto de conexión por el 548 o 427
    Hasta la versión 10.6.4 (22 Sep 2010) usuarios podían conectarse sin password.
    Por defecto usuario invitado en carpetas compartidas.
    http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html
  • 17. Mac OS X: Carpetas compartidas
    http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html
  • 18. Mac OS X: Carpetas compartidas
    http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html
  • 19. Mac XServe: Raid Server
    Servidores comercializados por Apple para almacenamiento de datos
    Utilizan un servidor web de Apple para gestión.
    Apple Web Embedded Server
    Por defecto no tiene robots.txt
    Entran en buscadores por:
    Arañas IP
    Servicios de reporte de URLs:
    Google Chrome, Barra Bing, etcétera
    http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html
  • 20. Mac XServe: Raid Server
    Contraseñas por defecto:
    Fácil de descubrir con Shodan
    http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html
  • 21. Mac XServe: Raid Server
    http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html
  • 22. Mac XServe: Raid Server
    http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html
  • 23. Mac XServe: Raid Server
    http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html
  • 24. HoneyWellWebStat
    Empresa que hace …hasta aviones.
    Tiene sistemas de termostatos controlables de forma centralizada.
    Descubiertos por Shodan
    Contraseñas por defecto, por supuesto.
    http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html
  • 25. HoneyWellWebStat
    http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html
  • 26. HoneyWellWebStat
    http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html
  • 27. ¿Hace calor aquí o es cosa mía?
    Demo…..
  • 28. Cámaras de seguridad
    Múltiples modeloscon múltiples contraseñas por defecto: admin, 1234, 123456, etcétera.
    Hay que buscar para cada modelo su contraseña por defecto.
    Lo difícil suele ser descubrirlas, porque suelen utilizar puertos especiales.
    Instaladores tienen predilección por el 81.
    Shodan o nmap.
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 29. ¿Por qué el puerto 81?
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 30. ¿Por qué el puerto 81?
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 31. Y por supuesto…siguen por defecto
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 32. Password por defecto: Nivel Avanzado
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 33. Password por defecto: Nivel Avanzado
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 34. Password por defecto: Nivel Avanzado
    http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html
  • 35. Wow! Theydidit!
  • 36. Password por defecto: Nivel Master
    http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html
  • 37. Password por defecto: Nivel Master
    http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html
  • 38. Domótica: Alltogether
    Sistemas de control de todo el hogar
    Luces
    Cámaras de Seguridad
    Alarmas
    Temperatura
    ….
    Por supuesto tienen passwords por defecto
    http://windowstips.wordpress.com/2010/11/16/paranormal-activity/
  • 39. Mi casa…
    http://windowstips.wordpress.com/2010/11/16/paranormal-activity/
  • 40. Sistemas de VoIP
    Centralitas y terminales usando SIP
    Permiten conexión por Lan
    Gran número de modelos
    MySpeed
    Xavi
    CISCO
    Snoom

    http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html
  • 41. Teléfono…
    http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html
  • 42. Montar un sistema VoIP nivel master
    Demo…..
  • 43. ¿Cómo solucionar esto?
  • 44. ¿Preguntas?
    Chema Alonso
    • chema@informatica64.com
    • 45. http://www.informatica64.com
    • 46. http://www.elladodelmal.com
    • 47. http://twitter.com/chemaalonso
    • 48. http://www.forefront-es.com
    • 49. http://www.seguridadapple.com
    • 50. http://www.windowstecnico.com