Default Passwords: Adelante por favor

9,589 views
9,355 views

Published on

Charla sobre contraseñas por defecto impartida por Chema Alonso en las Jornadas de Seguridad de la Universidad de A Coruña de 2011

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
9,589
On SlideShare
0
From Embeds
0
Number of Embeds
3,247
Actions
Shares
0
Downloads
358
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Default Passwords: Adelante por favor

  1. 1. Default Passwords:Adelante por favor!<br />Chema Alonso<br />chema@informatica64.com<br />@chemaalonso<br />
  2. 2. Qué plantel!!!<br />http://www.elladodelmal.com/2010/12/compra-ya-tu-calendario-torrido-2011.html<br />
  3. 3. Contraseñas<br />Son sistemas de autenticación…<br />Fácilmente copiables<br />Por «mirones»<br />Por troyanacos<br />Por sniffers de red<br />Por la misma porquería…<br />
  4. 4. Contraseñas<br />Si son complejas los usuarios no las recuerdan….<br />http://www.elladodelmal.com/2008/04/leyendas-urbanas.html<br />
  5. 5. Contraseñas: Nivel Master<br />
  6. 6. La primera password<br />Todo «aparato» o «sistema» cuando se monta necesita una password por defecto…<br />… que debe ser cambiada, pero…<br />…pero…<br />…pero…<br />
  7. 7. La pereza nos puede…<br />
  8. 8. Y usamos…<br />Passwords por defecto<br />Passwords repetidas<br />Passwords simplonas<br />1234<br />Admin<br />qawsedrftg<br />Passwords con «un método infalible»<br />
  9. 9. Algunos ejemplos<br />
  10. 10. El caso Dan Kaminsky…<br />Cuñao!!!!!<br />Usaba un método infalible:<br />Fuck.facebook, fuck.gmail, fuck.twitter…..<br />
  11. 11. Gracias a las claves por defecto no hay que ser un superhero para colarse<br />
  12. 12. Pero la nueva ley dice…<br />3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...<br />http://www.elladodelmal.com/2010/11/o-todos-bot-o-el-spider-al-rio.html<br />
  13. 13. ¿Qué es una medida de seguridad?<br />
  14. 14. ¿Qué es una medida de seguridad?<br />http://www.elladodelmal.com/2010/02/cuando-sali-de-usa.html<br />
  15. 15. ¿Lo son las passwords por defecto?<br />¿ein?<br />
  16. 16. Mac OS X: Carpetas compartidas<br />Utiliza el protocolo AFP (Apple FilingProtocol)<br />Puerto de conexión por el 548 o 427<br />Hasta la versión 10.6.4 (22 Sep 2010) usuarios podían conectarse sin password.<br />Por defecto usuario invitado en carpetas compartidas.<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  17. 17. Mac OS X: Carpetas compartidas<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  18. 18. Mac OS X: Carpetas compartidas<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  19. 19. Mac XServe: Raid Server<br />Servidores comercializados por Apple para almacenamiento de datos<br />Utilizan un servidor web de Apple para gestión.<br />Apple Web Embedded Server<br />Por defecto no tiene robots.txt<br />Entran en buscadores por:<br />Arañas IP<br />Servicios de reporte de URLs:<br />Google Chrome, Barra Bing, etcétera<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  20. 20. Mac XServe: Raid Server<br />Contraseñas por defecto:<br />Fácil de descubrir con Shodan<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  21. 21. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  22. 22. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  23. 23. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  24. 24. HoneyWellWebStat<br />Empresa que hace …hasta aviones.<br />Tiene sistemas de termostatos controlables de forma centralizada.<br />Descubiertos por Shodan<br />Contraseñas por defecto, por supuesto.<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  25. 25. HoneyWellWebStat<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  26. 26. HoneyWellWebStat<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  27. 27. ¿Hace calor aquí o es cosa mía?<br />Demo…..<br />
  28. 28. Cámaras de seguridad<br />Múltiples modeloscon múltiples contraseñas por defecto: admin, 1234, 123456, etcétera.<br />Hay que buscar para cada modelo su contraseña por defecto.<br />Lo difícil suele ser descubrirlas, porque suelen utilizar puertos especiales.<br />Instaladores tienen predilección por el 81. <br />Shodan o nmap.<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  29. 29. ¿Por qué el puerto 81?<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  30. 30. ¿Por qué el puerto 81?<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  31. 31. Y por supuesto…siguen por defecto<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  32. 32. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  33. 33. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  34. 34. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  35. 35. Wow! Theydidit!<br />
  36. 36. Password por defecto: Nivel Master<br />http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html<br />
  37. 37. Password por defecto: Nivel Master<br />http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html<br />
  38. 38. Domótica: Alltogether<br />Sistemas de control de todo el hogar<br />Luces<br />Cámaras de Seguridad<br />Alarmas<br />Temperatura<br />….<br />Por supuesto tienen passwords por defecto<br />http://windowstips.wordpress.com/2010/11/16/paranormal-activity/<br />
  39. 39. Mi casa…<br />http://windowstips.wordpress.com/2010/11/16/paranormal-activity/<br />
  40. 40. Sistemas de VoIP<br />Centralitas y terminales usando SIP<br />Permiten conexión por Lan<br />Gran número de modelos<br />MySpeed<br />Xavi<br />CISCO<br />Snoom<br />…<br />http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html<br />
  41. 41. Teléfono…<br />http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html<br />
  42. 42. Montar un sistema VoIP nivel master<br />Demo…..<br />
  43. 43. ¿Cómo solucionar esto?<br />
  44. 44. ¿Preguntas?<br />Chema Alonso <br /><ul><li>chema@informatica64.com
  45. 45. http://www.informatica64.com
  46. 46. http://www.elladodelmal.com
  47. 47. http://twitter.com/chemaalonso
  48. 48. http://www.forefront-es.com
  49. 49. http://www.seguridadapple.com
  50. 50. http://www.windowstecnico.com</li>

×