Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Default Passwords: Adelante por favor

10,048 views

Published on

Charla sobre contraseñas por defecto impartida por Chema Alonso en las Jornadas de Seguridad de la Universidad de A Coruña de 2011

Published in: Technology
  • Be the first to comment

Default Passwords: Adelante por favor

  1. 1. Default Passwords:Adelante por favor!<br />Chema Alonso<br />chema@informatica64.com<br />@chemaalonso<br />
  2. 2. Qué plantel!!!<br />http://www.elladodelmal.com/2010/12/compra-ya-tu-calendario-torrido-2011.html<br />
  3. 3. Contraseñas<br />Son sistemas de autenticación…<br />Fácilmente copiables<br />Por «mirones»<br />Por troyanacos<br />Por sniffers de red<br />Por la misma porquería…<br />
  4. 4. Contraseñas<br />Si son complejas los usuarios no las recuerdan….<br />http://www.elladodelmal.com/2008/04/leyendas-urbanas.html<br />
  5. 5. Contraseñas: Nivel Master<br />
  6. 6. La primera password<br />Todo «aparato» o «sistema» cuando se monta necesita una password por defecto…<br />… que debe ser cambiada, pero…<br />…pero…<br />…pero…<br />
  7. 7. La pereza nos puede…<br />
  8. 8. Y usamos…<br />Passwords por defecto<br />Passwords repetidas<br />Passwords simplonas<br />1234<br />Admin<br />qawsedrftg<br />Passwords con «un método infalible»<br />
  9. 9. Algunos ejemplos<br />
  10. 10. El caso Dan Kaminsky…<br />Cuñao!!!!!<br />Usaba un método infalible:<br />Fuck.facebook, fuck.gmail, fuck.twitter…..<br />
  11. 11. Gracias a las claves por defecto no hay que ser un superhero para colarse<br />
  12. 12. Pero la nueva ley dice…<br />3. El que por cualquier medio o procedimiento y vulnerando las medidas de seguridad establecidas para impedirlo, acceda sin autorización a datos o programas informáticos contenidos en un sistema informático o en parte del mismo...<br />http://www.elladodelmal.com/2010/11/o-todos-bot-o-el-spider-al-rio.html<br />
  13. 13. ¿Qué es una medida de seguridad?<br />
  14. 14. ¿Qué es una medida de seguridad?<br />http://www.elladodelmal.com/2010/02/cuando-sali-de-usa.html<br />
  15. 15. ¿Lo son las passwords por defecto?<br />¿ein?<br />
  16. 16. Mac OS X: Carpetas compartidas<br />Utiliza el protocolo AFP (Apple FilingProtocol)<br />Puerto de conexión por el 548 o 427<br />Hasta la versión 10.6.4 (22 Sep 2010) usuarios podían conectarse sin password.<br />Por defecto usuario invitado en carpetas compartidas.<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  17. 17. Mac OS X: Carpetas compartidas<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  18. 18. Mac OS X: Carpetas compartidas<br />http://www.elladodelmal.com/2010/10/usuarios-de-mac-os-x-que-comparten-c.html<br />
  19. 19. Mac XServe: Raid Server<br />Servidores comercializados por Apple para almacenamiento de datos<br />Utilizan un servidor web de Apple para gestión.<br />Apple Web Embedded Server<br />Por defecto no tiene robots.txt<br />Entran en buscadores por:<br />Arañas IP<br />Servicios de reporte de URLs:<br />Google Chrome, Barra Bing, etcétera<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  20. 20. Mac XServe: Raid Server<br />Contraseñas por defecto:<br />Fácil de descubrir con Shodan<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  21. 21. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  22. 22. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  23. 23. Mac XServe: Raid Server<br />http://www.elladodelmal.com/2010/11/tengo-un-xserve-y-te-comparto-mi-raid.html<br />
  24. 24. HoneyWellWebStat<br />Empresa que hace …hasta aviones.<br />Tiene sistemas de termostatos controlables de forma centralizada.<br />Descubiertos por Shodan<br />Contraseñas por defecto, por supuesto.<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  25. 25. HoneyWellWebStat<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  26. 26. HoneyWellWebStat<br />http://www.elladodelmal.com/2010/12/otra-de-passwords-por-defecto-en-el.html<br />
  27. 27. ¿Hace calor aquí o es cosa mía?<br />Demo…..<br />
  28. 28. Cámaras de seguridad<br />Múltiples modeloscon múltiples contraseñas por defecto: admin, 1234, 123456, etcétera.<br />Hay que buscar para cada modelo su contraseña por defecto.<br />Lo difícil suele ser descubrirlas, porque suelen utilizar puertos especiales.<br />Instaladores tienen predilección por el 81. <br />Shodan o nmap.<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  29. 29. ¿Por qué el puerto 81?<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  30. 30. ¿Por qué el puerto 81?<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  31. 31. Y por supuesto…siguen por defecto<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  32. 32. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  33. 33. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  34. 34. Password por defecto: Nivel Avanzado<br />http://www.elladodelmal.com/2010/10/camaras-de-seguridad-por-oscuridad.html<br />
  35. 35. Wow! Theydidit!<br />
  36. 36. Password por defecto: Nivel Master<br />http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html<br />
  37. 37. Password por defecto: Nivel Master<br />http://www.elladodelmal.com/2010/11/y-lo-que-me-he-ahorrado.html<br />
  38. 38. Domótica: Alltogether<br />Sistemas de control de todo el hogar<br />Luces<br />Cámaras de Seguridad<br />Alarmas<br />Temperatura<br />….<br />Por supuesto tienen passwords por defecto<br />http://windowstips.wordpress.com/2010/11/16/paranormal-activity/<br />
  39. 39. Mi casa…<br />http://windowstips.wordpress.com/2010/11/16/paranormal-activity/<br />
  40. 40. Sistemas de VoIP<br />Centralitas y terminales usando SIP<br />Permiten conexión por Lan<br />Gran número de modelos<br />MySpeed<br />Xavi<br />CISCO<br />Snoom<br />…<br />http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html<br />
  41. 41. Teléfono…<br />http://www.elladodelmal.com/2010/05/shodan-y-ataques-telefonia-voip.html<br />
  42. 42. Montar un sistema VoIP nivel master<br />Demo…..<br />
  43. 43. ¿Cómo solucionar esto?<br />
  44. 44. ¿Preguntas?<br />Chema Alonso <br /><ul><li>chema@informatica64.com
  45. 45. http://www.informatica64.com
  46. 46. http://www.elladodelmal.com
  47. 47. http://twitter.com/chemaalonso
  48. 48. http://www.forefront-es.com
  49. 49. http://www.seguridadapple.com
  50. 50. http://www.windowstecnico.com</li>

×