Como ya es sabido por muchos, el hecho de utilizar servicios gestionados desde Internet hoy en día se algo normal. Pero muchas veces no se suelen aplicar medidas de seguridad que permitan garantizar autenticidad del uso o consumo de dicho servicio, en algunos casos suele ocurrir por vulnerabilidades de los productos, un ejemplo de esto es la vulnerabilidad de las cámaras Trednet, y en otras situaciones es por configuraciones débiles en los productos que permiten a cualquier atacante comprometer el servicio o sistema sin mayor complicación.
Una forma fácil de encontrar estos servicio y dispositivos en la red, es utilizando la técnica de hacking con buscadores, lanzando querys en bing, google, shodan, etc. Ya que en muchas ocasiones se aplica un termino muy conocido en la seguridad, y es la famosa seguridad por oscuridad, es decir mantener oculto una falla o un acceso a un sistema desprotegido por el hecho de que nadie mas que personal autorizado sabe de que forma llegar a dicho sistema o porque dicha falla no será aprovechada si esta no se hace publica.
Un ejemplo de esto es utilizar shodan con la query Set-Cookie: iomega, donde se tendrán muchos resultados se los diversos productos que la empresa Lenovo EMC ofrece, y que uno de los mas atractivos para muchos atacantes es el producto de iomega NAS.
Un ejemplo de esto es utilizar shodan con la query Set-Cookie: iomega, donde se tendrán muchos resultados se los diversos productos que la empresa Lenovo EMC ofrece, y que uno de los mas atractivos para muchos atacantes es el producto de iomega NAS.
Figura 1: Resultados con Shodan.
La mayoría de servicios están mal configurados y permiten lectura/escritura sobre la NAS por un usuario ilegitimo, lo cual es un problema grandote si almacenas documentos confidenciales de tu empresa o personales de carácter privado, pues, esa información en manos equivocadas puede causar mucho daño.
Figura 2: Recursos compartidos en la NAS.
No te fíes de la seguridad por oscuridad y aplica unas medidas de seguridad fuertes que permitan mantener a salvo los 3 pilares de información, cuando pongas de cara al publico o en Internet algún servicio, sistema, dispositivo, etc., ya que si no lo haces, tus recursos serán aprovechados por otros, incluyendo la competencia, además que otros se aprovechen de ello, eso acompaña una indudable perdida económica.
Saludos.
Lexer Pars.
Saludos.
Lexer Pars.
No hay comentarios:
Publicar un comentario