En estos días estuve preparando un informe más que interesante, con el único objetivo de concientizar a los usuarios a securizar sus routers y cifrados de conexiones Wi-Fi.
Vamos a empezar con una “dramatización” (wow!!)
Contraté el servicio de internet con …. (Arnet, Ciudad, Fibertel, UOL, etc), me trajeron un módem y estoy chocho navegando en internet !!
Buenísimo .. ya tenés internet, estás navegando y bajando películas a diestra y siniestra, tenés un …. (domicilio particular, instituto, empresa, consultorio, oficina, estudio juridico, etc), archivos importantes, fotos comprometedoras, documentos privados .. pero qué te importa !! total, tenés un cifrado WPA2 con 63 caracteres, imposible de crackear !!
Y la pregunta que se me viene a la cabeza es… ¿Y tu router, qué clave tiene? ¿Permitís el acceso remoto? ¿Lo dejaste tal cual te lo dejó tu ISP?
Para que se den una idea, el estudio que realicé arrojó un resultado bastante más que preocupante, casi el 80% de los routers que permiten el ingreso remoto poseen las claves que traen justamente esos routers por default.
Los routers más conocidos son:
TP-LINK
ENCORE
D-LINK
PIRELLI
ENCORE (Viking)
Y los logins por default de estos routers son:
admin – admin
root – root
admin – 1234
Ahora bien:
¿Qué peligrosidad tiene esto? ¿Qué pueden hacerme?
Mucha, y mucho.
Tener un acceso a un router involucran varias cuestiones.
1) Pueden dejarnos sin internet, y si usáramos internet para trabajar nos podrían generar un problemón ..
2) Pueden dejarnos plantados un DDNS, un sistema por el cual no hará falta que sepan nuestra ip una vez que la renovemos, sino que pasaremos a tener un dominio que se irá actualizando a medida que vayamos cambiando de ip, ej: “victima.dyndns.org”
3) Conocer nuestro usuario y contraseña de conexión.
4) Usar nuestro usuario y contraseña de, por ejemplo, Arnet y utilizarlo para autentificarse al SMTP de Arnet y enviar Spam, Pedofilia, etc (imaginen el quilombo en que nos veríamos metido)
5) Habilitar el DMZ (se mira la tabla de ips habilitadas por DHCP y se prueba habilitando el DMZ a cada ip) de esta forma si una de las máquinas tiene el puerto 139 (netbios, ARCHIVOS COMPARTIDOS) abierto, podrían acceder desde afuera a esos archivos.
Y con el punto 5 ya nos quedamos, se imaginan que si tenemos información privada que justamente queremos preservar, no podemos tener este tipo de fallas.
Veamos un par de ejemplos: (todas las imágenes van a estar blureadas, y los usuarios que estuvieron involucrados fueron advertidos.
Miremos este caso, se accede al router y se obtienen usuario y contraseña de conexión: (click en la imagen para verla en tamaño completo)
Y acá tenemos uno que hasta nos invita a pasar..
Se accede y se obtienen los datos de conexión:
Y un último caso:
En este último caso, no sólo dejaron el router con la clave por default, sino que la clave de conexión es 123456 !!!
Ahora pasemos a un caso que me llamó la atención, y se los muestro para que vean el grado de peligrosidad que involucra.
Primero se ingresa a un router con la clave por default:
Se observa que posee un cifrado WPA2, lo que me llamó la atención era la clave .. era una dirección, entonces fui con esa dirección a Teleinfo
Cuando me arrojó los resultados, me di cuenta que el BSSID (nombre de la conexión) era el apellido de una empresa .. (conocida).
Busqué en google la dirección, y me arrojó a qué se dedicaba la empresa.
Resumiendo, un atacante podría con estos datos, ir en un auto por ejemplo hasta el lugar, estacionarse con una notebook, ingresar a la red, obtener archivos importantes, etc .
El cifrado, bien .. WPA2, el router por default ..
Es como comprarse la mejor alarma del mundo para una casa, y no tener puertas ni ventanas.
Otro ejemplo de un cifrado correcto, y la clave del router ? bien gracias!
Y ahora lo que NO hay que hacer:
Nombre de la red: Maxi
Clave: maximiliano
NO utilizar cifrado WEP, es demasiado fácil de obtener la clave y más cuando son de este tipo:
Bueno, hasta acá vimos casos de imprudencia / desconocimiento donde los usuarios dejan las claves por default de sus routers, algunos dirán “que importa, no tengo archivos compartidos, y si entran reseteo el router y listo”.
Y qué pasa si tenemos por default las claves de cámaras ip ?
Se imaginan si tenemos acceso a las cámaras, sabiendo a qué hora se abre, a qué hora se cierra, más aún cuando las cámaras tienen posibilidad de movimiento, zoom ..
Conocer cada rincón del negocio, creo que no hace falta más nada para decir, es una herramienta que mal utilizada podría ser muy perjudicial para el dueño del negocio.
Unos ejemplos:
Fijense la cantidad de routers que nos dan los ISP que tienen el mismo firmware:
Estos routers tienen por ejemplo, por default usuario: “admin”, password: “admin”
Acá unos videos que armé enseñando cómo cambiar la clave del router en los más utilizados:
Encore viejo (Viking):
Encore, TP-LINK, Micronet, Edimax, TrendChip, Sitecom, etc (mismo firmware):
DLink:
Huawei:
Pirelli (Arnet):
Para que se den cuenta de la CANTIDAD de routers afectados, les dejo una lista (blureada) de routers con usuarios y contraseñas afectados sacados en menos de 2 horas en un rango corto.
Entonces resumiendo:
1) Cambiar YA la clave de acceso al router
2) Cambiar el cifrado Wireless (no usar WEP, usar WPA en lo posible alfanumérico)
3) Cambiar claves de nuestras Cámaras IP
Si hay algún router que no nombré, pasenme el modelo y les digo cómo cambiar la clave.
La idea del post es concientizar a la gente a que debe securizar sus routers para luego no comerse un garrón.
