Muchos de nuestros usuarios en estos momentos deben estar preocupados por su seguridad, ya que en los meses que van del año los casos sobre programas de vigilancia, leyes y otros acontecimientos crean un ambiente de desconfianza ya que existe un ambiente poca privacidad en internet y en la propiedad de nuestros datos.
Pero más allá de que una persona u organización trate de seguirnos los “pasos” debemos tomar medidas para que nuestra información no tenga riesgo o le sea más difícil a nuestro “Gran Hermano” tener acceso a nuestros datos, algo muy importante es la configuración de nuestros equipos y de los programas que utilizamos.
En esta ocasión vamos a tocar el tema de equipos que son para video conferencia la marca líder en esta rama es POLYCOM son utilizados a nivel empresarial por su costo y utilidad.
Los equipos tienen una amplia gama de configuraciones, controles de acceso y de muchas utilidades para poder sacar partido de los equipos muchos dirán ¿Pero si tiene todo, cual es el problema? Y la respuesta es muy conocida “EL FACTOR HUMANO”.
Apoyándome en una gran herramienta como lo es SHODAN me dispuse a realizar varias búsquedas con el fin de aprender y probar.
Y los resultados fueron un total de 105 dispositivos los cuales realice algunas pruebas.
De los resultados que arrojo nuestra herramienta se encontró algunos casos como por ejemplo:
El muy conocido:
Usuario: admin
Password: admin
En algunos modelos te permite ver su panel de administración muchos dirán SI, y cuál es el problema, total no puedes hacer nada solo vas a ver las configuraciones o lo puedes des configurar y una que otra prueba pero la respuesta es NO ya que los equipos tienen utilidades que a los administradores tanto de red como de soporte permite realizar pruebas para que el servicio sea de calidad pero estas herramientas al no tener seguridad establecida por el usuario permiten que cualquier las utilice de mala manera.
A continuación explicamos el otro caso.
El sin contraseña
Dependiendo el modelo las utilidades nos permiten “jugar” un poco más y esto es lo que se encontró.
El menú contiene varias herramientas una que me llamo la atención fue Control Remoto ¿y esto de que me sirve? Pues es como si tuvieras el control físico de tu Polycom puedes mover la cámara llamar Colgar quitar o poner el micrófono y otras cosas más.
Y nos preguntamos de nuevo ¿de qué me sirve tener el control remoto? pues vamos a ver de qué nos sirve y para eso unimos otra utilidad llamada SUPERVISION REMOTA
Luego de tener estas dos utilidades vamos a probar si podemos realizar llamadas.
Podemos observar que existe una opción de Llamadas Recientes y realizamos la búsqueda en dicha opción un listado de 100 números o en este caso ip que correspondían a otros equipos.
En la búsqueda se pudo apreciar que había varios modelos de equipos Polycom sin contraseña.
Pero sí que hay un problema cuando en algunos modelos tú puedes ingresar y no existe ninguna contraseña así que ingrese a dos para ver si lo que estaba pensando era verdad y podía realizar llamadas.
Buscamos Video Test Numbers Polycom y encontramos unos para realizar pruebas.
Y realizamos pruebas con el control remoto para ver si se podía manejar el servicio necesidad de estar en el sitio.
Las pruebas fueron exitosas y se realizaron en la madrugada por eso sale de color negro el apartado Local al no tener luz las oficinas.
En este caso existen 3 partes críticas:
1.- Cualquiera puede ver tu configuración.
2.- Libre uso del equipo.
3.- Cualquier puede ver tus video conferencias no te darás cuenta, podrán hacer uso del control remoto con libre disposición.
P.D. si la búsqueda se realiza a nivel mundial el número es amplio se pudo observar personas que no sabían que eran observadas sin su consentimiento.
Fuente:
Scrash (colaborador www.hackeruna.com)