Hace unos meses me cambié de casa y como necesidad primordial, estaba el tener una conexión de internet, así que sin pensarlo mucho, llamé a mi operador de confianza (ya he tenido otros planes de internet con este Operador y me ha ido relativamente bien) para solicitar la instalación de mi nuevo servicio, cosa que ellos hicieron felizmente al día siguiente.
Los operadores de tienen un muy mal hábito, algunos dejan el nombre de la red como tu número telefónico (algo bastante notorio al escanear redes y también muy peligroso), otros ponen FAMILIA xxxx con tu apellido (cosa que tampoco me gusta mucho) y además, muchos pero muchos dejan las redes inalámbricas con cifrado WEP para la contraseña, para los que conocen del tema, saben que WEP es fácilmente crackeable y se recomienda usar mejor WPA2 con una buena contraseña, mi operador no dejó mi teléfono ni mi apellido, pero si me dejó la red inalámbrica con cifrado WEP, por lo que me decidí inmediatamente a cambiarla.
Aquí empezaron los problemas, los operadores no permiten que los usuarios accedan a sus router para cambiar la configuración, cuando se intenta acceder a la página del Gateway o no nos responde nada, o nos responde una pantalla de status sin opción de administración, este es igual el caso de mi router
Arriba lo que parecería como un menú de acceso a “Administración” es simplemente texto no clickeable, con esto el operador pretende que uno llame a soporte para solicitar los cambios a la red a través de ellos, operación que no solo me parece dispendiosa, sino también lenta porque el operador de soporte debe seguir su guión o simplemente no entiende lo que quieres hacer (con otro operador tuve yo mismo que guiar a la señorita que me atendía paso por paso para que pudiera realizar el cambio) así que me propuse a hacer el cambio yo mismo, al fin y al cabo ellos entran a administrar el router de forma remota, por lo que debe poderse tener acceso de alguna manera.
Lo primero que hice fue revisar el router para encontrar su referencia:
Siguiente paso, lo que todo experto en sistemas que se respete sabe hacer, Googlear, al hacerlo con los términos “TC7300 Technicolor” y el nombre del operador, me encontré con un blog que sin dar vueltas en el asunto me dio la respuesta, una respuesta que me llenó de terror (en un momento sabrás por que), he aquí un fragmento.
La referencia del router era distinta pero de la misma marca y operador (el cual censuré del recorte) y me causó curiosidad que el mencionara la necesidad de usar TOR, lo que el autor pedía era obtener mi ip externa con el navegador normal mediante un servicio como cualesmiip.com y luego accediera a esa dirección con el puerto 8080 desde TOR, decidí probarlo y he aquí el resultado:
¡¡¡Victoria cierto!!!!?, claro hace falta el usuario y contraseña, pero el router responde, desde mi IP externa, puerto 8080 y se identifica como Technicolor que es la marca, me pregunté que podría significar esto, ¿acaso el operador usa TOR para administrar los routers?, ¿acaso usan nodos TOR como los sitios .onion de la Deep Web?, y entonces, ¿cualquiera que tenga TOR puede acceder a mi router?
La realidad es mucho peor de lo que me imaginé, de entrada no creo que usen nodos TOR, pero entonces, porqué funciona, si accedo a esa dirección sin TOR, no abre ninguna página, como si no hubiera nada ahí, tampoco accediendo directamente al router por dirección local a ese puerto, ahí sale una pagina del analizador de espectro del router, pero no es nada administrativo, asumí que lo que el router hace es validar de donde viene la petición, y si viene de otra red que no es la mía, lo deja entrar, pero esto no puede ser, eso significaría que cualquier persona en el mundo que sepa mi dirección IP podría entrar a administrar mi router, claramente el operador no dejaría un problema de seguridad tan claro verdad?…….. Verdad???…..
Decidí hacer algunas pruebas, tratando de acceder al router desde mi misma red pero mediante un proxy (para que la petición llegue al router desde otra IP), desde mi celular con plan de datos, y con un amigo que se encontraba en su casa en este momento andándole la IP y el puerto (sin decirle que era).
Que resultado creen que obtuvimos…..
El router presentó la pantalla de autenticación EN TODOS LOS CASOS, el permite a cualquier dirección IP extraña el autenticarse para administrar, solo le importa que no sea tu misma dirección.
Con eso me di cuenta de cuanto se preocupa mi operador por mi seguridad, cualquier persona en cualquier parte puede acceder a administrar mi router, menos yo claro, yo como usuario y dueño del plan soy quien no tiene acceso, pero todos los demás si; pero entonces dirán claro, la pantalla abre pero no tienes el usuario ni la contraseña, tranquilos que estos si están incluidos en el blog que descubrí googleando la referencia del router.
Claro, estos son las credenciales que esta persona encontró (en el 2013) y pues hombre, deben ser las contraseñas del router de el, el mio debe tener otras verdad?..hoy en 2017 Verdad?…. (creo que ya saben la respuesta) Al probar las credenciales en la pantalla, tristemente tuve acceso.
El router me dio la bienvenida como si yo fuera su maestro absoluto, pude acceder a todas sus funciones de firewall, filtrado por MAC, redireccionamiento de puertos, DMZ, inalámbrico, y tan amablemente el fabricante me deja ver el nombre de la red, cambiarle el cifrado y tiene un botón que me deja ver mi contraseña del inalámbrico en texto plano.
Entonces recapitulemos, el operador de Internet en quien confío:
Deja que cualquier persona del mundo tenga acceso a mi router con solo saber mi IP externa
Siempre usan el puerto 8080
Usan unas credenciales con el usuario admin y la misma contraseña desde hace 3 años
Dejan ver mi contraseña de red en texto plano.
Si hasta ahora creen que esto no es tan grave como lo hago verse, es quizá porque piensan que el expuesto soy yo, pero que me impide intentar probar otras direcciónes similares a la mía a ver si responden routers, seré yo el único desafortunado?
Mi dirección IP externa tiene el formato 1XX.XX.XX.65, así que decidí empezar a variar el ultimo campo de la dirección a ver que pasaba, estos son los resultados:
1xx.xx.xx.66:8080 Nada, uff menos mal, quizá si soy el único.
1xx.xx.xx.67:8080 oh… Dios….
Me responde una pantalla de autenticación, decido probar las credenciales.
Pero que, este router no es Technicolor como el mio, es Thomson, así que no solamente puedo acceder a un router de otras personas con probar a ciegas una dirección IP, puedo entrar con las mismas credenciales que el mio así sean de otra marca, esto ya se está pasando de mal chiste, y si, puedo administrarles la configuración inalámbrica:
Pude ver el SSID de la red, la contraseña en texto plano y si, pude cambiarlas, puedo administrar la red de alguien que ni conozco, pero este es el menor de sus problemas, podría si quisiera, administrar sus DNS para hacerle ataques de phishing muy efectivos, puedo ver que máquinas están conectadas, sean celulares, computadores, etc, y puedo hacer redirección de puertos a estos, podría si quisiera modificar el DMZ (Zona desmilitarizada) para que todos los puertos de un computador en esa red queden expuestos a internet, y de ahí hacer escaneos con herramientas tipo NMAP para buscar vulnerabilidades, el cielo es el límite (en un muy muy mal sentido).
Probé en promedio unas 90 direcciones en el rango de mi dirección, y respondieron aproximadamente 70, y de estas casi todas respondieron con el mismo usuario y contraseña, las que no respondieron es porque no era ni Thomson y Technicolor, era Arris (las contraseñas de los Router Arris se pueden encontrar en routerpwn.com, por lo que estos no están a salvo tampoco).
Que podemos hacer me pregunté, una buena práctica con las redes inalámbricas es comprar un router propio, y poner el router del operador en modo puente, de esta forma la administración pasa a ser de mi lado y dejo por fuera al operador y me quito este problema de encima, yo adquirí un router TP-Link muy normal e hice el ejercicio, puse el router del operador en modo puente y configuré mi router TP-Link, al probar mi dirección IP y puerto 8080, constaté que ya el router no respondía.
Así que con esto se acaba el problema….. verdad?, les mostraré porqué mis amigos me llaman bulto de sal, resulta que cuando puse el router del operador en modo puente, se me olvidó apagar el inalámbrico, y ahora no podía entrar a administrarlo porque estaba en modo puente, sin embargo, encontré una solución.
Los routers usualmente tienen una dirección por defecto, 192.168.100.1, que responde independientemente de que el router esté en modo puente o no, algunas veces responde con administración, otras como en mi caso, solo abria la pantalla de status, pero con esto se me ocurrió una cosa, ¿y si el router respondiera por telnet?
Que creen que pasó:
Si responde, y al probar las mismas credenciales de siempre, tuve acceso.
Aquí de pronto se debe conocer un poco de comandos de router, pero con “show ip” el router me mostró sus diferentes direcciones de red, la dirección CM obtiene mi atención porque es una dirección en formato x.xxx.xx.xxx, es decir una clase A, y que creen que pasa cuando intento acceder por el navegador a esta dirección:
Así es, puedo volver a entrar al router, con las mismas credenciales, que creen que pasa si alguien intenta acceder a esa dirección desde afuera de mi red….. pues que TAMBIEN RESPONDE, así que un atacante puede seguir accediendo a mi router si conoce la dirección CM, claro esta es más difícil de encontrar pero el podría, si está con el mismo operador, obtener su propio CM y empezar a variar números, algo importante que me di cuenta después, aparentemente esta dirección CM responde solo para usuarios del mismo operador, intenté acceder a esta dirección desde mi sitio de trabajo donde tienen otro operador y no responde, pero desde la casa de mi amigo que si tiene el mismo operador, abre sin problemas.
Lo que realmente debemos hacer (adicional a poner nuestro propio router, esto siempre es recomendable) es cambiar la contraseña de administración del router del operador.
Con esto así el atacante logre dar con nuestra dirección, no podrá acceder (si le pones una buena contraseña claro 😉 ), que el operador puede que no logre ingresar a administrarlo? Pues mira que eso poco me vale, con esta situación me sentí prácticamente traicionado, porque le di confianza a una empresa y luego veo como esta empresa tiene como foco solo vender y prestar, pero no se preocupa por la seguridad del usuario, el poder que puede tener un usuario mal intencionado con este conocimiento es algo que preocupa y asusta, y espero que algún día el operador tome cartas en el asunto y lo resuelva.
Carlos Alberto Mejia.
Fuente:
http://blog.thehackingday.com/