Cuando se junta el hambre con las ganas de comer
En esta entrada vamos a ver porque es importante el evitar las malas prácticas o dicho de otra forma, porque es bueno seguir buenas prácticas la hora de configurar nuestros equipos. Para ello vamos a ver el siguiente vídeo publicado por Acunetix
Lo que vemos en el vídeo es como a través de un mensaje de correo electrónico especialmente formado, el atacante es capaz de modificar los servidores DNS de la víctima, de forma que está a la hora de navegar puede ser redirigido a servidores maliciosos. El ataque se lleva a cabo de forma exitosa prácticamente por tres factores:
- La víctima abre un correo electrónico aparentemente inocente, el cual lleva incrustado ciertos iframes cuya fuente (src) son ataques (peticiones maliciosas) al router. Esto ocurre porque a Apple parece que le da igual eso de por defecto no descargar código remoto en páginas HTML. No sólo los iframes son usados para este propósito, si no también las etiquetas img, que cargan una imagen. Aunque en el vídeo lo que se ve es un iPad corriendo iOS 6.0.1, por lo visto el lector de correo electrónico por defecto de iPhone y Mac OS tienen la misma "mala costumbre". Por defecto, ningún lector de correo electrónico serio debería cargar/visualizar las imágenes remotas, así como cualquier otra etiqueta que descargue código remotamente. Para solucionar deberías cambiar la configuración de tu lector y desactivar la opción de carga remota de imágenes.
- El segundo problema que encontramos en este ataque, es de nuevo otra mala práctica: dejar el nombre de usuario y contraseñas por defecto o usar uno común. Como vemos, en el vídeo, el atacante se aprovecha de esto. De hecho en el mismo correo electrónico se mandan varias llamadas al router (asumiendo que la ip del mismo es 192.168.1.2) con distintas contraseñas (algunas conocidas por su configuración de fábrica y otras por se repetido uso).
- El tercer factor que entra en juego aquí no es una mala práctica sino una vulnerabilidad del router (aunque aquí también podríamos pecar de la mala práctica si existiera parche para dicha vulnerabilidad y no lo hemos aplicado). En este caso una vulnerabilidad que se conoce como CSRF (Cross-Site Request Forgery).
Buscar
Entradas Recientes
- Posts
- Reemplazando la bateria del AirTag
- OpenExpo Europe décima edición, 18 de mayo: El Epicentro de la Innovación y la Transformación Digital
- Docker Init
- Kubernetes para profesionales
- Agenda: OpenExpo Europe 2022 llega el 30 de junio en formato presencial
- Libro 'Manual de la Resilencia', de Alejandro Corletti, toda una referencia para la gestión de la seguridad en nuestros sistemas
- Mujeres hackers en ElevenPaths Radio
- Creando certificados X.509 caducados
- Generador de imágenes Docker para infosec