Hace 7 años | Por duend a blog.segu-info.com.ar
Publicado hace 7 años por duend a blog.segu-info.com.ar

En un sitio web llamado VNC Roulette se han recopilado miles de imágenes tomadas de PC compartidas a través del popular software VNC, que permite a los usuarios acceder de forma remota al equipo. Si VNC está configurado sin una contraseña, cualquier persona puede tener acceso al equipo. Un grupo de personas autodenominados "Revolver" quiso saber cuantos ordenadores estaban configurados de esta manera. "Hemos tenido acceso a administradores de miles de máquinas con datos sensibles. No hay ninguna seguridad en absoluto."

Comentarios

Shotokax

#5 o la gente que deja directorios compartidos en Windows y se mete a redes públicas de wifi y no se molesta ni en cambiar el grupo de trabajo. lol

Pandemial

#18

Pandemial

#6 hay muchas instalaciones industriales. Hay algo que parecía una central electrica y todo lo que pasa que estaba en holandes/aleman/idioma raro.

G

#7 #6 #11...
No es por quitarle el encanto a toda esta historia... Pero cuando montabamos maquetas para pruebas en ordenadores viejos y remotos (cpu enchufada debajo de alguna mesa) no siempre le poniamos contraseña y más de una vez dejabamos meses el pc encendido...

Aunque me temo que no es el caso de todos los escritorios.

Pandemial

#6 y esto que no se que coño es pero pinta industrial tiene. Yo flipo. llevo una hora cotilleando

D

#8 Bombas/compresores frio sera el monitor de los plcs en la sala control.
Es lo que me parece ya que hay temperaturas negativas presión de cojones y condensadores frio.

Pacman

#9 o un sistema de calefacción o aire de un sitio grande.
Tocas cualquiera de los triangulitos y cierras o abres válvulas y motores.
La lías, lías.

Esos equipos son carisimos, como a 40.000 cada compresor, y lo peor no es que estén sin contraseña, que es malo, lo peor es que aunque vean menear el ratón y abrir y cerrar cosas no se extrañaran ya que es lo normal: que se conecten los técnicos en remoto.
Casi la totalidad de esos sistemas llevan controles rutinarios a distancia desde la casa instaladora, por ejemplo Carrier en caso de grandes instalaciones de aire.

Dejar la puerta abierta para que alguien toque máquinas muy sensibles y muy caras, por vagancia. Que puede salir mal?

Pandemial

#9 #11 Sí sí, es que puedes entrar alli y liarla parda. Yo ayer porque me dio palo instalar el vnc, si no me echaba unas risas.
Habia una instalacion para hacer bolleria que era muy atrayente. Me ponia ahi a hacer croassants como si no hubiera mañana

Varlak_

#8 corta el cable rojo

Andor

#8 'Frysrum' es "habitación refrigerada". Está 'frishus' que es un 'edificio refrigerado' o de almacenamiento de hielo. Veo condensadores, alarmas de gases, compresores...

Tiene toda la pinta de ser el control de almacenes frigoríficos de algún tipo: alimentación, medicinas...

Pandemial

#58 Gracias!! a hacer hielo pa los cubatas!!!

Andor

#59 !O vacunas de la gripe aviar fiebre zombi para todos!

Pandemial

#60 eso si es molon!!

D

#6 Total luego siempre terminamos con la contraseña tipica de Verano2008 escrita en un post-it o guardada en un fichero de texto y todos usamos la misma porque no hay otro usuario mas que ese

Varlak_

#24 lo bueno es que el post it no se puede ver por internet

D

#36 Ya, pero me refiero a que termina ahi al acceso de cualquiera o en un fichero "contraseña acceso.txt" en el PC.

s

#6 más básico que una cabeza de ceporro/a no hay nada..

p

#6 Lo auténticamente preocupante es que deje montarlo sin contraseña. No tenía ni que existir la posibilidad.

ChukNorris

#25 lol Claramente es lo mismo cotillear una webcam y toquetear el sistema industrial de una empresa. No problem.

Varlak_

#27 a mi me parece peor cotillear una webcam. La empresa tiene los recursos y la obligación de contratar una buena seguridad y asesoramiento, si no lo hace es su culpa, pero espiar un usuario es aprovecharte de su falta de capacidad/recursos. Por la misma razon que me parece menos malo timar a un brocker que vender preferentes a un anciano, aunque al primero le timen mas dinero.

ChukNorris

#38 lol en un caso puedes cotillear, en otro puedes provocar un destrozo monetario importante o incluso causar daños físicos ...

Me pregunto hasta que punto una empresa no tecnológica tiene que saber de informática/seguridad, y si subcontratan dicha tarea como pueden saber que queda en manos de buenos profesionales y no de chapuzas que les montan vcn´s sin contraseñas.

inar

#41 Me lo cuentas cuando muchas de esas cámaras son compradas por papis para ver a su retoño desde el trabajo, o para vigilar a la abuela. Son distintos escenarios con distinta afección, pero ambos igual de relevantes y que pueden ocasionar un gran daño, físico y moral. Lo del dinero lo dejo aparte.

Xenófanes

#25 insecam.org por ejemplo. Si vas a España puedes ver a unos tipos en el bar.

G

#28 http://insecam.org/en/view/173317/

Pobre, a este le han metido la camara en el culo. Hay cada empresario... enfocando los dos monitores.

Xenófanes

#40 Hay una de una cocina japonesa que los tienen vestidos como a microbiólogos.

G

#43 y aquí http://insecam.org/en/view/257242/ le acabo de ver teclear el pin de la tarjeta de credito, diria que era 7854 lol

Xenófanes

#44 Jajaja, menudas lumbreras. wall

rsocarrat

#44 parece ser que por la zona algún "hingeniero" se dedica a montar cámaras en farmacias http://insecam.org/en/view/278145/

G

#48 Esa también tiene la TPV al lado, yo aquí para ver los números y tu allí para robarle el bolso y nos forramos.

Igual el hingeniero las instalo con vistas a que le fuera mal el negocio.

rsocarrat

#49 podríamos llamar y que saluden al personal por la camara

D

#40 Estas cámaras aún tiene un pase, pero me he encontrado varias cámaras puestas por ejemplo en guarderías tanto en españa como en otros paises.

No entiendo como en sitios como guarderías, farmacias, consultas médicas y demás no pongan más atención con estas cosas.

Frederic_Bourdin

#28 O una farmacia de Gijón con hasta 4 cámaras, y bastante buen refresco.

inar

#28 No me refiero a eso. insecam.org es una web que recopila cámaras abiertas. Yo me refiero a cámaras que la gente compra para uso privado y que no se molesta en cambiar la contraseña por defecto. Y a la empresa que las vende o fabrica tampoco parece preocuparle mucho. Prima más vender la "sencillez" de instalación. Instalación para "tontos", nunca mejor dicho.

D

#25 También manda narices que monten todos los aparatos con la misma contraseña en lugar de asociar a cada uno una contraseña aleatoria o no obligar al usuario a cambiarla la primera vez que se conecten a ella

inar

#33 Pues t diré que de una conocida marca, una serie concreta la contraseña es "888888", de otra marca también conocida "0000", de otra "1234", y así un largo etcétera.
Vamos, que vale que el usuario sea irresponsable, pero que los fabricantes tampoco es que se esfuerzan demasiado.

D

Les han hackeado, lol

Neochange

La web ya no existe. Que alguien menee la noticia de la muerte de los inventores de vnc roulette.

Pandemial

#10 se la han hackeao!! me meo. http://vncroulette.com/

r

#31 te vote negativo sin querer, te he puesto un par de positivos para compensar.

Pandemial

#50 esos dedacos y el mobil...

D

menos mal que aquí nadie sabe que mierdas es eso..

duend

#1 Gracias. Ya he cambiado el titular para que se entienda un poco mejor

D

#3 El teamviewer ya salio que tiene un fallo con contraseñas de 4 dígitos que suele usar y ahora este, fiesta de ransomware en remote suport...

D

#4 El problema de "este" es que la gente que lo instala no pone contraseña, no un fallo en la seguridad de la misma.

m

#4 Por lo visto no es un fallo en las contraseñas de 4 digitos en si. El problema es mucho mas grave porque lo que parece que ha ocurrido es que con unas credenciales pordías acceder a otras. Es decir, me valido en el mio (con 4 digitos o como sea) y me las ingenio para que me de paso en otro. El tema esta muy en el aire pero parece que lo de surprise.exe era esto. Muy muy peligroso.

R

#0 #1 #47 Meneame, como siempre a la vanguardia de la información. Hace por lo menos dos semanas de esto diría.

OviOne

Pues cuando descubran el puerto 3389 ya flipan...

Es muy fácil encontrar todo tipo de servicios abiertos por descuido en internet, hasta la implantación de IPv6 en el extremo de usuario. Cosa que sucederá más o menos cuando por fin sea el año de Linux en el escritorio.

D

#67 IPv6 tampoco es que oculte los puertos, más bien todo lo contrario, con eso de que todas las IPs IPv6 son "públicas" por defecto.

OviOne

#73 No, más que por los puertos lo decía porque en teoría debería ser mucho más difícil localizar hosts activos por escaneos "ciegos" de bloques de IP.

D

#74 No tanto más.
En el modo de auto-configuración, la última parte de la IP viene derivada de la MAC, que viene asignada por el fabricante, normalmente de forma sucesiva. Sabiendo qué fabricantes usan qué MACs, sería posible hacer una lista de fabricantes de dispositivos con vulnerabilidades conocidas en puertos determinados y sus rangos de MACs correspondientes. Con una lista así, bastaría hacer un barrido por las IPs auto-asignadas por los ISPs, igual que lo que entiendo que han hecho en el caso de esta noticia, con un incremento de dificultado mínimo.

Ese sistema de seguridad por oscuridad —porque no es más que eso— solo "funciona" con NICs en dispositivos con MACs no asociables a vulnerabilidades concretas, como por ejemplo un portátil cualquiera con un sistema operativo cualquiera. Para todo lo demás, la mayoría de los dispositivos de la "Internet de las cosas", es una protección más bien inexistente.

D

#67 Hombre, ese te obliga a poner user y pass 😉

OviOne

#88 Ya, pero el usuario se suele quedar guardado y la contraseña... Bueno, hay un porcentaje curioso de contraseñas estúpidas, aún hoy en día lol

D

#89 Puedes forzar a TS a no mostrar el usuario. 😉

Pacman

Por cierto, ojo que son unos cachondos:

Revolver @1x0123
@ydklijnsma that what happend when i added a fake SQL injection error page to vncroulette site & i got a massive load of kiddies logs

ChukNorris

¿Dan las ip´s para que cualquiera se conecte y pueda trastear?

Luego hablarán de terrorismo cibernético y detendrán a algún chaval de 14 años ...

D

Aqui estais todos

D

#14 Detallazo lo de dejar la ip para que todo el mundo la vea.

anv

#14 Basta con ir a http://hahasecurity.blogspot.com.es/ y mirar el nombre de la imagen. Contiene la IP.

s

#86 ok. Gracias

D

De todas formas, si queréis seguir investigando acerca de los vnc desprotegidos, solo tenéis que ir al Shodan, y hacer la búsqueda:
"RFB 003.008 authentication disabled"
Con una cuenta gratuita os salen solo cinco páginas de resultados, aunque se pueden aplicar varios filtros para obtener resultados muy interesantes. Con una cuenta de pago, aparecen los resultados completos. Básicamente es lo mismo que hizo Revolver, aunque imagino que automatizó el proceso. Shodan también tiene la captura de pantalla del escritorio afectado.

s

Hace años que abandoné VNC por teamviewer ya que VNC no funcionaba con gnome-shell.

Alguien sabe si ahora funciona bien y tiene instalación fácil?

D

#72 Usa X2go

s

#75 Pero funciona con gnome-shell y es fácil de instalar?

D

#84 Si, funciona perfectamente con Gnome-Shell, Unity, KDE, etc...

Necesitas tener configurado en el equipo remoto el servidor SSH y el servidor X2go.
De verdad que es sencillo, seguro y rápido.

https://www.howtoforge.com/tutorial/x2go-server-ubuntu-14-04/

JanSmite

#65 Y ahí es cuando la ley da pie a interpretaciones: si no pones NINGÚN tipo de seguridad a una conexión PÚBLICA, ¿se puede considerar acceso no consentido? Porque yo puedo interpretar que si no hay protección, al propietario le da igual si entro o no. Por ejemplo, la cámara de la farmacia: igual el dueño la ha puesto para que sus clientes puedan ver si hay o no mucha cola…

Naiyeel

#68 #76 Pues eso es lo que comentaba, que estas en manos de la interpretación que haga un juez dada la ambigüedad de la ley, pero haber existe una ley que trata estos temas y este no es el único articulo al respecto.

D

Ahí se han hecho públicas direcciones IPs, páginas de facebook con sesiones iniciadas, etcétera, etcétera. ¿Seguro que publicar toda esta información es legal?

R

#51 hay cosas muy sensibles, pero no. Ilegal no es. Si dejas el puerto abierto que quieres...

Han hecho un escaneo a todo internet (ahora se puede rápidamente) y han autenticado contra VNC en puertos supongo por defecto y hecho una captura de pantalla.

Naiyeel

#56 Puede que antes fuera así pero dudo que puedas entrar en la casa de alguien sin llamar, aunque la puerta este abierta, creo a la ip se le dio validez de dato personal y su información esta protegida, lo que ha hecho esta persona no es nada nuevo, yo recuerdo un amigo que cuando no había Internet y la gente se conectaba llamando a números BBS, etc tenia un programa que llamaba a todos los números 900 buscando linea de modem.

El tema es que ahora con un servidor online y algunos conocimientos de programación (seguro que incluso con Python te vale), puedes montar una buena, pero scanners de puertos existen desde que existe la Internet.

Luego esta el tema de que como las direcciones ips están muy limitadas, la mayoría solemos tener direcciones ip dinamicas, y estas paginas que se han encontrado por su numero de ip seguramente serán accedidas por los propietarios mediante algún servicio de DDNS (osea un nombre que no cambia).

Por supuesto el hecho de que ni siquiera tengan una contraseña básica, o que no limiten la dirección de conexión entrante manda huevos.

Ahora mismo por ejemplo corre el rumor que el nuevo ransonware Petya, que te puede secuestrar todo el disco duro en segundos parece que se ha filtrado usando contraseñas débiles en ordenadores con el teamviewer instalado.

No esta el tema para dejar abiertos estos agujeros.

R

#62 No vamos a discutir, no es lo mismo una casa que una red ni un ordenador. Punto.

g

#63 tampoco es lo mismo una casa que un coche pero se aplica el mismo principio, que esté abierto no te da permiso para entrar. Un ordenador es una propiedad privada y entrar en el es lo mismo que allanarlo. Pero claro, en este caso es un allanamiento virtual pero allanamiento de todas formas. Debería estar penado (si no lo está).

Naiyeel

#63 Eso lo tiene que decidir un juez y no nosotros, de momento por si no lo sabias, el texto definitivo del articulo 197.3 CP, en su nueva redacción, regula el llamado "mero acceso no consentido" o acceso ilícito a sistemas informáticos.

Con esta reforma se castiga: (i) a quien accede a un sistema informático de manera no consentida, independientemente de si lleva a cabo algún tipo de daño en el sistema o algún perjuicio al propietario del equipo; (ii) a quien se mantiene dentro de un sistema informático en contra de la voluntad de quien tiene el legítimo derecho a excluirlo.

R

#65 ¿Juez de que país exactamente, y en que legislación?

Por cierto que en España y muchos otros lugares (salvo que haya cambiado) no es ilegal escanear puertos. Y si el puerto está abierto y sin password, y te conectas por accidente ¿de quién es la culpa?

Por otro lado, si eso pasa en tu banco y roban datos ¿qué es peor el banco con un VNC abierto o el que se ha conectado a un VNC sin password?

Por esa regla de tres, es ilegal conectarse a un Wifi abierto...

Peter_Feinmann

#68 A Google se le está aplicando la legislación europea de protección de datos, pese a radicar en EEUU. La Agencia Española de Protección de Datos les ganó el pleito por el derecho al olvido en la corte europea.

Jueces norteamericanos han enjuiciado a hackers rusos, e incluso han conseguido su extradición a EEUU.

Respecto al ejemplo del banco, habría diferentes responsables y responsabilidades.
- el banco seria responsable frente a la Agencia Española de Protección de Datos, por no salvaguardar los datos personales con la debida diligencia. Posiblemente incluso fuese responsable ante el Banco de España e incluso que perdiese la certificación PCI DSS y se quedase fuera del circuito de uso de tarjetas de crédito hasta que la recuperase. A las empresas de tarjetas de crédito no les gusta nada que los bancos vayan comprometiendo la seguridad del sistema de tarjetas.
- el hacker seria responsable ante los jueces por descubrimiento de secreto. Si ademas proporciona la información a otros, sería responsable de revelación de secretos.

Peter_Feinmann

#65 Me parece que existe unos delitos que se llaman descubrimiento y revelación de secreto. Si se accede a un sistema informático se habría cometido el primero, si ademas se proporciona a otros esa información se estaría cometiendo el segundo.

aggelos

Acaban de hackear el sitio?

D

¿Tan difícil es cortar por defecto todas las comunicaciones entrantes en el corta fuegos de la empresa y luego ir abriendo puertos de manera cautelosa?....ah que tienes tu empresa conectada a internet por tu cuñado y no sabes lo que es un cortafuegos...ok

Peter_Feinmann

#83 La ultima regla de todo cortafuegos bien configurado debe ser la de denegarlo todo.

D

Que buen deface le han metido a la web

jaimehrubiks

"Tal vez resulte sorprendente, pero esta no es una idea nueva. Shodan.IO lo hace desde hace tiempo."

Si claro, shodan ahora es una ruleta rusa de vpns y le han robado la idea...

deabru

Pinta mucho panel de control industrial.

Me sorprende la cantidad de gente que parece que necesita montar un linux, para ejecutar el servicio que sea, y le meten un vnc sin contraseña. No me lo esperaba.

p

#29 Porque es diferente saber que creer que se sabe.

El sentido común (como por ejemplo comprobar que no sea accesible desde fuera, lo mínimo) no hay tecnología por buena que sea que lo pueda reemplazar.

l

Nada nuevo