lunes, 9 de abril de 2018

24 Horas en la vida de mi router doméstico

24 Horas en la vida de mi router doméstico

¿Estamos preparados para vivir en un mundo donde cualquier dispositivo conectado está expuesto a ciberataques? 
Esta es la frase con la que comencé mi última ponencia en las jornadas de Ciberseguridad QurtubaCON16 (y con la que comenzaré en las Jornadas de Ciberseguridad y Derecho en HoneyCON16 el próximo 11 de Noviembre en Guadalajara). 
Mi intención es que los asistentes saquen sus propias conclusiones sobre el nivel de riesgo que todos asumimos cada vez que conectamos nuestros dispositivos a Internet.
¿Te has preguntado alguna vez que ocurre en tu router doméstico y que amenazas le acechan en el mismo momento en que pulsas el botón de encendido?
En este artículo pretendo realizar un análisis de los eventos de seguridad y ataques recibidos en mi propio router doméstico de un famoso ISP español.  Así podrás tomar conciencia del nivel de exposición al que están sometidos estos dispositivos que permiten conectar nuestra vida a la red de redes.  
Y pongo en el punto de mira a nuestros routers porque muchas veces no le prestamos la atención que merecen y en ocasiones los tenemos encendidos 24x7x365. 
Los dejamos expuestos de forma permanente, sin ser conscientes de que en ocasiones los paneles de administración están expuestos hacia Internet con credenciales por defecto o débiles, que tienen expuestos determinados puertos sin nuestro conocimiento que pueden ser atacados, que son vulnerables a determinados ataques o que presentan distintos fallos de seguridad que no han sido parcheadas ni por nuestro proveedor de Internet ni por el fabricante del dispositivo. 
Te recomiendo que visites la web http://routersecurity.org/ en el apartado Router Bugs y Security Checklist sobre vulnerabilidades detectadas en los últimos años y recomendaciones de seguridad.
Durante estos últimos años se han producido noticias acerca de vulnerabilidades en routers distribuidos en España que ponen de manifiesto la gravedad del asunto:
¿Qué ocurriría si un atacante consiguiera acceder a la configuración DNS de tu router y modificarla? 
No solamente podrías perder tu privacidad (ya que el atacante podría monitorizar tu navegación en Internet) sino que además podrían suplantar por ejemplo la web de tu banco o la de tu compañía a fin de obtener tus credenciales. 
Eso es solo un ejemplo de lo que podría ocurrir y que se describe en el siguiente gráfico:
En muchos casos, los ataques recibidos son automatizados y por tanto si tu router está dentro del rango de red objetivo que el atacante o dispositivo vulnerado escanea serás una víctima potencial. Aquí no vale la excusa “quien me va a atacar a mi si yo no soy nadie”. Solo es necesario que estés en su rango de ataque. No es necesario que el ataque esté dirigido exclusívamente a ti. Cuanto mayor sea el número de víctimas potenciales mayor será el porcentaje de éxito.
Para la recolección de eventos de seguridad y ataques, hago uso de un sensor hacia el cual redirijo todo el tráfico que va dirigido hacia mi IP pública que corresponde con mi router doméstico y monitorizo toda la actividad entrante producida en todo el rango TCP y UDP. También monitorizo los paquetes ICMP. 
Considero como sospechoso todo el tráfico dirigido hacia mi IP y monitorizo cualquier intento de conexión a cualquier puerto TCP.
No consideraré ataque la recepción de paquetes SYN a un determinado puerto, sino el acceso por fuerza bruta a determinados servicios expuestos en el sensor tales como SSH, Telnet, RDP o FTP, la ejecución y descarga de muestras de malware o determinados comportamientos anómalos en los servicios.
Hay que tener en cuenta que una dirección IP de un posible atacante por si sola no es un dato relevante, ya que se pueden utilizar diferentes técnicas para ocultar la IP real del origen o incluso el atacante puede usar un dispositivo ya vulnerado para realizar su ataque a través de él. En ningún momento he difundido mi dirección IP para recibir ataques.
La recolección de datos se produjo entre el miércoles 6 de Octubre a las 18:00 y el jueves 7 de Octubre hasta las 18:00. 24 horas.
Una vez agotado el tiempo de recolección de información, los datos obtenidos son los que voy a presentar a continuación.
En 24 horas se produjeron un total de 20.070 eventos hacia mi router doméstico, de los cuales 4678 puedo considerarlos como ataques. Se han registrado un total de 92 países distintos desde los cuales he recibido conexiones a un total de 349 puertos diferentes.
Más de la mitad de los eventos son recibidos desde Asia. 
Entre los puertos que han recibido más conexiones destacamos el servicio SSH, Telnet, 443, 2323, RPD, VNC, 8080 entre otros. Si yo en ningún momento he difundido que tengo esos servicios expuestos, tendríamos que preguntarnos que están buscando y por que llegan hasta mi. Eso solamente lo podemos saber si realizamos un análisis de todo lo que se ha producido.
Entre los orígenes de los eventos es normal encontrarnos últimamente a Vietnam en el top. 
La respuesta a esto es respondida en el artículo http://securityaffairs.co/wordpress/52015/hacking/mirai-botnet.html y es debido a la gran cantidad de dispositivos IOT infectados con Mirai y que tienen entre sus objetivos rangos de IPs españolas.
Sensor recogiendo información de eventos desde Vietnam
Dispositivos detectados por Shodan pertenecientes a Mirai
El gráfico general referido a ataques (no a todos los eventos) de las 24 horas quedaría de la siguiente manera (País origen, ASN, IP y puerto):
Algunos países destacados por el número de ataques realizados (ASN, IPs y Puerto):
La mayor parte de los ataques recibidos tienen origen Europeo y Asiático. También hemos recibido una pequeña parte de ataques desde España.
Analizando algunas de las IPs que han atacado mi router podemos encontrar los siguientes paneles de administración Web que corresponden a cámaras y routers:
Algunos de ellos no necesitan credenciales para su acceso y otros tienen credenciales por defecto. Todos ellos han visitado mi router (o quizás algún equipo que está detrás de esa red), se han conectado a mis puertos señuelo, han descargado muestras de malware, han intentado incluirme en su botnet, me han usado de pasarela para realizar ataques, entre otras actividades.
Se han descargado varias muestras de malware, entre ellas Mirai:
Pero no ha sido el único malware que han intentado descargar. Puedes ver a continuación la una demostración de la gran cantidad de descargas mediante wget que han intentado realizar:
Una vez observados todos los datos, no deberías preguntarte si tu router doméstico será atacado o no. Pregúntate cuando. Con todo lo expuesto anteriormente creo que ya eres consciente de que más tarde o más temprano te llegará tu turno. Y espero que para entonces no tengas tu panel expuesto en Internet, o que tus credenciales sean demasiado débiles o por defecto, o que no hayas parcheado tú, el fabricante o el proveedor del servicio las posibles vulnerabilidades del router o que no hayas expuesto más servicios de los necesarios. Quizás ya hayas sido atacado y todavía no lo sepas.
Si no tienes en cuenta estos consejos, quizás sea tu dirección IP la que aparezca en la siguiente lista de dispositivos vulnerados de cualquiera de mis sensores en las próximas 24 horas.
Saludos a todos.
Fr4n
Twitter: @0fjrm0

No hay comentarios:

Publicar un comentario

Si nos han de robar, 
que sean otros y no los mismos de siempre

Si como votantes, no nos escuchan
como consumidores, lo harán
boicoetemos sus empresas.
Llevamos las de ganar. 

Como acabar con la ESTAFA de las ELÉCTRICAS... de una puta vez pasando de los Vendepatrias del Bipartidismo

Ante el robo continuo y escandaloso por parte de las eléctricas y sus abusos en el recibo de la luz
propongo... 
actuar todos unidos como consumidores
contratando TODOS 
o en su defecto una gran mayoría,
  otra compañia eléctrica que no sea ninguna de estas dos (ENDESA - IBERDROLA) y cambiarnos a otra cualquiera de las muchas ofertas que existen hoy en día.

De tal forma que no les quede otra a las grandes que plegarse a nuestras demandas de una tarifa más justa y mucho más barata
o atenerse a las consecuencias 
de seguir con su estafa.

En nuestra mano está que siga este robo o cortar por lo sano para que no nos sigan mangoneando

ARMAK de ODELOT

Canción del Indignado Global

(solo pá Mentes preclaras 

libres de Polvo y Cargas)

Si me han de matar que sea,
 un Trump que de frente va

  no un Obama traicionero, 

que me venga por detrás.


Éstos del bipartidismo, 

a nadie ya se la dan

Tanto monta, monta tanto,

ser sociata o liberal.


Que harto me tienen sus cuentos, 

de crisis y guerras sin más

Cuando no hay bandera que tape, 

la ansia de un criminal.


Daños colaterales son, 

inocentes masacrar

si lo hiciéramos con ellos, 

no habría ni una guerra más.


Por eso pasa que pasa, 

que nadie se alista ya

a no ser que la CIA pague,
 
como al ISIS del MOSAD


A mí, que nunca me busquen, 

ni me llamen pá luchar.

Que yo no mato por nadie. 

Yo mato por no matar.


La paz de los cementerios 

es la paz del capital

Si soy rojo es porque quiero, 

en vida, vivir en paz.


Hoy tan solo mata el hambre, 

del rico por tener más 

Con el cómplice silencio, 

de toítos los demás.


Que preferimos taparnos, 

los ojos pá no pensar

O mirar pá otro lado, 

pensando que el mal se irá.


Creer que lo que a otro pasa, 

no nos tiene que importar.

Cá palo aguante su vela, 

repetimos sin cesar.


Éste es el mantra egoísta 

que rula por la sociedad

como si lo que le pase a otro, 

no te pueda a tí pasar


Más todo, cuán boomerang vuelve, 

al sitio de donde partió

y tal vez ocupes mañana, 

el sitio que otro dejó.


Mil pobres ceban a un rico, 

otros mil le dan jornal,

y otros cuantos dan su vida 

porque todo siga igual. 


Que no me coman la oreja, 

que no me creo ya ná

de sus guerras, sus estafas, 

ni su calentamiento global


Tan solo vuestras mentiras, 

esconden una verdad

que unos pocos están arriba 

y abajo tós los demás.


Da igual que seas ateo, 

cristiano o musulmán.

Solo los elegidos, 

el paraíso verán.


Hay medios alternativos, 

amarillos muchos más.

Unos más rojos que otros. 

Los menos, de radikal.


Más todos tienen su cosa, 

y a todos hay que hojear

Que comparando se tiene 

opinión más general.


Qué de tó aprende uno. 

Nadie tiene la verdad.

Ser más papista que el Papa, 

no es garantía de ná.


Solo creo en lo que veo, 

díjome santo Tomás, 

que el que a ciegas se conduce, 

no para de tropezar.


Y al enemigo, ni agua, 

ni nunca contemporizar

No dudes, tarde o temprano, 

siempre te la jugará.


No hay que seguir a nadie 

y a todos hay que escuchar.

Si tu conciencia te guía, 

de nada te arrepentirás.


Dá gusto ver a los ricos, 

pegarse por serlo más

mientras en eso se hallen, 

quizás nos dejen en paz.


Si te crees o no sus mentiras, 

a ellos les dá igual.

Con tomarlas por veraces, 

les basta para actuar. 


Que no me cuenten más cuentos, 

que tós me los sé yo ya.

Se demoniza a cualquiera

que no se deje robar.



No basta con ser un santo, 

sino ser de"su santoral"

Como la cojan contigo, 

no te valdrá ni el rezar.


Pensamiento único llaman. 

Anteojeras pá no pensar

más que en la zanahoria. 

El palo irá por detrás.


Si no crees en lo dictado, 

anti-sistema serás

Y por mucho bien que hagas, 

te van a demonizar.


Que no me coman la oreja, 

que a mí, no me la dan.

Que me sé todos sus cuentos 

y también, cada final.


Si de cañon, quieren carne, 

pál matadero llevar

que busquen a otro tonto, 

que este tonto no va más



No se ha visto en tóa la historia, 

otra estafa sin igual.

Que la madre tóas las crisis, 

que creó el capital


Y cuando tan ricamente, 

uno estaba en su sofá

Relajado y a cubierto, 

de inclemencias y demás,


te cortan sin previo aviso

el grifo de tu maná. 


Y te dejan sin tus sueños,
 
sin trabajo y sin hogar


y pá colmo y regodeo 

de propios y extraños, van

y te dicen como aviso

que al rojo no hay que escuchar


que son peores que el lobo,

del cuento y mucho más

y que si vas y los votas

toíto te lo robarán.



Si como votantes, no nos escuchan

como consumidores lo harán.

Boicoetemos sus empresas

Llevamos las de ganar. 


Si no queda más remedio

que dejarnos de robar

que sea otro y no el de siempre

tal vez así, aprenderá


No hay pan pá tanto chorizo,

dicen, cuando lo que sobra es pan.

Lo que no hay es un par de huevos
 
pá que no nos choriceen más.


Resultado de imagen de eladio fernandez refugiados suecia

Ellos tienen de tó

los demás, cuasi-de-ná

mas ellos son cuatro mierdas

y nosotros sémos más.


La próxima revolución 

contra las corporaciones será

y si ésta no se gana 

no habrá ninguna ya más.

Quien sepa entender que entienda

lo que digo es pá mascar

despacio y con buena conciencia.

Mi tiempo no dá... pá más


Armak de Odelot


Dicen: 

No será televisada, 

la próxima revolución.

Más como nadie se fía 

de lo que se nos dice hoy en día,

pasamos los días enteros, 

tumbados en el sofá

delante la caja tonta,

 por no perder el momento
del pase de la procesión 
que tós llevamos por dentro