Grave vulnerabilidad: Ya.com entrega routers desprotegidos

Primero, el aviso: si tenéis un D-Link DSL-504T de los que regala Ya.com y mantenéis los valores de fábrica, cambiad inmediatamente la contraseña de acceso. Poned una que tenga al menos ocho caracteres aleatorios (nada de palabras, en cualquier idioma), combinando mayúsculas, minúsculas y números. A mí me rompieron por fuerza bruta, en un Conceptronic, una de ocho letras minúsculas aleatorias; por eso hago énfasis en que combinéis varios tipos de caracteres.

Ahora, la historia: hace poco ha escrito en el foro un cliente de Ya.com (gracias por el aviso, manelius) llamando la atención sobre un test de puertos que le había hecho a su D-Link DSL-504T, regalado por este proveedor en sus ofertas más básicas. Según dicho test, tenía abiertos ciertos puertos destinados a la gestión del router. Con un par de comprobaciones y una consulta al manual del modelo, pude meterme en su configuración con absoluta facilidad. Por tanto, estamos ante un problema muy grave de seguridad, de aquí que recomendemos el cambio de la contraseña a la mayor brevedad.Curiosamente, una búsqueda por Google no devuelve ningún tipo de aviso sobre esta cuestión. Siendo D-Link una marca muy conocida a escala mundial, es de esperar que semejante agujero ya tuviera comentarios. Lo que me da que pensar que, siendo el firmware del 504T una versión del conocido sistema operativo empotrado Linux Busybox, haya sido expresamente modificado en los modelos que entrega Ya.com.

La pregunta es: ¿con qué propósito? Dejando especulaciones conspiranoicas aparte, lo cierto es que, por parte de Ya.com, constituye una tremenda falta de profesionalidad proporcionar a los clientes (la mayoría de ellos, con escasos conocimientos de redes) un router que, nada más conectarse, deja abierta una puerta del tamaño de la de Alcalá. Es como vender un piso y dejar una copia de las llaves debajo del felpudo, sin avisar a los compradores.

Si algún dueño de este router quiere profundizar en el tema, que no dude en escribir un mensaje en el foro de Seguridad o en de D-Link 504T.

Actualización: según nos comentan en los foros, también en firmwares descargados desde el FTP ruso de D-Link se observa este problema. Luego sí que parece ser global.

Categorias: Nacional

Etiquetas:

67s Comentarios

  1. A lo mejor es irme demasiado a las ramas, pero quizás pretendieran dar un soporte de asistencia al router de manera remota, vamos, algo de lo que pretendía telefónica durante un tiempo con los 3com 812, algo que me pareció en su tiempo, una falla de seguridad.

    El puerto que estaba abierto siempre era el 30, con el que se podía (y puede para quien lo tenga) administrar el router por telnet.

    Así que supongo que esa era la idea.

  2. No te vas por las ramas, es una posibilidad seria (las otras que manejo son bastante terribles). Pero habiendo tanto “escaneador” de puertos por ahí suelto y siendo la contraseña por defecto del 504T bastante sencillota, no deja de ser una burrada.
  3. No es la primera vez que pasa algo parecido, ni será la última.
    Todavía recuerdo el 3Com 3CRADSL72 que ofrecía ya.com, sus famosos “calentones” y sus primeros firmwares. No hacía falta ni saber el pass, mediante el simple truquillo de introducir dos veces unas direcciones teóricamente ocultas de su navegador web te colabas hasta el fondo.

    Son routers de bajo coste y lo que implica todo ello. Lo mejor es estar informado, cambiar el firmware por otro en condicones y tomar las medidas de seguridad que se recomiendan.

  4. Una pregunta… a ver, ¿no sabemos el password por defecto de TODOS los routers/compañías?.
    Lo primero que debería hacer todo el mundo es cambiar ese password y restringir el acceso al router desde la WAN.
    Esto me lo he encontrado personalmente con ADSLs de Telefónica, YA y Jazztel.

    Otra cosa es que aparezcan “puertas traseras” de dudosa funcionalidad…

  5. El problema no es de ya.com. Un familiar mio tiene el mismo router con auna/ono adsl y hace tiempo pude entrar en su router perfectamente con las contraseñas por defecto. Después de eso las cambiamos.

    Como bien dice mced, lo mejor es cambiar el usuario y contraseña que viene por defecto.

    En este caso el técnico de auna dejó activada la administración web remota y el telnet desactivado (supongo que vendria así por defecto).

    Para desactivar la gestión remota, debemos de entrar en el router, pinchar en la pestaña advanced y luego en advanced security, aqui sale una ventana donde podemos desactivar el acceso externo mediante web y telnet remoto.

    No sé si tendrá otros puertos abiertos para “gestión remota” porque nunca he probado a hacerle un scan de puertos completo.

    Lo que si puedo decir es que tengo un comtrend 536+ de telefónica y, en el apartado correspondiente, está habilitada gestión remota hacia determinadas direcciones ip. Lo que no sé es si tendrán un usuario oculto para entrar, puesto que el firmware de jazztel (que tengo puesto ahora) aparecen como usuarios admin, support y user, mientras que en de telefónica sólo aparece 1234.

    También he leido que el xavi 7768 habilitaba la gestón remota para otro rango de ip y esta vez ni siquiera estaba en la interfaz web, sino en el archivo que genera cuando se guarda la configuración en un fichero. El caso es que lo he estado mirando con el firmware 1.03 y no sale nada, lo cual no quiere decir que el nuevo (1.05) no esté. Todo es cuestión de que lo mire alguien que lo tenga.

    Voy a omitir cualquier comentario sobre la privaciadad porque para decir burradas mejor me callo. Sólamente decir que no es nada nuevo y que supongo que lo harán para reconfigurarlos a su antojo cuando haya algún “problema”.

    Me imagino que por algo los isp ponen una versión de firmware personalizada en lugar de poner directamente la del fabricante.

  6. Debería hacerlo. Pero la realidad es que supongo que los routers ya vendrán preconfigurados con su PPPoE, su VPI 8 y su VCI 32… para que el cliente no tenga ni que saber que hay una configuración web. Mete ahí a un padre de familia, con los menús en inglés técnico.

    Respecto a restringir el acceso al router desde WAN, según nos han comentado sus dueños no hay ni una sola opción al respecto en la configuración. La única forma de cerrar el puerto es desde telnet.

  7. No he dicho que haya sido obra de Ya.com, pero sí que es su responsabilidad entregar routers con un mínimo de seguridad.

    Sí que tiene otro puerto abierto para “administración remota”, pero no voy a dar más detalles a los posibles tocapelotas a los que les gusta putear al prójimo: que se busquen la vida.

    Si lo que quiere el proveedor es controlar el router, al menos que tenga un poco de cuidado al crear las reglas de iptables. Habría bastado con restringir las IPs. Pero no, a lo bestia.

  8. opino igual tambien podia ir todo preconfigurado y para gestion remota como apertura de puertos y esas cosas q se le indique al cliente como entrar y activar la asistencia remota asi es el cliente quien decido como otro operadores .
  9. Totalmente de acuerdo, pero en el subject se referencia explícitamente a Ya.com (a mi de igual, que conste). Yo pienso que esto es un problema de todos los ISPs en general, ya que los passwords por defecto son conocidos por todo el mundo y las redes wireless vienen sin protección, por ejemplo, para que al típico padre de familia que comentas antes le puedan quitar ancho de banda e incluso le descojonen la red.
  10. Enhorabuena mced,

    He seguido el hilo del puerto abierto y te lo has currado.

    Si se confirman tus sospechas, habrás descubierto un tema muy peliagudo para ya.com.

    Si no fuera porque estamos en España…seguro que en otros países rodarían cabezas por menos.

    saludos

  11. …tema peliagudo para ya.com.

    no creo que les preocupe, ya pasó anterioremente e incluso peor con el 3CRADSL72, e incluso creo recordar que su clónico el SMC7804WRA tenía los mismos agujeros de seguridad en algún firmware.

  12. Podriais cambiar el titular por lo menos xD, demasiado sensacionalista para lo que es … simplemente que los routers de dicha marca vienen con administracion remota habilitada.

    No es ningun problema, es una feature. Lo primero que tienes que hacer cuando te dan un cacharro de estos es leerte el manual y hacer las pruebas pertinentes, pero esta visto que ya ni en una web de ADSL se habla con propiedad, en vez de instar a la información se hace la noticia acusando al ISP.

    PENOSO.

  13. Desde luego, aunque no es lo mismo tener la red desprotegida para los niñatos del cuarto izquierda, que para media internet 😉
  14. uf…ya estamos dando x c..o otra vez 😛

    …simplemente una feature….traer de fábrica habilitada la administración remota no es una feature, es una cagada.

    La mayoría de usuarios no son experimentados y en la documentación de los routers no se avisa de las medidas de seguridad que debes tomar al configurar el mismo.

    …acusando al isp…¿quién te distribuye el router?….mi primo ¿no?, ellos deberían facilitar una documentación lo más completa y con un idioma clarito que todo el mundo lo entienda. La falta de seguridad no es “una feature” sino una irresponsabilidad por parte del isp que nos ofrece el producto.

    Don’t feed the troll…

  15. Es un fallo de seguridad que compromete la privacidad del cliente. El responsable del mismo es el Proveedor de Internet, ya que proporciona los aparatos con un firmware modificado por ellos mismos en el que establecen la configuración por defecto para conectar con su compañía.

    Por tanto, es perfectamente denunciable y sería responsabilidad del ISP poner los medios para solucionarlo. Tienen 2 posibilidades:

    1.- Enviar un email a los clientes afectados con las instrucciones para actualizar a un firmware corregido.

    2.- Sustituir TODOS los routers afectados enviando otro sin el problema.

    Como de costumbre, nadie reclamará y ellos no harán nada.

  16. Estimado señor Penoso:

    En el manual que se puede descargar de la web de D-Link España…

    (Condición número uno: saber corregir links rotos, ya que ése lo está)

    … escrito en un perfecto inglés …

    (Condición número dos: saber idiomas)

    … el consejo de cambiar la contraseña inicial está en la página 28 de un total de 87. ¿Me está usted diciendo que un cliente que lo único que quiere es disfrutar de su línea ADSL, tiene que cumplir estos condicionantes y tener la paciencia de leerse 28 páginas de información técnica para alcanzar algo tan básico como una mínima seguridad?

    Desde luego, no es un problema. Me he podido meter en la configuración de un router ajeno y no es un problema. He podido abrir los puertos 135, 137, 139 y 445 a su PC con un par de comandos y no es un problema. He podido editar su archivo de hosts para redireccionar a webs falsas y no es un problema.

    Es posible incluso que el problema esté en otro sitio, señor Penoso.

  17. Totalmente de acuerdo contigo, no es más amarillo este post porque no puede… Si la gente no sabe usar las cosas que no las use y punto. ¿O la gente va pilotando aviones sin leerse el manual antes? No veo ni el fallo ni el agujero en esta noticia por ninguna parte, la próxima noticia será: “Fallo gravisimo de seguridad en ya.com con sus D-Link, no es necesaria contraseña WEP para conectar via wireless…”
  18. Menos mal que no ha aparecido el subnormal de turno diciendo que esto es un copy & paste , a ver cuanto tarda en salir del colegio
  19. Hola meloncete, ya te echaba de menos. El tema de los routers que entregaban los ISP con el wireless desprotegido ya lo tratamos en su momento, como en http://www.adslayuda.com/Noticia-1026.html. Ese es otro problema también grave, que algunos ya están corrigiendo enviándolos al menos con una clave WEP (caso imagenio, por ejemplo).

    La comparación con los aviones es desafortunada, ya que los routers son herramientas que te entregan como parte de un contrato y que estás pagando mensualmente. Más bien es como si compras un coche al que no le funcionan los airbag. ¿te vas a leer el manual del coche para aprender a controlar si los airbag funcionan?

    ¿Una vez detectado ese problema de seguridad no llamaría la casa a todos los compradores de ese coche para corregirlo?

  20. Entonces que Ya.com ponga una nota:

    “Este producto no está recomendado para todos los públicos. Sólo debe usarse por especialistas en informática.”

    En contra venden su ADSL como sencillo, seguro y accesible para todos los públicos. ¿Publicidad engañosa o estafa? ¿A lo mejor es necesario poner una licencia para usar un router, igual que para pilotar un avión?

  21. “Amarillismo”. Según tú, es mejor callárselo.

    “Que no las use”. A no ser que te leas todos los artículos y foros diarios de Securityfocus, dudo que sepas las mil y una maneras de meterse en tu PC. Así que te recomiendo que lo apagues, puesto que no sabes usarlo.

    “Manual”. No es necesario cambiar la contraseña de acceso en un router no-wireless, salvo que se sea algo paranoico. O que el router tenga puertos abiertos hacia WAN no documentados y no desactivables en su configuración web.

    “WEP”. Absurdo símil. Todos los routers wifi vienen con el cifrado desactivado. Eso entra en la normalidad. Lo que no es corriente es que tenga la administración remota activada, con un puerto no documentado. Lo normal es que al entrar a un coche tengas que ponerte los cinturones. Lo que no es normal es que tengas que preocuparte de activar los frenos, porque estén apagados.

  22. Me echabas de menos? Cualquiera diria que es la primera vez que escribo, pero bueno, gracias de todas formas 😉

    Y sí, deberías de leerte el manual del coche para saber si el airbag funciona, es por tu bien igual que si van los frenos, o si tienes que cambiar el aceite, etc… Y si no lo has hecho hazlo por tu bien y por el de los demás, es muy sencillo saberlo, los fabricantes de coches hacen que lo sea (son unas lucecitas rojas, a ver quien va a ser el meloncete), igual que los fabricantes de routers de consumo hacen muy facil que sea activar el wpa o el wep. Hablamos de un router D-Link pensado para todos los publicos, con interfaz web y todo, solo es necesario un poco de intuición y de un manual bastante simplón y cortito, que no es un Cisco…

  23. Especialistas??? Para un D-Link??? xD

    El problema es que la gente se compra un aparato electrónico y no es capaz de dedicarle 5 minutos a leerse el manual, la única culpa que le puedo encontrar a un ISP es si te lo venden sin manual (que la verdad, no lo sé), pero si te lo dan y tú no te lo lees es tu problema. Es como si te compras un piso con un sistema de alarma y no te lees el manual que te han dado para la alarma, luego te entran y te quejas a la inmobiliaria…

  24. Me encanta este comentario tuyo, habla por si solo:

    “A no ser que te leas todos los artículos y foros diarios de Securityfocus, dudo que sepas las mil y una maneras de meterse en tu PC. Así que te recomiendo que lo apagues, puesto que no sabes usarlo.”

    Te has leído la noticia? Habla de un agujero de seguridad que no existe, tan solo es un fallo en la configuración (y en securityfocus no hablan de fallos de configuración). Y no digo que sea mejor callarselo (en caso de existir) pero no hables de un agujero de seguridad cuando no lo hay, ahí hay un problema con la configuración y con la falta de ganas de los usuarios de leerse el manual para saber como funciona su recien adquirido aparato.

  25. Bonito eufemismo, “fallo en la configuración”. Vaya, meter en el firmware un servidor SSH, ocultarlo en la configuración web y hacer una regla de iptables abriendo el puerto 22 para cualquier IP de internet es algo que ocurre así, sin quererlo. Qué fallos más curiosos. Creo que a estas cosas las llamaban “generación espontánea”.

    Me da igual cómo quieras llamarlo. Para mí es un agujero de seguridad, porque puede conducir a situaciones de riesgo. Pero bueno, supongo que los tontos que no cambian la password por defecto se lo merecen, ¿verdad?

  26. Yo he visto poner un sistema de alarma y te explica un operario como funciona. Imagínate que te la ponen y adiós muy buena, la gente pensaría que funciona sola.

    Desconozco si te dan un manual en condiciones con el router, pero imagino que no. Si no, ¿para que están estos foros de ayuda al usuario?

  27. Para el que no sepa qué es SSH, (yo tampoco lo sabía)…

    http://es.wikipedia.org/wiki/Secure_Shell

    SSH (Secure SHell) es el nombre de un protocolo y del programa que lo implementa, y sirve para acceder a máquinas remotas a través de una red. Permite manejar por completo el ordenador mediante un intérprete de comandos, y también puede redirigir el tráfico de X para poder ejecutar programas gráficos si tenemos un Servidor X arrancado.

    Además de la conexión a otras máquinas, SSH nos permite copiar datos de forma segura (tanto ficheros sueltos como simular sesiones FTP cifradas), gestionar claves RSA para no escribir claves al conectar a las máquinas y pasar los datos de cualquier otra aplicación por un canal seguro de SSH.

    Y lo que puede pasar:

    http://barrapunto.com/article.pl?sid=05/07/24/106216&mode=thread

    “Me he fijado hace poco gracias a un amigo la cantidad de ataques que se reciben por SSH si utilizas cualquier tecnología P2P. Es decir, teniendo tu secure shell abierto (puerto 22) hay muchísima gente que intenta los típicos usuarios de prueba y otros predecibles, gracias a que escanean las IPs conectadas a redes P2P.”

    O sea…no es un bug…es una “feature”xDDDDDDDDDD….ains…

  28. “Te has leído la noticia? Habla de un agujero de seguridad que no existe, tan solo es un fallo en la configuración (y en securityfocus no hablan de fallos de configuración). Y no digo que sea mejor callarselo (en caso de existir) pero no hables de un agujero de seguridad cuando no lo hay, ahí hay un problema con la configuración y con la falta de ganas de los usuarios de leerse el manual para saber como funciona su recien adquirido aparato.”

    http://barrapunto.com/article.pl?sid=05/07/24/106216&mode=thread

    Esta noticia tampoco existe y barrapunto es “aquí hay tomate web” ¿no?…

  29. ¿Y que tiene que ver una noticia con la otra? Porque en la noticia de barrapunto no hablan de ningún agujero de seguridad ni de nada relacionado con ya.com ni con D-Link.
  30. Pues según dice la noticia, no parece que haya sido Ya.com el que ha modificado el firmware… ¿o Ya.com es el soporta el FTP ruso de descargas de D-Link?
  31. Voy a tener la osadía de discrepar con gente “intocable” de estos lares…
    Cuando fui a visitar a mi padre para reconfigurarle su flamante ADSL de Telefónica tenía la contraseña por defecto (== entra to dios) y el wifi abierto.
    Mi padre, un señor en edad cercana a la jubilación, por supuesto que NO se había leído el manual con letra minúscula de ciento y pico hojas… o sea que centrar en Ya.com el tema de falta de información me da la impresión que se debe a razones poco objetivas.
  32. Está claro creo yo…pues que el D-Link deja abierto ese puerto 22 para que se puedan producir ataques SSH, tal y como se indica en el link de barrapunto.
  33. Ya.com es el responsable de distribuir routers con este agujero de seguridad.

    Yo tengo un 3CRWDR1OOY72 también de ya.com y el puerto 22 lo tiene invisible para evitar estos problemas, es una fallo de seguridad bien claro, y más si no te ofrece el firmware la opción de cerrarlo u ocultarlo como parece ser.

    Según el scan de puertos de Upseros:

    Puerto 22 — Servicio — SSH

    Secure Shell, un sistema de telnet encriptado. Si no está bien configurado puede permitir ataques por fuerza bruta a la cuenta de administrador de tu sistema.

  34. O sea, que entonces el problema es que ese puerto no se puede cerrar (de ninguna manera, o por lo menos no de forma sencilla) para su acceso desde el exterior… ¿no?
    Los mismos ataques se pueden sufrir por telnet y http…
    Pues ya tenemos la solución: abrir el puerto 22 a una IP interna inexistente. Hale, no hace falta ni actualizar el firmware.
  35. ¿Y eso te lo explica el manual del router?, ¿es un agujero de seguridad?, ¿es una iresponsabilidad por parte de ya.com?

    La mayoria de usuarios no tienen los conocimientos (ni tienen por qué tenerlos), ni estarán leyendo esto para estar avisados.

    Si tu compras un producto o un isp te ofrece un router, éste debe ser seguro y de manejo sencillo, aptos para el público en general.

    Yo creo que la cosa se está saliendo de madre, esta información es un aviso para los poseedores de este router y los problemas que este fallo de seguridad puede acarrear.

  36. Esta solucion permite que se cuelque el router por un DoS (Denial of Service). Mas seguro, y mejor es redirigir el trafico del puerto asociado a una maquina que si exista , este viva y tenga un buen Firewall, que “drope” lo paquetes,(por ejemplo tener un linux con IPTABLES configurado al efecto), esto se puede hacer con un PC antiguo sin problemas (un 486 valdria)
  37. De momento, lo que hemos recomendado en el foro es que el propio router “dropee” los paquetes dirigidos al 22.
  38. ¿Me está usted diciendo que un cliente que lo único que quiere es disfrutar de su coche, tiene que cumplir estos condicionantes y tener la paciencia de leerse (y aprenderse) 200 páginas de información técnica para alcanzar algo tan básico como conducir el coche?

    xD

    Yo opino que los usuarios deben poner un poco de su parte tambien, ya vale de echarle la culpa a todo y no reconocer que no se tiene ni puta idea de nada xD

  39. Tu eres un poco totis tio xDDD, SSH tiene más de 10 años xDDDDD, es el metodo de acceso remoto seguro mas conocido del mundo xDDDD

    Lo que comentan en ese articulo de /. , es que se utilizan los programas P2P para recabar direcciones IP, que luego escanean para saber cuales tienen el puerto 22 tcp abierto y por tanto posiblemente un servidor SSH , para luego probar una serie de logins/passwords por defecto que incluyen muchas aplicaciones como podria ser ftp:ftp, myswql:mysql, admin:admin … etc.. etc…

    Asi que si, se aprovechan de la “”feature”” de que SSH tenga por defecto el puerto 22, al igual que tu te puedas aprovechar de que esta web este en el puerto 80 como la mayoria de webs. No es un bug, porque toda la vida los servidores SSH estan en el 22, que tu seguridad dependa de donde estan ubicados los servicios si que es un bug, y tu pedazo de comentario si que es muestra de un retraso mental severo xDDDDD

  40. Perdón por no ser como tú tan megaguachi-tecnoingeniero-informático…

    Como es tan conocido para el común de los mortales y todo el mundo sabe esto…que pena soy yo el único que nolo conocía…bueno ya he aprendido algo nuevo hoy…

    El retrasado mental puedes ser tú al venir sin logearte a dar por culo…o a lo mejor tu vida social es inexistente y te entretienes en esto mamoncillo…

    Yo conozco mis limitaciones y siempre procuro aprender algo…los tipejos con tu prepotencia solo demuestran su incompetencia 😛

  41. El protocolo SSH es utilizado masivamente por Linux y no creo que nuestro amable adeseletero haya hecho nunca un ssh IP_maquina. Sólo le llevan instalado de serie Linux y Mac.
  42. Parece que no te enteras muy bien, señor adeseletero. El problema no es que el router pueda gestionarse por SSH. El problema es que tenga abierta a internet la gestión remota por ese protocolo, o por cualquier otro.

    Cualquiera con las claves por defecto puede adquirir control sobre el router y acceso a la red interna.

    Pero claro, algunos están tan acostumbrados a aprovecharse de vulnerabilidades de los demás, que no caen en la cuenta de que es un problema de seguridad. Así la gente como tú tendrá unos cuantos routers más para usar clones o proxys.

    Quizá sí que estás enterado, después de todo.

  43. Bueno en este tema se han decantado dos vertientes, y yo creo que al final como conclusión todos tenéis algo de razón:

    — Si un distribuidor me vende un frigorífico que da calambres mortales al tocarlo, y lo sabe, supongo que la culpa primera es de ese distribuidor, no del fabricante.

    El ISP que distribuye productos sabiendo que tienen graves defectos de seguridad son tan responsables como el fabricante.

    Es un fallo gordo que un router tenga habilitada la administración remota, eso es de cajón.

    — El usuario medio. Sí, tiene la culpa de no cambiar la contraseña, de no leer, de no ser capaz.. Pero señores, los routers son complicados para la persona media, no es banalí configurar un router.

    Pero en este caso, como he visto hacer a muchas personas que no saben poner su adsl, consultan a la compañia que les ha dado el router, y en muchos casos al técnico que les realiza la instalación.

    Pero claro, pobre de mi, si esa compañía ha dejado abierto el router y su administración remota por defecto, y claro, si el pobre señor confía en su compañía para que se lo asegure vamos liados.

    Si la compañía pasa de tí, si no sabes de routers qué hacer?

    O si no sabes que existe un problema con el router, qué hacemos?

  44. Si la compañía pasa de tí, si no sabes de routers qué hacer?

    O si no sabes que existe un problema con el router, qué hacemos?

    Pues entonces perteneceremos al grupo de los retrasados mentales severos, donde nos ha metido a la mayoria de usuarios el cerdo este trés mensajes más arriva.
    ¿esto era adslayuda, o una web para elitistas frikis informáticos de culo gordo?

  45. Para decir burradas mejor, como dices informate, porque sino solo serán eso burradas y busquedas estupidas de conspiraciones judeo-masónicas. Todos los router, incluso los cisco, vienen con un usuario por defecto, sino como coño quieres entrar al menu web o configurarlo por telnet?
    Me parece una chorrada de hilo sin animo de ofender, y rizar el rizo sobre la obiedad de que todos los routers se entregan con un user un pass por defecto.
    Respecto al Comtrend 536+, solo viene con el usuario 1234, con un fallo que hace que la red wifi venga por defecto en el canal 12 y no se vea y con el firmware modificado lo juesto para que cuando se resetee venga listo para navegar con dir. dinamico y en multipuesto. No hay usuarios ocultos ni el agente Smith anda por el firmware de lor routers 😉
  46. La recomendación es adecuada mced, mi intención es solo avisar de una posible perdida del servicio por saturación del router.
    Con una pequeña “casilla de Firewall/Router” bajo linux, en todo caso perderías un PC, no todos los que estuviesen conectados al router. Por supuesto, esto tambien se puede hacer con Windows (aunque yo me fiaría menos).
    Un saludo
  47. Por lo poco que yo entiendo, la única recomendación “buena” es la que comenta mced de descartar (drop) los paquetes en el propio router. Lo que yo proponía antes de abrir el puerto a una IP inexistente y lo que dices de poner una máquina específica para tragarse el SSH son simplemente “ñapas” que pueden más o menos servir.

    De todas formas, no veo el DoS que dices a la chapucilla que proponía. Supongamos un menda que está escaneando el router para tratar de acceder a él. Al llegar al puerto del SSH, el router, por tener ese puerto abierto a una IP, trata de enviarle la petición a esa IP interna. Para ello, como desconoce la MAC de la IP interna, lanza el ARP correspondiente, pero como esa IP no la tiene nadie en tu red interna nadie le responde, con lo cual nadie responde al SSH y el escaneador ve que nadie le contesta y se pira. Vamos, no creo que se cuelgue un router porque no le respondan a un ARP… si no, cuando apagas el PC y dejas de tener el eMule encendido se estaría colgando todo el rato.
    En fin, que en cualquier caso, lo suyo es tirar el paquete cuanto antes para no perder tiempo de procesador del router.

  48. Que los cisco quee? disculpa pero para poder conectar por las lineas de terminal primero tienes que habilitarlas, por defecto no tienen password y sin password te dice que no conectas.

    Desde luego que es una feature eso de conectar desde fuera pero vamos… dejarlo habilitado con la cantidad de niñatos que ha ypor ahi fuera me parece excesivo

  49. Bueno, en las instrucciones, de lo poco que aparece CLARAMENTE, es que se le debe cambiar el password al router (y explica cómo hacerlo). Lo que ocurre es que al menos en este país hay poca costumbre en cuanto a leer y esas cosas (ahora bien, protestar, sí que protestamos). En cuanto si es una “feature” o un fallo, pues debenderá de lo pelilloso que seas, pero vamos, que si le cambias el pass, te va a dar lo mismo.
  50. No confundamos las churras con las merinas. Vale que se ponga una contraseña por defecto conocida por todos para poder acceder a la configuración. Pero otra cosa es que dejes abierto el acceso a un router a todo internet. Si ya es peligroso mediante wifi, no digamos mediante internet….

    No se trata de una conspiración jueo-masónica. ¿O es que a caso cuando sales a la calle te dejas la puerta de tu casa abierta?

    Puedo comentarte el caso de un conocido mio al que le entraron en el router, le cambiaron la contraseña de acceso y supongo que se abririan los puertos. Y a chupar del eMule… Todo eso además con acceso completo a su red y archivos compartidos. Si eso lo hace un vecino de los 200 que tengas alrededor, que es lo que podrán hacer miles de millones de internautas con posibilidad de configurar el acceso a tu red?. Lo peor de todo es que él sólo sabia que internet le iba lentisimo. Hemos de tener en cuenta que no todo el mundo tiene conocimientos de informática, esa es la pura realidad, le pese a quien le pese. Sólo tienes que escanear las redes wifi de alrededor y comprobarlo por ti mismo.

    Dices “Me parece una chorrada de hilo”. Me parece perfecto, pero eso no es motivo para decir que las opiniones de los demás “serán eso burradas” o “busquedas estupidas de conspiraciones judeo-masónicas”, hay que tener un poco de respeto a las opiniones de los demás. Si no puedes aportar nada constructivo, mejor no pongas nada.

    Además, ¿porque te escondes bajo el anonimato?, ¿tienes algo que esconder?.

    Dejando al “agente Smith” a un lado, ¿me puedes explicar como puedes asegurar con tanta seguridad que no hay usuarios ocultos o puertas traseras en cualquier router?, ¿Acaso has visto tu el código fuente del firmware? Yo desde luego no. Como indico, telefónica ha sido mucho más fina a la hora de dar acceso al router al soporte técnico y lo ha restringido a unas pocas direcciones ip, por lo que para el resto es como si no existieran. En el caso del Comtrend está puesto de forma explicita en su interfaz web. Cosa que no se ha hecho en el DLink, dejando un gran agujero de seguridad a disposición del que quiera explotarlo. ¿Te parece poco poder toquetear un router ajeno a tu antojo sin que su dueño se entere?

  51. 1.2.2.- DoS utilizando TCP syn flood

    Cualquier sistema que proporcione servicios basados en TCP (ftp, http, etc.) es susceptible a este tipo de ataques. Para comprender el modo de funcionamiento de este ataque se ha de entender el mecanismo por el cual se establece una conexión TCP: El atacante se puede beneficiar de la siguiente forma: Una vez que ha enviado un mensaje SYN y el servidor ha respondido con un mensaje SYN-ACK, el cliente no responde con el mensaje ACK. De esta forma se crea una conexión “medio abierta”9 . El servidor tiene en memoria las estructuras de datos necesarias para describir todas las conexiones pendientes. Esta estructura de datos tiene un tamaño finito, por lo que puede ser desbordada intencionadamente creando múltiples conexiones “medio abiertas” y una vez que esta desbordada el sistema no es capaz de aceptar nuevas conexiones.

    Normalmente hay un tiempo asociado a las conexiones pendientes, así las conexiones “medio abiertas” caducarán pasado un tiempo. No obstante, el atacante puede seguir enviando paquetes SYN (con dirección origen falsificada) más rápidamente que el servidor pueda cerrarlas debido al timeout.

    Crear conexiones “medio abiertas” se consigue fácilmente con IP spoofing, de manera que una vez que el paquete SYN llega al servidor, resulta imposible saber cual es el verdadero origen del paquete.

    Tomado de:
    Salvador González García y Jesús Barba Romero
    RedIRIS – Rebelión

    Es decir con 8 o 16 Mb que tiene un router normal lo cuelgas con cualquier utilidad que se precie en muy poco tiempo.
    Si en lugar de dejarlo en el router, te llevas el paquete a una maquina que se encargue directamente de “dropar” lo que le llega (cualquier paquete de entrada/salida), como máximo te tirara esa maquina , no el router, que es el que te da acceso al resto de Pcs de la Lan/Wlan a la Wan.
    Es por esto por lo que hice la apreciación de dropar con un PC.
    Si le obligas al router a ademas buscar la IP, haciendo broadcast,todavia estas cargando mas al router, y no solo usando memoria, sino CPU. Si directamente pasas el paquete a la que te hace de firewall, ahorraras paquetes (evitaras colisiones,etc) y uso de cpu al router.
    Yo no he dicho que fuese mala la solucion, simplemente que existe el riesgo del DoS.
    Un saludo

  52. Mira, vale, mejor hacer un ‘break’ en este ‘while (1)’. Este va a ser mi último comentario al respecto. Si te quedas más tranquil@ admito que pudiera haber riesgo de DoS… pero me tienes que explicar por qué en tu caso no hay ese riesgo cuando a efectos del router implica resolver una dirección ARP (aunque la IP interna exista hay que resolverla de todas formas, aunque sean menos veces) y enviar la trama por la LAN. En el texto que has puesto pone “y el servidor ha respondido con un mensaje SYN-ACK”. Ahí está la cuestión, que nadie responde ese SYN-ACK. Hay un ‘drop’ implícito en el router cuando no sabe a quién darle el paquete. Cuando un paquete no se puede enrutar se tira. Además, la reserva de memoria a la que alude el texto se refiere a la máquina destino del SYN, donde se supone que está el servidor SSH, que en nuestro caso NO es el router, sino la IP inexistente en mi caso, o el PC que ‘dropea’ esos SYN en el tuyo. El D-Link o el router que sea funciona como router intermedio que está haciendo NAPT, por lo que no es el ‘target’ del SSH ya que ese puerto está nateado a la IP interna inexistente o a la máquina ‘dropeadora’. El uso de CPU/memoria es casi el mismo si la IP interna existe o no (de hecho te ahorras el envío por la LAN si no consigue resolver el ARP).

    Y lo mismo te digo, considero ambas soluciones igual de buenas/malas, pero no veo que un caso haya DoS y en otro no.

    Nos vemos en otra noticia/post. 🙂
    PD: Ya no hay quien lea esto, está muy estrecho! 😉

  53. Por lo que he podido comprobar a raiz de estos post y aunque yo ya habia sustituido mi passwd por otra de 13 digitos, es que el limite maximo de caracteres para dicha contraseña es de 8 (telnet al router y comando passwd), así que mejor elegir una buena.

    Por otro lado, la única forma que he encontrado para dropear el trafico entrante al 22 ha sido insertando una regla iptables. No me ha funcionado ni los filtros en el router, ni el forward a una máquina inexistente ni todos los demás.

    Podeis añadir la siguiente regla:

    iptables -I INPUT -s 0.0.0.0/0 -p TCP –dport 22 -j DROP

    con el problema que cada reinicio/apagado del router elimina la regla.

    Otra opcion que he estado mirando ha sido ver si era posible modificar los niveles de ejecución (/etc/initd/rcX en sistemas linux) para evitar que el server ssh se levante al iniciar el router. En busybox no tengo ni idea de la forma de levantar el sistema ya que no encuentro los típicos directorios.

    El daemon de ssh se llama dropbear (si haceis un ps y un kill -9 X, donde X es el pid del dropbear, mientras estais conectados por SSH vereis como se corta la connexión). Otra opción hubiera podido ser cambiarle el nombre a este fichero para que no fuera encontrado (y por tanto el server no arrancado), pero están tan dispuestos a jodernos que aún siendo root no se nos permite.

    Hasta hoy, el único método efectivo que he encontrado es añadir la regla iptables.

    Si teneis alguna idea/sugerencia sobre los metodos planteados, no dudeis en ponerla aquí.

    Saludos!

  54. Por lo que he podido comprobar a raiz de estos post y aunque yo ya habia sustituido mi passwd por otra de 13 digitos, es que el limite maximo de caracteres para dicha contraseña es de 8 (telnet al router y comando passwd), así que mejor elegir una buena.

    Por otro lado, la única forma que he encontrado para dropear el trafico entrante al 22 ha sido insertando una regla iptables. No me ha funcionado ni los filtros en el router, ni el forward a una máquina inexistente ni todos los demás.

    Podeis añadir la siguiente regla:

    iptables -I INPUT -s 0.0.0.0/0 -p TCP –dport 22 -j DROP

    con el problema que cada reinicio/apagado del router elimina la regla.

    Otra opcion que he estado mirando ha sido ver si era posible modificar los niveles de ejecución (/etc/initd/rcX en sistemas linux) para evitar que el server ssh se levante al iniciar el router. En busybox no tengo ni idea de la forma de levantar el sistema ya que no encuentro los típicos directorios.

    El daemon de ssh se llama dropbear (si haceis un ps y un kill -9 X, donde X es el pid del dropbear, mientras estais conectados por SSH vereis como se corta la connexión). Otra opción hubiera podido ser cambiarle el nombre a este fichero para que no fuera encontrado (y por tanto el server no arrancado), pero están tan dispuestos a jodernos que aún siendo root no se nos permite.

    Hasta hoy, el único método efectivo que he encontrado es añadir la regla iptables.

    Si teneis alguna idea/sugerencia sobre los metodos planteados, no dudeis en ponerla aquí.

    Saludos!
    J

  55. Los filtros en router o el forward a una máquina interna u otra inexistente funcionan para cuando se accede desde la WAN. Estabas accediendo desde internet/ADSL o desde la LAN?
  56. Buenas! Soy J otra vez (el del post anterior)!!!

    Como la única opción que me ha funcionado ha sido la de insertar la regla iptables he estado investigando en este sentido. El problema es que al reiniciar/arrancar el router las reglas iptables se pierden. Para evitar tener que conectarse al router y entrar el comando, mejor hacerlo mediante una utilidad para automatizar un telnet.

    Yo he utilizado Telnet Scripting Tool 1.0 (si alguien lo necesita que me envie un correo a soyjoak@gmail.com).

    Solo hemos de generar un archivo txt con las instrucciones que debe ejecutar. El mio (fichero script.txt) ha quedado tal que asi:


    192.168.1.1
    WAIT “BusyBox on (none) login:”
    SEND “admin\m”
    WAIT “Password:”
    SEND “vuestro_passwd\m”
    WAIT “#”
    SEND “iptables -I INPUT -s 0.0.0.0/0 -p TCP –dport 22 -j DROP\m”
    WAIT “#”
    SEND “exit”

    despues solo se ha de ejecutar la aplicacion desde una consola:


    tst10.exe /r:script.txt /o:output.txt /m

    – script.txt –> es el archivo con las instrucciones.
    – output.txt –> echo de la sesion. cada salida producida va a este fichero.
    – /m –> minimizado

    Al ejecutar este script se añadirá la regla y listo, puerto 22 capado!!!

    Para evitar tener que introducirlo cada vez, se podria poner este script en el inicio de la sesión. En linux que puede realizar algo similar utilizando dip y el archivo .bashrc .

    Saludos y suerte!

  57. El B es una intruccion de Ensamblador (Mainframe) (el goto de otros lenguajes) 😉
    La unica diferencia es que el descriptor del paquete esta mantenida en la tabla del router mientras el paquete es descartado (normalmente durante el tiempo de TimeOut), si le pasas el paquete al PC directamente has liberado al router de ese trabajo.
    Y por supuesto que nos vemos en otro post :D.
    Un saludo

  58. Había pensado en el programa de automatización Expect, pero no conocía esta otra aplicación. Por lo que veo, su sintaxis es muy parecida. ¿Sabes si hay alguna versión para nuestros usuarios de Windows? Gracias.
  59. Cuando llega a ciertos extremos de estrechez, se vuelve a ensanchar. Gracias a los dos por mantener un debate serio, documentado y educado.
  60. Perdón, a lo mejor no me he explicado bien.

    Este programa es para windows. Lo he probado en win 2k y funciona Ok, lo que no he probado es a ponerlo en el inicio de la sesión y comprobar que funciona al iniciar sesión. Me imagino que si y si no, a las malas, un acceso directo y un dar un click cuando nos interese.

    También seria interesante que alguien lo probara en win xp.

    Por cierto, también estuve mirando el expect que comentas pero al final me pareció más claro y simple este, pero supongo que será muy similar.

    Si buscais este programa en el google lo encontrareis. Si no lo encontrais me enviais un correo al mail del post anterior y os lo paso.

    Saludos y suerte!
    J

    pd: voy a ver si me registro ya de una vez…

  61. Hola buenas. Soy J, el del post anterior. Por fin me he registrado!

    Solo deciros que ya he probado a meter el telnet automatizado en el inicio y funciona ok en win 2k, aunque en una de las maquinas que tengo con el mismo SO no ha funcionado. En este caso lo que he hecho es poner en el inicio un fichero .bat que lanza el telnet:

    Fichero closePort22.bat:

    @echo off
    F:
    cd Telnet_Scripting_Tool\
    tst10.exe /r:script.txt /o:output.txt /m

    La instruccion F: solo es necesaria si teneis el .exe en otra particion diferente de la primaria (normalmente C:). Con la instrucción cd XXX os moveis al directorio donde tengais el .exe y después con la última instruccion se ejecuta.

    Con esta información y la de mis dos posts anteriores teneis una ‘solución’ (o pequeña ñapa) al problema. El puerto 22 estará cerrado al arrancar vuestra máquina.

    Otra cosa: ¿alguien se ha puesto en contacto con YA.com para comunicarle esto? el firmware es de YA (al menos la versión que yo tengo) y un servidor ssh con su correspondiente regla iptables no se ponen por casualidad. Algún motivo hay.

    Serán cab…!¡!¡!¿%?!$?!?!

    Cualquier duda ya sabeis, soyjoak@gmail.com

    Saludos!

  62. Hola. muchas gracias por toda la informacion recibida.pero yo sigo igual, sin saber que debo hacer para cerrar el puñetero puerto 22.No estoy muy puesto en tantos tecnicismos y os agradeceria lo esplicarais un poco mas claro los pasos a seguir para bloquear el puerto. muchas gracias
  63. Hola adeselero, yo acabo de empezar en el mundillo este, pero te queria pedir un favor.
    Desde mi casa tengo link con dos redes wifi, “WLAN_81” y “yacom195837”, sin meterme mucho en
    profundidad, podrias pasarme las claves estandar de estas redes, gracias.

    sevalopez@hotmail.com