viernes, diciembre 10, 2010

Otra de passwords por defecto en el Niagara

Estaba yo buscando cosas que no debía para preparar ejemplos en la charla de la presentación que voy a dar en la próxima Troopers 2011, cuando me topé, sin comerlo ni beberlo, con un servidor Web de esos que llaman la atención: Niagara Web Server


Figura 1: Niagara Web Servers a porrillo

¿Qué cojones es esto?

Eso pensé, y encontrar información de él tampoco resultó tan fácil como buscarlo en Internet con una consulta sencilla, así que hubo que abrir varias webs para, sin entrar en ninguna no vaya pensar alguien que vulneré la seguridad de ningún sitio y me echen el código penal encima - descubir algo más de info y... bingo.


Figura 2: Panel de login de Webstat

¿¿HoneyWell?? Tengo pesadillas con este logo desde que vi cierta charla. Pues nada, ¿tendrán passwords por defecto estos cacharros?, ya sabéis, de esas que luego se olvidan de cambiar los administradores por pura vaguería. Pues sí, parece que las tienen, como todo cacharro creado en este mundo nuestro.


Figura 3: Passwords por defecto para estos juguetes

Sin embargo, no las he probado en ningún sitio - no vayáis a pensar que sí que lo he hecho -, ya que hay una demo disponible en la web... pero mira que cosa más graciosa oye, se puede controlar la temperatura de un edificio, ya estos cacharros son los termostatos y tienen una herramienta Web para adminstrarlos completamente en un edificio.


Figura 4: ¿Hace o no hace calor?

¿Y si hacemos que suba la temperatura mucho para que la gente se desnude y todo el mundo termine en una orgía como sucede en las películas - al menos en las que veo yo-? También sería muy gracioso si alguien se cepilla los termostatos del CPD, se apaga el aire acondicionado de la zona y algún disco duro empieza a petar... La temperatura, que cosa más chula. Si es que, como dice el gran Silverhack con sus paneles de control domóticos: pasan estas cosas y luego la gente cree en fantasmas y poltergeists...

Saludos Malignos!

10 comentarios:

manolo dijo...

Increíble pero cierto... creo que deberías ocultar el user/pass para evitar problemas sin tener nada que ver.

Pero muy fuerte esto. Vagueza grande.

Huhtiku dijo...

Que bueno! Me imagino que esa conferencia será muy instructiva y divertida como la última que pude ver en directo. Ya nos contarás. Felicidades por todo.

fossie dijo...

Pues si que es fuerte si pero es lo que tiene esta sociedad. Queremos grandes avances pero muy sencillitos para no complicarnos la existencia y claro, tan fácil tan fácil pues ¿para que cambiar la clave?

Yo lo que no entiendo es: Con la ley actual ¿para que sirven las claves de acceso? realmente no son necesarias ya que solo con poner un enlace para acceder a un sitio y un cartelito que diga "solo personal autorizado" pues ya estaría resuelto el problema de acceso ¿no? Todo aquel que entre sin ser personal autorizado será perseguido por la ley así que ¿para que hace falta tener grandes algoritmos de cifrado y protecciones de acceso?

Creo que ya se comentó aquí sobre ese FTP de USA que era algo así.

¿Realmente esto es así? Es decir, yo puedo publicar mi clave de hotmail en una web pero decir "no estais autorizados a entrar" y si alguien entra ¿sera un delito?

Que yo sepa cuando se contrata una tarjeta de crédito (por ejemplo) se dice que la tarjeta es personal e intransferible y que el código PIN es responsabilidad del usuario. Si el usuario facilita el código a alguien el banco no se hace responsable. ¿Aunque le de el pin y le diga que no lo use? ¿seria culpa mia? ¿del banco? ¿del que mete la tarjeta y usa el pin?

Vaya jaelo!!!!

¿Hay alguna sentencia al respecto? porque realmente me parece algo absurda la ley.

DvD dijo...

joder Chema..acostumbrado a ver las noticias por rss, ayer y hoy entré en la web...y entre la foto del calendario torrido ahí a la izquierda y las fotos del post de ayer, tendremos que tener cuidado de quien ve para la pantalla de nuestro pc :P pueden dudar de la tematica del sitio..

salu2!

L0rum4 dijo...

Para mi no deja de ser un gran fallo eso de los passwords por defecto... Ojala se tome conciencia de ese peligro...

Y pues me gusta la idea de subir la temperatura y eso ;) debe ser interesante LoL

Anónimo dijo...

Me gustan estas entrada.. es por eso que entro tanto a esta web
saludos

Anónimo dijo...

Muy bueno che, se agradece.
PD: Que hay que estudiar para lograr hacer esos sistemas que podes toquetear la luz de una casa desde una web?

Anónimo dijo...

Me dedico a la climatizacion.

Bendita casualidad, el viernes me tuve que meter a controlar una instalacion por medio de un software similar a este. De Honeywell, nunca lo habia hecho, y ahora leo esto :).

Y NO, no tenia el login/pass por defecto, porque habian mezclado mayusculas y minusculas pero nadie sabia cuales, asi que estuvimos entretenidos un rato.

Yo de seguridad ni idea, me gusta cotillear, y mira como merece la pena. La entrada la hice via https.

A quien hay que estirarle las orejas es al tecnico de Honeywell que para su comodidad de no llevar un listado de contraseñas, usa esa clave por defecto para poder realizar el seguimiento de todas las instalaciones, para su mantenimiento.

Anónimo dijo...

Esta pagina lo que presenta es una entrada Demo, por lo que en su mismo Site dejan el User ID y Passwd para poder probar el sistema.

Ahora mismo tienen un ID honeywell publicados por ellos mismos, el cual pude entrar sin problemas...

Claro porque es un demo. :\

David dijo...

Como paso en el capitulo de Mr Robot. Que grande Chema, ya por estas epocas y te estabas adelantado al futuro xD

Entrada destacada

10 maneras de sacarle el jugo a tu cuenta de @MyPublicInbox si eres un Perfil Público

Cuando doy una charla a algún amigo, conocido, o a un grupo de personas que quieren conocer MyPublicInbox , siempre se acaban sorprendiendo ...

Entradas populares