Si hay un par de eternos dolores de cabeza de los responsables de la seguridad es el famoso NEXT, NEXT, FINISH de los administradores y el uso de contraseñas débiles.
A esto se une el hecho de que algunos fabricantes incluyen en sus productos usuarios preconfigurados con contraseñas predefinidas
Y aunque parezca raro, aún en estos días con tantos recursos gratuitos de seguridad de información es muy común que los adminsitradores no lleven a cabo el "hardening" o configuración segura de los equipos y por ende estos usuarios preconfigurados siguen existiendo y funcionando
En esta liga pueden conocer muchos de los usuarios default de múltiples herramientas y productos. Este sitio fue creado por Cris Sullo quien desarrolló Nikto, una de las mejores herramientas de análisis de vulnerabilidades gratuitas para servidores web.
Y si necesitan estar al día con las últimas contraseñas conocidas aquí el twitter oficial de passdb
Les sugiero hacer un quick check de sus dispositivos y software para verificar que estas cuentas estén desactivadas o al menos que la contraseña haya cambiado, aunque lo más triste del caso es que algunos productos viejos no permiten que se cambien (Frustración total).
Las recomendaciones para mitigar estos riesgos son:
1.- Implementar manuales de instalación incluyendo configuración segura
2.- Contar con una guía oficial de
hardening que incluya deshabilitar, renombrar, modificar o dar de baja usuarios default
2.- Implementar una solución de auditorías de seguridad a nivel técnico a través de herramientas como nessus
3.- Antes de mandar a productivo un equipo auditarlo y mitigar las desviaciones
4.- Periódicamente auditarlo y mantener el baseline de seguridad
Algo muy importante es que esto no solo aplica para las empresas. Si en casa tenemos dispositivos conectados a la red, es muy importante también analizarlos y corregirlos.
Aquí una liga freaky de un "hacker" que a través de contraseñas default se la pasaba entrando a la webcam de una familia
http://www.cnn.com/2013/08/14/tech/web/hacked-baby-monitor/index.html
Así que señores pongámonos a chambear y a auditar. Saludos a Scott Tigers!!!
ITCRAUD - THE UNCONVENTIONAL SHEEP!
0 comentarios :
Publicar un comentario
Gracias por comentar: