- 26 Ago 2009
- 8.533
- 2.648
- 0
Señores/as abrimos este hilo tratándolo como un tema urgente porque parece ser que no aprendemos y seguimos pasando de la seguridad de nuestros dispositivos.
Hemos detectado y comprobado que hay muchos usuarios que no se preocupan por la seguridad de su red y sus dispositivos lo que esto desemboca en poner en peligro no solo a ellos mismos sino a terceras personas. Especialmente los usuarios que abren el acceso de sus decos para acceder desde fuera de su misma red.
Por desgracia o gracias a que a un miembro del team se le han metido en el deco nos ha servido para comprobar que hay una botnet que se dedica a entrar decos e instalar un troyano y suponemos que captar la lineas de visionado de canales de pago, la verdad es que no sabemos mucho del troyano ya que es relativamente nuevo de hecho en la base de datos de NOD32 este ha sido descubierto el día 21-09-15 y su nombre es Linux/small.NUA trojan. Como decimos no hay apenas documentación sobre este troyano pero no descartamos que la finalidad de este sea extenderse en toda la red e infectar a otros dispositivos. Esto le ocurrió entrando desde fuera de su propia red haciendo unas pruebas y fue acojonante como en tan solo 10 minutos que hizo esas pruebas se le colaran.
A raíz de esto hemos investigado y hemos encontrado la cruda realidad y es que por desgracia no nos tomamos la seguridad de nuestra red en serio ya que los datos captados hasta abril dicen que hay 424 usuarios de España que usan la OpenSPA con algún problema de seguridad y subiendo constantemente.
A continuación veréis los servicios mas expuestos y los países mas afectados, como OpenSPA es firm hecho en España es normal que seamos el primer país con mas expuestos, en OpenATV hay mas de 1000 usuarios alemanes expuestos.
Algunos de los que aparecen en esa lista son usuarios de este foro y hemos podido saber la identidad de algunos gracias a que hemos podido cotejar las direcciones IP.
Como digo a raíz de todo esto hemos decidido publicar este comunicado porque hemos quedado impresionados de como la gente tiene expuestas sus redes y ni se percatan de ello o lo ignoran.
Para comprobar que las IP's que salían de verdad estaban expuestas ya que muchas usan versiones viejas del firm hemos probado con un par de ellas y la pura realidad ha sido que era cierto, lo peor de todo es que en una de ellas se podía entrar a su deco por el protocolo que quisieras ya que está todo abierto.
Así que por favor, asegurar mas vuestros dispositivos para evitar que el máximo posible de personas no les ocurra esto ya que esto se extiende a ti y a los que tengan contacto con tu red de alguna forma.
Queremos dejar claro que esto no es un fallo o bug del firm OpenSPA sino que esto afecta a todos los firms ya que hemos hecho búsquedas de los mas famosos, así que como es una cosa generalizada y fallo mas del usuario que del firm ya que todas las ip's expuestas es porque tienen acceso a su red desde el exterior rogamos que informéis a todo el personal posible, da igual que firm use ya que no es un problema del firm sino de configuración de la red por parte del usuario.
El problema actual que hay es que la mayoría de firms no llevan un firewall incorporado y el que manda en estas cosas es el router, si tenemos abierto algún puerto critico en el router hacia nuestro deco esto puede provocar un ataque malintencionado. Por eso pensamos que hay que empezar a recomendar que los firms incorporen un firewall y que de serie vengan bloqueando el tráfico entrante para evitar estos riesgos.
En OpenSPA hemos decidido tomarnos este tema en serio y tenemos previsto lo antes posible sacar nuestros firms con el firewall iptables y que por defecto bloquee el tráfico entrante y deje solo pasar el saliente. Como sabemos que muchos usuarios no sabrán configurar iptables porque no es muy amigable, estamos intentando buscar o desarrollar una interfaz gráfica para E2 que facilite esa tarea.
Por seguridad no vamos a hacer públicas las IP's pero nos pondremos en contacto con usuarios del foro que hemos encontrado que salen como que están expuestos para que revisen su seguridad.
Atte. OpenSPA Team
Hemos detectado y comprobado que hay muchos usuarios que no se preocupan por la seguridad de su red y sus dispositivos lo que esto desemboca en poner en peligro no solo a ellos mismos sino a terceras personas. Especialmente los usuarios que abren el acceso de sus decos para acceder desde fuera de su misma red.
Por desgracia o gracias a que a un miembro del team se le han metido en el deco nos ha servido para comprobar que hay una botnet que se dedica a entrar decos e instalar un troyano y suponemos que captar la lineas de visionado de canales de pago, la verdad es que no sabemos mucho del troyano ya que es relativamente nuevo de hecho en la base de datos de NOD32 este ha sido descubierto el día 21-09-15 y su nombre es Linux/small.NUA trojan. Como decimos no hay apenas documentación sobre este troyano pero no descartamos que la finalidad de este sea extenderse en toda la red e infectar a otros dispositivos. Esto le ocurrió entrando desde fuera de su propia red haciendo unas pruebas y fue acojonante como en tan solo 10 minutos que hizo esas pruebas se le colaran.
A raíz de esto hemos investigado y hemos encontrado la cruda realidad y es que por desgracia no nos tomamos la seguridad de nuestra red en serio ya que los datos captados hasta abril dicen que hay 424 usuarios de España que usan la OpenSPA con algún problema de seguridad y subiendo constantemente.
A continuación veréis los servicios mas expuestos y los países mas afectados, como OpenSPA es firm hecho en España es normal que seamos el primer país con mas expuestos, en OpenATV hay mas de 1000 usuarios alemanes expuestos.
Código:
Services
Telnet 355
FTP 84
Telnet (2323) 31
SMB 20
NetBIOS 17
Top Countries
Spain 424
Portugal 28
Turkey 16
Poland 9
Italy 9Algunos de los que aparecen en esa lista son usuarios de este foro y hemos podido saber la identidad de algunos gracias a que hemos podido cotejar las direcciones IP.
Como digo a raíz de todo esto hemos decidido publicar este comunicado porque hemos quedado impresionados de como la gente tiene expuestas sus redes y ni se percatan de ello o lo ignoran.
Para comprobar que las IP's que salían de verdad estaban expuestas ya que muchas usan versiones viejas del firm hemos probado con un par de ellas y la pura realidad ha sido que era cierto, lo peor de todo es que en una de ellas se podía entrar a su deco por el protocolo que quisieras ya que está todo abierto.
Así que por favor, asegurar mas vuestros dispositivos para evitar que el máximo posible de personas no les ocurra esto ya que esto se extiende a ti y a los que tengan contacto con tu red de alguna forma.
Queremos dejar claro que esto no es un fallo o bug del firm OpenSPA sino que esto afecta a todos los firms ya que hemos hecho búsquedas de los mas famosos, así que como es una cosa generalizada y fallo mas del usuario que del firm ya que todas las ip's expuestas es porque tienen acceso a su red desde el exterior rogamos que informéis a todo el personal posible, da igual que firm use ya que no es un problema del firm sino de configuración de la red por parte del usuario.
El problema actual que hay es que la mayoría de firms no llevan un firewall incorporado y el que manda en estas cosas es el router, si tenemos abierto algún puerto critico en el router hacia nuestro deco esto puede provocar un ataque malintencionado. Por eso pensamos que hay que empezar a recomendar que los firms incorporen un firewall y que de serie vengan bloqueando el tráfico entrante para evitar estos riesgos.
En OpenSPA hemos decidido tomarnos este tema en serio y tenemos previsto lo antes posible sacar nuestros firms con el firewall iptables y que por defecto bloquee el tráfico entrante y deje solo pasar el saliente. Como sabemos que muchos usuarios no sabrán configurar iptables porque no es muy amigable, estamos intentando buscar o desarrollar una interfaz gráfica para E2 que facilite esa tarea.
Por seguridad no vamos a hacer públicas las IP's pero nos pondremos en contacto con usuarios del foro que hemos encontrado que salen como que están expuestos para que revisen su seguridad.
Atte. OpenSPA Team
