Excelente Fernando muchas gracias, de paso me he enterado (quizás lo había olvidado)
que vía groups uno puede borrar sus propios mensajes sin necesidad de
pedir al admin.
Nuevamente en esta conversación se ha filtrado información sensible que puede ser aprovechada por algún atacante.
Se trata en esta oportunidad de:
Puertos abiertos
En una imagen se pueden ver los puertos abiertos y unas etiquetas que me sugieren la función de los equipos.
Direcciones MAC
En
la otra, las direcciones MAC. ¿qué importa si son internas? Pues ocurre
que la mitad izquierda es el identificador de la marca de la placa y
hay bases de datos que incluso llegan a determinar qué equipo, por
ejemplo si es una RPI, un router, un celular, la marca, si es placa wifi
o ethernet, depende... y cuando no está en la base de datos podés
suponer que es un VM.
Esto se combina con la información anterior para los puertos expuestos a internet
Más
Si
venías siguiendo la conversación, esto se puede combinar con la marca y
modelo de router y se pudo haber adicionado la dirección pública (no
ocurrió, la que había era de fantasía)
Pero la pregunta es, ¿por qué y cómo podría alguien atacarme?
Cómo
Aún
sin tener la IP, se puede mandar un mail a la persona o a todo el grupo
con algo interesante que contenga un link a un sistema que tome nota de
la IP de origen, que probablemente sea la de interés para el atacante.
Bien puede ser en el caso de MQTT, "tengo este servidor si querés
probar"
Por qué
Yo
lo haría para divertirme o practicar, al menos la parte de exploración,
si no fuera por que a la gente no le gusta que le hagan estas cosas,
igual podría hacerlo desde un nodo gratuito de aws/azure/googleXXX.
Además se parece demasiado a trabajar y eso le quita la diversión
Otras personas podrían estar buscando armar una botnet o tener una curiosidad menos restringida que la mía.
O quizás trabajás en un lugar importante y sos sólo un medio para llegar hasta ahí.
En
esta lista hay 5000 personas, con un 0.1% de malicia ya tenés 5
personas interesadas. Además, esta lista es pública, puede estar siendo
monitorizada por una cantidad indefinida de personas.
El riesgo no es muy alto, es más una cuestión de disciplina e imagen,
puede ocurrir que un potencial cliente o empleador exigente lo considere
en sus decisiones
¿Cómo lidiar con el error?
- Vía web eliminar el mensaje, luego reenviarlo
correctamente. Igual hay a quienes les ha llegado por mail o no han
visto aún la lista desde la página.
- Cambiar los puertos, refrescar la IP
- Hardening de los equipos (esto habría que hacerlo de todos modos..)
- Cambiar credenciales por defecto
- Poner credenciales fuertes y/o usar certificados
- Actualizar firmware
- Poner un WAF o firewall configurado para lo que estés protegiendo
- etc..
Cuando ves que fue otra persona, consultale antes de avisar públicamente para darle oportunidad de protegerse. Aunque yo pido permiso, "la ley de la selva de la ciberseguridad" contempla que cuando otro mete la pata se le avisa pero si no responde, pasado un tiempo se hace público el asunto para el beneficio común.
¿Cómo hago para compartir información en la lista de modo útil y menos inseguro?
Ojo
que alguien que se dedica quizás puede determinar marca e incluso
modelos de dispositivos por la información de la imagen, por ejemplo que
soporta 32 entradas
Ok,
ya tengo para este tipo de información un cierto criterio para elegir
si exponerla o no, pero, no me dedico a la seguridad de la información,
¿cómo hago para no volver a meter la pata? Es una interminable cadena de "si" y relaciones tenues entre
La
manera es ponerse en el lugar del otro y pensar si la información que se
expone nos hace únicos, no es sencilla de obtener por otros medios,
podría formar parte de una cadena de dependencias y para acceder a un
recurso protegido.
Todo esto basado en que hay que saber lo más posible de tecnología.
También hay que enmarcar
esto en una evaluación de qué se gana y que se pierde y decidir en
función de eso si vale la pena el esfuerzo.