Eli
524meneos

Venden router en eBay sin borrar la configuración y éste se conecta automáticamente a una red VPN del gobierno [Eng]

www.pcpro.co.uk/news/227190/council-sells-security-hole-on-e... 
por IOsobar el 29-09-2008 17:28 UTC, publicado el 29-09-2008 18:05 UTC

Andrew Mason, informático, compró en eBay un router Cisco 3002 por 99 peniques con intención de usarlo para su trabajo y al conectarlo descubrió con estupor que la configuración no había sido borrada y el router no solo conservaba la conexión a una red privada virtual del gobierno británico (Kirklees Council), ademas tenia las contraseñas automatizadas con lo que de repente el señor Mason se encontro navegando por las interioridades del sistema informático gubernamental. Mason reportó el asunto aunque parece ser que no le hicieron mucho caso.

 22 comentarios en: tecnología, seguridad karma: 687
etiquetas: vpn router, kirklees council, ebay
negativos: 0  usuarios: 226  anónimos: 298  compartir:  twitter  facebook  friendfeed
  1. #1   El eslabón mas débil siempre es el ser humano xD

    Y definitivamente, los unicos ingleses que parecen saber de informatica son James Bond y Sir Clive Sinclair, no por ese orden.
    votos: 16, karma: 148
    por IOsobar el 29-09-2008 17:29 UTC
  2. #2   Es sospechoso el goteo de pérdida de datos en el Reino Unido, ¿no os parece? llevan un año o más sin parar de perder DVDs, discos duros, etc
    votos: 12, karma: 120
    por Davintxi el 29-09-2008 17:47 UTC
  3. #3   #2 no es sospechoso, es normal. Los gobiernos "occidentales" se estan modernizando a marchas forzadas desde el 11 de septiembre (desperta ferro) adquiriendo cada vez mas tecnologias punteras, pero no se estan gastando un euro en formar correctamente al personal y este no sabe realmente que tiene entre manos, el recadero dificilmente entiende que ese llaverito USB que le han mandado lleve a tal sitio contiene miles de documentos confidenciales clasificados y si lo pierde haran uno nuevo con la piel de sus testiculos, total no es mas que un llaverito ...
    votos: 7, karma: 73
    por IOsobar el 29-09-2008 17:59 UTC
  4. #7   Oye, 99 peniques, ¡menudo chollazo!:

    www.google.com/products?q=Cisco+3002
    votos: 7, karma: 68
    por trollinator el 29-09-2008 18:18 UTC
  5. #4   » ver comentario
    por --93852-- el 29-09-2008 18:06 UTC
  6. #20   The council says it is "deeply concerned" by the news, but is confident that "multiple layers of security have prevented access to systems and data."

    Seguro que todos los que habéis trabajado en ámbitos de seguridad informática, os imagináis lo que hay detrás de esa frase :)

    Seguramente, el cliente VPN ese, se conectaba el solito, y seguramente podías ver toda la red, y seguramente, para consumir los recursos, como netbios, si que necesitabas contraseñas.

    Entonces, las personas que recibieron la notificación, pensaron: "bueno, ha conectado al vpn, y que? si todo requiere autenticación" y se quedaron tan anchos.

    Ese es el problema de las capas multiples de seguridad, que la gente tiende a restarle importancia a cuando una capa cae.

    La historia nos ha enseñado que hay que tener al menos dos capas de seguridad, entonces todo el mundo las aplica, pero cuando cae una, y le queda solo la otra, entonces dicen: "bueno...aun me queda una capa" y volvemos al punto inicial: una sola capa de seguridad.

    Yo creo que esto es infinito, es decir, no importa cuantas capas de seguridad se agreguen, la gente las irá viendo caer sin hacer nada, hasta que en años, quede solo una.

    Pero vaya, que los primeros en actuar así son los propios "geeks", que por ejemplo al publicar en internet un bug en un programa suid del vista, te saltan diciendo: "eso es inutil, aún te queda el uac", al cabo de 3 meses, alguien bypassea el UAC, y sueltan: "eso es inutil, necesitarías un bug en un programa suid".

    La vida es así :)
    votos: 1, karma: 24
    por jcarlosn el 30-09-2008 10:30 UTC
  7. #12   » ver comentario
    por --51021-- el 29-09-2008 18:26 UTC
  8. #5   Me cuesta creer que el material informatico del gobierno britanico no acabe destruido en lugar de revendido en ebay, hay empresas encargadas de destruir sin opciones de recuperacion el material informatico de entidades que asi lo deseen. Todo suena tan turbio que no se si creerme algo porque realmente se tienen que dar un cumulo de circunstancias bastante incoherentes para que llegue a ocurrir algo asi, no se si contratan a becarios bobos, espias encubiertos o directamente le dan mas importancia al te que a la seguridad nacional.

    En fin, ellos sabran.
    votos: 1, karma: 15
    por hanz el 29-09-2008 18:12 UTC
  9. #10   ¿Por que será que me lo creo?
    votos: 1, karma: 12
    por THX1138 el 29-09-2008 18:24 UTC
  10. #11   #8 pues eso, router broadband con vpn, mira que comprar un cisco con lo bien que va el wrtg54 xD (si, ya se que tambien es de cisco)
    votos: 0, karma: 11
    por IOsobar el 29-09-2008 18:25 UTC
  11. #14   » ver comentario
    por --60660-- el 29-09-2008 18:33 UTC
  12. #9   99 peniques ... mmm, si claro ¿Y que pasa con los gastos de envío? ¿No cuentan? :P
    votos: 0, karma: 8
    por jocantaro el 29-09-2008 18:23 UTC
  13. #15   #5 El problema en los gobiernos es que no existe el concepto de unidad. Tendrás un centro de datos brutal con unos expertos muy buenos en su trabajo pero este centro estará dando servicio a centenares de miles de sedese que van desde grandes ciudades al portátil de un alcalde de un pueblo de 50 habitantes.

    Y ese alcalde necesitará acceso a una aplicación que es la misma para el acalde del pueblo de 50h que el de la ciudad mas importante del país. Es prácticamente imposible conseguir un buen nivel de seguridad en ese contexto.

    Evidentemente que es creíble que el informático de turno de la Villarriba haya decidido vender uno de los equipos de redes olvidados por la central en el ebay. Total, hacía 2 años que no venían a recogerlo (es un ejemplo). Seguro que ni se le ha pasado por la cabeza borrarlo, pero es que además ni que quisiera no podría porque la contraseña solo la saben los de la central.
    votos: 0, karma: 8
    por sorrillo el 29-09-2008 18:40 UTC
  14. #19   » ver comentario
    por --68111-- el 30-09-2008 09:23 UTC
  15. #16   Pues que de gracias que no le han detenido por "hacker" XD XD
    votos: 0, karma: 7
    por Wolverine el 29-09-2008 18:46 UTC
  16. #6   Anda que meter en tu red un router usado tal como viene, hay que ser.... :-D
    votos: 0, karma: 6
    por josemaX el 29-09-2008 18:13 UTC
  17. #8   No me ha dado tiempo editar #6,

    Añado: Además veo que ese cacharro no es un router, sino un cliente VPN. Este pollo queria ver donde le llevaba!
    Ahora piensa que puede haber disparado alarmas y sale con este cuento de la seguridad [C&P]: "I understand the law extremely well and at that point disconnected"

    Aparte que es una cagada quitarse de encima (los que lo vendieron) el cacharro de ese modo.
    votos: 0, karma: 6
    por josemaX el 29-09-2008 18:20 UTC
  18. #13   Seamos realistas, la verdadera información nunca tiene conexión al exterior.
    votos: 0, karma: 6
    por dm4c el 29-09-2008 18:28 UTC
  19. #17   mmm dificil de creer?
    votos: 0, karma: 6
    por santiagoandresres el 29-09-2008 19:23 UTC
  20. #18   *levantando la mano* Señor hacker mi pregunta es: ¿se puede ser más imbécil? :S
    votos: 0, karma: 6
    por maybe-me el 29-09-2008 19:59 UTC
  21. #21   BIG EPIC FAIL!!! XDDD
    votos: 0, karma: 6
    por masamune el 30-09-2008 13:45 UTC
  22. #22   esto sumado a los escandalos de perdida de informacion confidencial por miembros del MI5 (SErvcio d Inteligencia britanico) hace q se añadan a la lista de otros paises (mejor no mencionar) por su nivel de chapuzas!
    votos: 0, karma: 6
    por bicefalus el 01-10-2008 13:28 UTC
comentarios cerrados

menéame