lunes, 12 de noviembre de 2012

Hackers hackeados...Card Sharing

No es tan abochornante como lo que comentaba el maligno en su post sobre un Hacker ruso pillado por la webcam pero me hace gracia que la gente se meta donde no le llaman, con acciones ilegales.

El asunto es muy sencillo. Imagino que muchos conocéis la "técnica" de Card Sharing. No voy a profundizar sobre este tema, ya que es ilegal, y me parece poco decoroso hablar sobre esto aquí. Aunque no lo creais, aquí se habla de inseguridad para conseguir seguridad...
A grandes rasgos, el Card Sharing esta basado en que un cliente de alguna plataforma de contenidos digitales, como puede ser Digital + con su tarjeta de claves (keys) y un deco, generalmente Dreambox ( basado en linux) comparte las claves de encriptación con equipos por internet. Es decir, que un amigo paga la cuota, y comparte claves con n amigos. Hay incluso gente que te ofrece por una cuota baja, 10 €, conectarte a dicho decodificador con todos los canales disponibles. Me parece patético esto, ya que piratear por ver la tele...

Entonces, por qué os hablo de esto? porque la gente lo monta y no tiene ni idea.
Lo típico, gente que se mete a manifacero, lee un manual, y como no le anda muy bien, deja lo de cambiar las claves para luego.

Es curioso que buscando en 4096 equipos en rangos de direcciones, la mayoría de Polonia, no encontré más que 1 decodificador. Puede que le hayan cambiado los puertos, cosa recomendable si lo usas, pero lo dudo.
Sin embargo, con ese mismo número de equipos en España, había más de 100 equipos. Así nos va en España, somos unos piratas ( pero no de los buenos, de los que hacen daño a la Industria...)

Como se detectan estos aparatos, pues suelen estar configurados para atender comunicaciones servidor/cliente mediante el puerto 160001 y en algunos decos 12000. Si a esto le sumamos la posibilidad de que tengan el ftp del decodificador publicado en la dmz, o redirigido, pues ya podemos probar.


Como podéis ver en esta imagen, como no toman las medidas de seguridad oportunas cuando se publican/ofrecen servicios en Internet, puedo ver los nombre de usuarios e ip de los clientes conectados, incluso el canal que están viendo en ese momento.

Si seguimos profundizando, nos metemos en el ftp del dreambox del servidor, y descargamos el fichero de configuración con todas las ip´s, usuarios y claves de los clientes.


De esta manera, podríamos configurar nuestro decodificador para obtener estos servicios gratuitamente.
Es curioso porque como la mayoría de los mortales tienen ip´s dinámicas, usan servicios de dns gratuitos tipo dyndns y demás, por lo que haciendo google hacking con esos nombres de dominios, podemos incluso geolocalizar la vivienda del "juacker".

Entonces, con ip´s de gente que comete las infracciones, con ip de la persona que se lucra con esto, no hay nadie que investigue esto. Luego si tu asesoras a una empresa sobre vulnerabilidades, si no caes en gracia, se te cae el pelo ( para los que aún os queda !!!). La vida es así.

Como siempre, gracias por leerme, y espero que no pirateéis esos servicios, y si lo hacéis, lo hagáis bien.
Como siempre, cambiar puertos, técnica anti-fingerprint ( borrar el banner del ftp? ) y sobre todo, USUARIOS Y CONTRASEÑAS ROBUSTAS !!!.

PD: Después de varios comentarios, quiero añadir otro post de la gente de Security By Default de hace unos años, en el que también mencionaban este asunto, pero realizaban las búsquedas por Shodan.
http://www.securitybydefault.com/2010/08/pirateando-al-pirata-television-de-pago.html Google +