Seguridad en routers domésticos
El día a día en una casa cualquiera
¿Quién somos?
Joan BonoEstudiante de Ingeniería de Telecomunicaciones. Técnico de Seguridad en el SOC de Telefónica @joan_bono
Damià PoquetEstudiante de Ingeniería Informática. Técnico de Seguridad en el SOC de Telefónica @DamiaPoquet
#SeguridadTechfest
ES DE BIEN NACIDO SER AGRADECIDO
#SeguridadTechfest
Introducción
La cruda realidad es que todos tenemos Internet en nuestras casas
#SeguridadTechfest
#SeguridadTechfest
Cuando sabemos lo que hacemos…
La fibra óptica mola:
Instalación gratuita Precio razonable Rápida Telefonía IP Configuración en texto plano…
#SeguridadTechfest
Cuando sabemos lo que hacemos…
¿Qué problema hay?
EUROS!!!!!
No tenemos un teléfono para usar como teléfono fijo, y la empresa en cuestión pide 18€ al mes por redirigir las llamadas fijas al móvil.
#SeguridadTechfest
Cuando sabemos lo que hacemos…CWMP — TR069
#SeguridadTechfest
Cuando sabemos lo que hacemos…
#SeguridadTechfest
Cuando sabemos lo que hacemos…
#SeguridadTechfest
Cuando sabemos lo que hacemos…
<ParameterValueStruct> <Name>InternetGatewayDevice.ManagementServer.ConnectionRequestUsername </Name> <Value xsi:type="xsd:string">00E0FC-HG253sV2-H140513XXXXXXXX</Value> </ParameterValueStruct>
<ParameterValueStruct> <Name>InternetGatewayDevice.ManagementServer.ConnectionRequestPassword </Name> <Value xsi:type="xsd:string">549c4f8e555abae513b4936fXXXXXXXX</Value> </ParameterValueStruct>
#SeguridadTechfest
Cuando sabemos lo que hacemos…
#SeguridadTechfest
#SeguridadTechfest
¿Qué pasa cuando no sabemos que nos estamos atacando a nosotros mismos?
#SeguridadTechfest
Vamos a envenenarnos
#SeguridadTechfest
Cuando no sabemos lo que hacemos…
Tener internet en casa mola:
Facebook, twitter, etc… Transferencias bancarias… Correo electrónico… Poliformat… Routers con configuración por defecto
#SeguridadTechfest
Cuando no sabemos lo que hacemos…
#SeguridadTechfest
Cuando no sabemos lo que hacemos…
#SeguridadTechfest
#SeguridadTechfest
Vamos a Google
#SeguridadTechfest
#SeguridadTechfest
#SeguridadTechfest
TOCA COLAR UN CSRF
¿QUÉ ES UN CSRF?
#SeguridadTechfest
Vamos a Wikipedia
#SeguridadTechfest
Vamos a Wikipedia
#SeguridadTechfest
#SeguridadTechfest
Capturamos tramas
#SeguridadTechfest
Creamos nuestro CSRF
#SeguridadTechfest
DEMO TIME!!!
#SeguridadTechfest
#SeguridadTechfest
#SeguridadTechfest
#SeguridadTechfest