Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Más de 100.000 routers brasileños hackeados remotamente para hacer DNS phishing

rbetancor
3

Pero hey que aquí en bandaancha me han dicho que CG-NAT no ofrece seguridad alguna :^)

Y no ofrece seguridad alguna, otra cosa es el tergiversado concepto de seguridad por ocultación que tenéis algunos.

🗨️ 5
BocaDePez
BocaDePez
-1

Imposibilitar que un host de Internet pueda abrir una conexión hacia mi router o mi LAN no es seguridad por ocultación, es seguridad pura y dura.

🗨️ 4
vukits

O_o porque las conexiones inversas no existen

🗨️ 2
BocaDePez
BocaDePez
-1

Tienes razón... voy a hackear 100000 routers telepáticamente para que abran conexiones al exterior. Vaya tonterías hay que leer.

En fin, comentad todo esto a la industria de la seguridad. Seguro que se convencen y dejan de instalar firewalls en servidores, LANs, etc. Total, para qué denegar conexiones entrantes a una LAN, si las salientes están permitidas?

Trolleando hilos, para variar.

🗨️ 1
rbetancor
2
rbetancor
1

¿Y quien te ha dicho a tí que el CGNAT impide que se conecten a tu router? ... recalco lo dicho ... seguridad por ocultación, jamás ha sido seguridad.

mceds

Oh, mierda. Me han hackeado los dos 3Com OCR 812 que tengo.

Ahora en serio, otra razón para configurar los DNS en cada equipo.

🗨️ 1
sjlopezb

¡Jajajajaja! Qué raro...jajajajaja.

Efectivamente, configurando las DNS's de cada equipo.

yud445

¿Qué arregla el CG-NAT si el ataque es un XSS? No ha sido el caso hoy, pero lo es muy habitualmente.

🗨️ 5
BocaDePez
BocaDePez

No entiendo vuestra postura de verdad. ¿Porque ataques de otro tipo sean posibles, no hay que tener los puertos cerrados? Por esa regla de tres, usa 1234 de contraseña en tu servidor SSH, ya que a fin de cuentas, podría existir un exploit que dé acceso a un atacante sin clave. O no desactives PermitRootLogin, ya que con un exploit puedes enumerar los usuarios existentes, así que para qué molestarse.

🗨️ 4
yud445

Sí, claro que no deben abrirse más puertos de los necesarios. Ahí estamos de acuerdo.

Pero de ahí a afirmar que CG-NAT aumenta la seguridad hay un trecho muy grande.

rbetancor

De forma habitual un CPE tiene todos los puertos cerrados, si han hackeado esos routers brasileños, solo puede ser de dos maneras, desde dentro, vía exploit inverso, que cada vez es un vector de ataque más común. O por error de los operadores que dejaban abiertos puertos de gestión que unido a un más que probable, firmware mierdoso, han permitido tomar control de los routers.

Pero nada de eso, tiene que ver con el tema de si el CGNAT añade o no añade seguridad ... que no la añade.

Tu puedes tener esos routers tras un CGNAT ... y el vector de ataque provenir de otro usuario/abonado/cliente, que está tras ese CGNAT.

La seguridad jamás puede estar basada en la ocultación del dispositivo, sino en el diseño seguro intrínseco del dispositivo.

🗨️ 2
BocaDePez
BocaDePez

Pues si tú quieres confiar tu seguridad en el firmware mierdoso programado por una subsubsubsubcontrata del ISP, adelante. Yo me quedo con el CGNAT.

(Además, no olvidemos que en un CGNAT bien configurado, los clientes no se ven entre ellos.)

🗨️ 1
rbetancor
1
BocaDePez
BocaDePez

Otra igual. blog.netlab.360.com/bcmpupnp_hunter-a-10…spammers-en/

100.000 routers alrededor del mundo enviando spam a mansalva. Tremenda barbaridad: un servicio de UPnP que 1) por error de configuración está escuchando en la WAN y 2) es vulnerable. Error de configuración y de software. Así que fiaos de la seguridad de los CPEs, que iréis muy bien. 😎