Basicamente, cuando alguien se levanta del puesto y el equipo no tiene actividad de teclado o ratón, se enciende un contador y a determinado tiempo, se bloquea la sesión de usuario para que nadie puede utilizar el equipo, excepto el usuario válido. Esto previene contra personas malintencionadas que utilizan la estación de trabajo mientras el dueño no está.

Ahora, hagan la prueba en la oficina, colegio, universidad, o cualquier lado. Miren si al levantarse ell vecino (o la vecina) de su puesto, bloquea la pantalla… o en otro caso, si hay un protector de pantalla, presionen una tecla o muevan el mouse.

Si estando solos frente a un pc se desbloquea la sesión con solo mover el mouse, ya se puede intentar hacer cosas en el equipo, como agregar usuarios, borrar archivos, entrar a sistemas de información, etc.

Ahora la historia real de hace dos horas antes de escribir este post:

Estaba caminando feliz y tranquilo por un pasillo lleno de computadoras, en la sección de contabilidad de esa empresa. De pronto, moví el mouse y ¡oh sorpresa!, la sesión estaba abierta en un lindo windows xp sp3.
Silbando la canción de las Valquirias de Wagner, me acerqué al teclado y escribí:

Windows + R
cmd
ipconfig
net user admin2 Clavedeadmin1 /add
net localgroup administradores admin2 /add
exit

Luego de eso, fui a la sala wifi (que no estaba segmentada) y con CAIN me conecté a ese equipo, deshabilité el antivirus, instalé abel, obtuve las claves LM locales, quité abel, abri la unidad c$, borré los rastros de abel, exporté las claves LM, le di formato pwdump, lo pasé por un cracker gpu, conseguí la clave de administrador local, hice un nmap para buscar el puerto 139 abierto en la red, con hydra busqué cuales equipos tenían la misma clave de administrador para smb, exporté la lista, estaba el administrador de la red, inicié sesión en su máquina como administrador, quité el antivirus, instalé un keylogger y luego de eso obtuve la clave del dominio de windows.

Esto se evita si:
1. La sesión está bloqueada
2. El usuario no tiene permisos de administrador local

Lo anterior funciona en cualquier sistema operativo. Adicionalmente para windows:

3. Se desactiva el uso de LM

PD. En un rato salgo a almorzar con el admin de la red y le voy a contar lo que pasó.

Con cierta frecuencia nos vemos con varios amigos que trabajan como ‘pen testers’ o ‘hackers eticos’ para probar la seguridad de diversas empresas. Entre cerveza y cerveza, compartimos experiencias y metodologías para escalar privilegios. El fin de semana pasado, un amigo (que voy a llamar ‘oscurito’) me estuvo contando que en uno de sus trabajos obtuvo control total de los servidores y bases de datos (hasta ahí, una historia ‘normal’ en nuestras conversaciones), y debido a eso, se había convocado una reunión con el grupo de tecnología y el proveedor. La reunión fue algo como esto:

Oscurito: Ustedes tienen huecos de seguridad debido a falta de controles en la red, no hay vlans, no hay servidores protegidos, no tienen parches.

Grupo de tecnología: ¿Y qué hacemos?

Oscurito: Implementar los controles necesarios. Por ejemplo, mantener los servidores en una vlan protegida con un firewall, actualizar los parches de los servidores…

Proveedor (interrumpiendo a Oscurito): ¡LO QUE HAY QUE HACER ES PONER LINUX PORQUE ES MEJOR QUE WINDOWS!

Oscurito pensando: ¡mierda, este tipo si que molesta… vamos a escanear su laptop que está conectada a la red!

Proveedor: ¡….PORQUE LINUX ES LIBRE, NO HAY QUE PAGAR LICENCIAS, ES LO MEJOR QUE HAY EN EL MERCADO… bla bla bla bla lba!

Oscurito (mirando su laptop y pensando): Este tipo tiene gentoo en su pc… apuesto que no lo ha actualizado y que le corre el exploit de ssl que salió hace unos meses para conseguir su llave privada de ssh. Montemos la máquina virtual con Backtrack, ejecutemos exploit……..

Proveedor: ¡….Y ES QUE LINUX ES MÁS SEGURO…!

Oscurito (Interrumpiendo): ¿Está seguro que linux es más seguro?

Proveedor: ¡ABSOLUTAMENTE!

Oscurito: Entonces, ¿qué es esto? ¿es esta su máquina? (se veia una consola ssh con un ifconfig y un ls mostrando la ip y los documentos del proveedor.

Proveedor: ………………………………………………………………………………………

MORALEJA:
1. La seguridad de un sistema es directamente proporcional a la capacidad de su administrador. Un administrador regular tendra un sistema con poca seguridad.

LA MORALEJA OBVIA:

1. Un sistema desactualizado es inseguro.