Seguridad Amateur: DLNA o “Como conocí a la novia de un amigo… desnuda”

img1Quizás sea un título un poco “sensacionalista” pero si nos ceñimos a la realidad tampoco estoy mintiendo, ya que al final del relato, hay DLNA, hay novia y hay desnudo.
Además esto ha hecho que sigáis leyendo y a fin de cuentas es lo que importa.

Si bien es cierto que en este artículo no voy a hablar de una vulnerabilidad particular de este protocolo sí me gustaría calificarla como tal, ya que el desconocimiento de una tecnología cotidiana puede acarrearnos algún que otro problema. Podríamos definirlo como “Human Vulnerability”.

Al grano. La historia comienza un fin de semana en el que recibo una llamada de un amigo. Un amigo de esos que ves de pascuas en ramos pero que sabe que tú “controlas” todo esto del Internet, de los Smartphones, microondas, vídeos, VHS… vamos, de todo lo que tenga botones, (que para eso eres informático y gozas haciéndolo) y que se aprovecha de ti cuando necesita resolver algún “chollo”.

Descuelgo y tras varios minutos de conversación trivial llega la X que despejaba la incógnita:

-“Oye, que me he comprado una tele de esas de 55’ que estaba de oferta y trae de todo, wifi y todo eso para ver pelis, además me han dicho allí que puedo verlas desde el ordenador para no tener que andar con el USB todo el día para arriba y para abajo, pero no tengo ni idea de cómo se hace, lo he intentado pero aquí no sale nada. ¿Puedes venir a mirarlo?”.

Bueno, esta vez se trataba de una SmartTV, ni formateos, ni solución de problemas de red, ni configuraciones de routers… una SmartTV, ¿Qué problema podía haber?

-“Claro, no te preocupes, me paso por ahí mañana y lo hacemos, pero ten alguna peli, foto, mp3 preparado en el equipo para probarlo”.
-“No te preocupes “gallu”, que tengo aquí de todo”.

Fin de la 1ª parte.

En la siguiente parte de la historia quiero hablar del Digital Living Network Alliance o DLNA. Este protocolo fue creado en 2003 por algunos de los fabricantes de hardware y software más importantes del momento y su función es la de garantizar que los dispositivos o aplicaciones certificados en DLNA cumplen los estándares de transmisión de información digital en una red doméstica. En la actualidad está implantado en multitud de dispositivos electrónicos, entre ellos nuestras SmartTV e intenta hacernos la vida un poco más fácil aunque a veces no lo consiga.

La forma de compartir contenido es realmente simple. Basta con tener un servidor DLNA, un par de archivos multimedia y la SmartTV se encargará de mostrarlos automáticamente siempre y cuando esté en la misma LAN que nuestro equipo servidor.

En los entornos con Windows hay una herramienta multimedia llamada “reproductor de Windows Media” la cual, además de poder reproducir contenido multimedia (como su nombre indica) también se encarga de esto. En concreto, las siguientes capturas son de la versión de Windows 7:

img2

Como podéis ver, el programa en sí es muy listo y se encarga él solito de buscar y catalogar mi colección de música. Lo mismo pasa con la de videos y fotos.

¿Cómo sabe dónde buscar?

Muy fácil, una vez arranques el programa por primera vez, entre otras cosas, tendrás compartido esto:

img3

img4

Pero, ¿qué pasa cuando además de no saber que te está “indexando” la carpeta “Mis imágenes”, “Mis videos” y “Mi música” tocamos otras opciones sin saber realmente lo que hacen?

img5

Volviendo al tema inicial. Me presento en casa de mi amigo. De nuevo conversación trivial y un par de besos de cortesía a su novia, a la cual no conocía (hasta ese momento).

– “¿Tienes encendido el PC donde tienes las películas?”
– “¡Sí! Lo arranqué hace un momento”
– “¿Intentaste configurarlo como te dije?”
– “Sí, pero nada, no me entero de lo que hay que hacer, además no sé dónde hay que entrar en la tele para verlo”
– “Vale, enciende la tele y lo miramos”

Suelo tener la manía de “dar el control del periférico” a la otra persona cuando estoy explicando algo porque pienso que así lo recordará más fácilmente en futuras ocasiones si tiene que repetir el mismo procedimiento.

Los siguientes minutos y un par de click´s con el Airmouse de su nueva LG supusieron un punto de inflexión en lo que a nuestra relación de amistad se refiere. Nada volvería a ser lo mismo.

Una vez encendida la televisión, le voy dirigiendo por los menús hasta llegar al de “smartshare”. Ahí una de las opciones nos permite mostrar los “dispositivos vinculados” en los que aparecía el nombre de su PC.

img6

Una vez dentro, podemos elegir qué es exactamente lo que queremos visualizar: música, vídeo, fotos o todo.

En su caso, fue directamente a la opción de “vídeo”, pero dado que la localización donde tenía sus películas era diferente a la compartida por defecto por Windows Media no aparecía nada.

En sus ansias de que aquello funcionase y mostrase algo, y mientras yo le iba explicando, él solito se dirigió de nuevo al menú de “smartshare” pero esta vez a la opción de fotos.

Allí aparecieron varias carpetas con nombres “DCM01”, “DCM07”, etc… y al igual que ocurre en el explorador de ficheros de Windows las carpetas con imágenes suelen ser ilustradas con los famosos Thumnails o imágenes en miniatura.

Durante los 2 o 3 segundos siguientes no sabía muy bien qué era lo que ahí aparecía, a partir del segundo 5 ya lo tuve claro.

Mis dudas se despejaron aún más mientras él abría una de las carpetas y yo buscaba un precipicio por el que tirarme. En este momento los Thumbnails pasaron a ser miniaturas, pero de un tamaño considerable y totalmente visible:

img7

Lo que allí apareció seguramente muchos de vosotros ya os lo estaréis imaginando. Digamos que pude conocer mucho mejor a su pareja de lo que probablemente a ella le hubiese gustado.

Tras colocarme el cuello en su sitio después de haberlo girado como un búho a modo de “no no, yo no acabo de ver a tu novia la que está aquí al lado totalmente desnuda” tuvimos otra charla (esta vez no tan trivial) de cómo había sucedido esto y qué tenía que hacer para evitarlo.

Conclusiones:

¿Qué pasaría si en vez de hacerlo con la TV me hubiese conectado con mi portátil o incluso con mi Smartphone a su red?

¿Qué pasaría si en vez de un conocido alguien les hackea su wifi y acceden a su LAN?

¿Casualidad?, ¿mala suerte?, ¿hecho aislado? Puede ser, pero si nos paramos a pensar, ¿cuántas de estas “Human Vulnerability” vemos a diario?

Smartphones o tablets con información personal/confidencial y sin bloqueo de ningún tipo, USB sticks con información personal/confidencial sin cifrado o redes Wifi abiertas.

En el momento de hacer la 1ª captura del Windows Media, como podéis observar existen tres usuarios, uno de ellos con nombre “Administrador” que amablemente ha querido compartir conmigo y con el resto de usuarios de la empresa su contenido multimedia.

A veces no son necesarios ataques de fuerza bruta, Spoofing, DDoS, etc. para acceder a contenidos sensibles ajenos. Basta el desconocimiento o la dejadez del propio usuario para facilitar las cosas.

Comments

  1. Sandor Clegane says

    Que tal estaba la novia? xD

  2. ¿y la foto?

  3. Levis Straus says

    Segun salió de la casa, conectó el portatil…. ahi lo dejo.