De cómo tu “tronqui” compartió su vida por Twonky

Aunque es probable que no sea una sorpresa para nadie, es bien sabido que muchas unidades de almacenamiento en red NAS tienen la posibilidad de compartir (de forma automática por UpnP) contenido multimedia a través de Internet. Esto es genial si te encuentras en casa de tu novia o novio y quieres enseñarle las fotos de las vacaciones o hacer noche de manta y peli con la última película que has comprado en formato digital. O por qué no, para compartir recursos por motivos laborales.

Pero, ¿qué pasa si no se configura correctamente el NAS? Pues…

Echándole un ojo a Shodan, sin necesidad de disponer de cuenta siquiera, es posible encontrar tronquis (Twonky) por todo el globo.

Ilustración 1: En la búsqueda se ha usado el término “Twonky”

Tal como se muestra en la imagen anterior, aparecen servidores Twonky sin tener que ser un experto en usar el buscador de Shodan. Además, si se observa la respuesta, se puede identificar fácilmente cuál es accesible, comprobando la respuesta de la petición HTTP (200 para las que interesan, 404 para los que no). Pero una vez identificada la dirección (de nuestro propio servidor, obviamente) viene lo bueno, y es que accederemos a todos los recursos que tengamos compartidos.

Ilustración 2: Dashboard

Si se accede a una carpeta para ver el contenido veremos algo como lo siguiente (obviamente los nombres de los ficheros pueden variar).

Ilustración 3: Contenido de la carpeta.

“Curiosamente”, al pinchar sobre el archivo para reproducirlo/descargarlo, se ve que la IP corresponde con lo siguiente (o algo similar, según el caso del fichero): http://127.0.0.1:9001/disk/DLNA-PNPV_DIVX_DX50-OP01-FLAGS01700000/O0$3$27I232976.avi

Sí, no hay nada mejor como el hogar. Obviamente apuntando al localhost del propio dispositivo no se accederá al contenido.

Ilustración 4: Nope, esa dirección no vale.

Sin embargo, si se cambia la URL y se pone la que corresponde a nuestro servidor…

Ilustración 5: “127.0.0.1” cambiado por la IP pública.

¡BINGO! Comenzará a descargar el fichero, en este caso un vídeo. En caso de que se trate de acceder a una imagen, el propio navegador la abrirá.

Ilustración 6: Ejemplo de imagen de otro de nuestros servidores, esta vez desplegado en el puerto 9000.

Pero no todo acaba ahí, porque nuestro buen Twonky (o Twink, como los pastelitos) tiene unas configuraciones muy chachis. A mi parecer la más interesante para el “buen usuario” es habilitar la agregación (Enable Aggregation), más aún si se selecciona el modo AutoCopy. Con el cual se copiará a este servidor el contenido compartido del resto de servidores que haya en la red.

Ilustración 7: Configuración de los modos de agregación.

Además de seleccionar qué es lo que se va a compartir del propio servidor.

Ilustración 8: Selección de carpetas a compartir.

Desde el punto de vista de un atacante (o de alguien que busque películas y series en vez de usar Netflix), se podría acceder a recursos con contenido sensible; todos recordamos lo ocurrido con diversas celebridades y las filtraciones de fotografías. Sin descartar fotografías de planos de futuros edificios, capturas de pantalla con información, e incluso grabaciones de audio, puesto que también se puede distribuir música.

La solución para evitar que esto esté accesible para todos es sencilla; deshabilitar el acceso desde fuera de la red interna. Y de paso establecer la configuración correctamente, con credenciales para el administrador para empezar.

Ilustración 9: Configuración del usuario administrador.