Uso de clave conocida en DSL de CNT

Veo que el acceso a los ruteadores wifi que pone la CNT en los usuarios finales es a través de un usuario y una clave conocidos y que aparenta ser el mismo en todos. Espero que la CNT pueda comprender que esto no es seguro y que debe enmendarse lo más rápido posible.

El que se piense, sostenga, afirme, indique o trate esta clave como un secreto y que conque se trate de forma secreta es suficiente, está cometiendo un error pues esto no significa que las diversas personas de soporte a cierto nivel en la CNT no conozcan esta clave y no la hayan dado al público por una razón u otra (porque no pudieron entrar remotamente, porque son amigos, porque se pidió por escrito, etc).

Pero eso no es todo: el que varias personas conozcan esta clave, y que esta clave haya permanecido durante tantos años siendo la misma para los ruteadores de los usuarios de la CNT es una falla. Por muchas razones:

  1. Porque escanear la red de la CNT por parte de un atacante interesado es bastante rápido, IPv4 es un espacio de IPs bien corta y si conocen esta clave, pueden hacer daño a muchos usuarios de diversas formas (desde dejarles sin conexión hasta cambiarles los dns para inyectar respuestas incorrectas con finalidades delincuenciales o de alguna otra índole)
  2. Porque los routers a pesar de tener una misma clave, no tienen el puerto 80 bloqueado y desde cualquier red IPv4 del mundo mundial se puede acceder al puerto 80
  3. Porque el personal que conoce la clave en la CNT seguramente ha cambiado en el transcurso de los meses y años, por lo tanto seguramente hay personas en la calle que trabajaron para la CNT y que conocieron la clave en su momento y la siguen conociendo.
  4. Porque no es el hecho de que coincidencialmente la conocen un grupo de personas que trabajan o no en la CNT. Seguro la conocen muchos muchos usuarios más. Y la realidad es que de no haberla conocido hubiera sido bastante trivial haberla descubierto mediante un ataque de diccionario (pues la clave es bien simple y se compone fundamentalmente de una palabra).
  5. Porque la clave es pública, una rápida búsqueda en google te entrega la clave.

Cómo se debe manejar esta clave? Sé que es un asunto complicado, pero no puede ser que hayan ruteadores que tengan la misma clave, porque uno puede pensar: bueno, esto puede favorecer a los técnicos que asesoran a las empresas a realizar su labor: no hay que llamar a la CNT para que abra un puerto, simplemente sucede que como es la misma, con recordar una pueden entrar a ayudar a sus amigos/clientes… pero hay mucho peligro.

Sugeriría:

  1. Que se cambie la clave por alguna información que la CNT quizá conozca pero que no sea la misma. Por ejemplo la mac address del router, la cédula del usuario que contrata, el número de teléfono del usuario, algún identificador que tenga el router guardado, una combinación de estos, etc. O incluso que le pidan al usuario que ponga la clave (seguramente muchos la olvidarán será la justificación). Pero bueno: en fin que al menos sea una clave que no dependa de parámetros conocidos como por ejemplo la IP o que la red sea CNT para saber cual es el usuario y clave.
  2. Que se limite el acceso al puerto 80 solamente a la red interna del usuario y a la o las redes que usar la CNT para dar soporte. Con esto se evita que aún cuando la clave sea conocida, personas que no estén en la LAN del cliente o en las redes de soporte de CNT puedan entrar.

Urge se haga algo respecto a esto

One thought on “Uso de clave conocida en DSL de CNT”

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.