Oktoberfail! pwned!

   El otro día me pasé por una conocida fiesta de la cerveza que hace una gira por determinadas ciudades de España, a tomarme una jarrita de cerveza con unos amigos, y entre las bondades tecnológicas del recinto, se encontraba una máquina para dispensar los tiques de comida/bebida de forma automática y así no tener que hacer cola en las taquillas de la entrada.  La máquina en cuestión es esta, pero sin lector de tarjetas.

   Bueno, el caso es que alguien no hizo demasiado bien su trabajo, y este es el resultado:

Cmd para realizar las maldades habituales (Don't be evil!)

Cmd y explorador de archivos

Caballitos galopando por la playa (Video de cortesía ;D)

La máquina igual que al principio tras finalizar el proceso

   He de recalcar que la máquina siguió funcionando con normalidad, y la gente del recinto y nuestro grupo de amigos siguió sacando tiques de comida y bebida sin problemas, y menos mal que no tenía lector de tarjetas... que sino ni me acerco a ella...¿o si...?   }:P

   Alguien que quisiera ir "más allá" podría haber utilizado la web creada por Paul Craig ikat.ha.cked.net para ganar información del sistema (aunque todo quedaba bastante expuesto), lanzar un nmap para reconocer equipos y dispositivos de red o ejecutar un exploit que concluyera en una escalada de privilegios, las posibilidades son muy amplias.

Algunas opciones de Kiosk Attack Tool

   Por todo esto, creo que la máquina mostrada no siguió ningún proceso de auditoría antes de salir al mercado, supongo que los test del departamento de calidad se basan en que la impresión sea rápida y nítida, que la pantalla no se rompa con facilidad o que cuente bien los billetes y monedas que el usuario introduce, pero quizá, y solo quizá, a determinadas empresas no les están quedando claras las prioridades de funcionamiento de un sistema informático.  Llamadme radical, pero, aunque los tiempos de entrega suelen ser muy apretados, primero que el sistema sea seguro, luego que funcione.  Y con esta declaración tan ultra-sec me despido.