10 febrero 2010

Hotspots: virtudes y peligros

En innumerables ocasiones, los que nos consideramos enganchados a Internet, tenemos que buscarnos la vida para nuestras actividades (correo, redes sociales, noticias, blogging,... ) en los lugares más recónditos. Afortunadamente, y gracias a los accesos con 3G en el móvil o mediante "pincho" USB, tenemos el problema resuelto; al menos en el territorio nacional, porque cuando uno va al extranjero (como me pasa a mí mientras escribo offline este post en el Iphone debido a un retraso en el vuelo desde Lisboa) si habilito el 3G la factura es astronómica...

Si se cuenta con el portátil, se puede intentar realizar túneles DNS a través de redes que requieren portal cautivo. Sin embargo, utilizar este tipo de redes puede tener efectos secundarios no deseados. Siempre hay sitios más probables que otros: por ejemplo en el Security Blogger Summit, no faltaron los más avispados que intentaron ataques de arp spoofing, lógicamente para captar cuantos más usuarios/contraseña posibles, cookies, navegación varia en claro, etc... En aquel evento, Luis Corrons monitorizaba la red wireless y avisaba por twitter, pero ¿qué sucede en las redes wireless en las que no hay un vigilante? ¿quién nos garantiza la integridad de nuestras sesiones? Evidentemente, lo más seguro es tunelizar todo hacia un punto seguro y de forma cifrada y así evitar las miradas/análisis de los posibles curiosos.

De hecho, algunos hotspots, podrían ser un buen punto de salida para llevar a cabo actividades no muy bien consideradas, gracias al anonimato que permiten. Siempre he pensado que si tuviera que llevar a cabo alguna mala arte, usaría la red wireless gratuita de un Starbucks por ejemplo. Con la simple precaución de cambiar la dirección MAC del PC (o haría uso de una aleatoria de una máquina virtual), y utilizando la contraseña de acceso a la red que te dan al pedir el caro café (incluso posiblemente desde un coche fuera del local para levantar aún menos sospechas), sería el anonimizador perfecto...

Sin embargo, ¿qué podría suceder en el resto de los PCs cuyos dueños disfrutan de ese agradable café mientras leen su correo o sus noticias? Los sistemas operativos actuales vienen preparados de fábrica para prohibir accesos entrantes a recursos compartidos por defecto (qué tiempos del C$ permitido) aunque siempre hay alguna triquiñuela de red a la que se pueda recurrir como por ejemplo el mencionado ARP Spoofing; y a las malas siempre podemos contar con el factor más probable de todos para tener éxito en cualquier ataque: la ingeniería social sobre la inocencia humana.

6 comments :

Seifreed dijo...

Hola

Y si no es arp spoofing, siempre se pueden hacer man in the middle + SSLStrip

Un saludo

Anónimo dijo...

¿Qué podemos hacer en este tipo de conferencias, cuando nos dan un SSID y un usuario-contraseña común? No sabemos la MAC del AP ni nada que nos asegure que estamos en el AP correcto

GladMen32 dijo...

Yo estuve en el Summit de Panda y la verdad es que el señor Corrons lo detecto al momento y aviso con un tweet y todo.

palako dijo...

Lorenzo: la MAC aleatoria de la maquina virtual no te anonimiza, el AP ve la del host.

Seifreed: para hacer man in the middle tienes que hacer arp spoofing

Anonimo: La mejor opcion, como dice Lorenzo en el articulo, es conectarte via VPN a una red que tu consideres segura y tunelizar todo tu trafico asi. Si no tienes esta opcion, haz lo que puedas para verificar que la MAC del gateway es buena, preguntando al admin, o al menos mirando a ver el fabricante (lo sabes por los primeros bytes de la MAC), a ver si es un cisco o similar, algo es algo. En cuanto sepas una MAC relativamente fiable, fijala estaticamente en la tabla ARP.

Anónimo dijo...

Yo, en ese tipo de casos, lo que hago es utilizar VPN hacia el servidor de mi casa, que, con IP dinámica, tiene el NS del dominio monitorizado con un simple script PHP. Mano de santo, oiga.
=;-)

Lorenzo Martínez dijo...

@Palako -> tienes razón, la MAC que ve el AP es la del host, no la de la máquina virtual (en el momento de la asociación) pero después haría un bridge entre el interfaz de red virtual con el físico, por lo que deberíamos cambiar la MAC de ambos dispositivos... (a no ser que configures en NAT el interfaz virtual)...
A lo que indicas de añadir la MAC del router si verificas que es de CISCO por ejemplo, yo si fuera el atacante, me cambiaría la MAC por una que pueda determinarse como que es de CISCO (http://standards.ieee.org/regauth/oui/oui.txt) para dar mayor credibilidad ;D Lo que parece claro es que tener un servidor en internet contra el que hacer una VPN es una solución bastante robusta