31 diciembre 2014

Descubriendo "backdoor" para WiFi gratis en un hotel



Durante las vacaciones de Navidad, tuve la suerte de acudir a un hotel de una gran ciudad el cual disponía de conexión WiFi en todo el edificio. La ventaja fundamental: total cobertura en cualquier punto de las instalaciones, gratuita en lobby y segunda planta, y con una señal aceptable a lo largo de sus 50 plantas ¿Inconveniente? Un coste de 12.95$ por cada 24 horas de acceso desde las habitaciones (!!) Para una estancia de 10 días, casi podría pagar una noche más de hotel e irme a cualquier establecimiento, o comprar 3 SIMs prepago con 4G y más de 1GB.

Al conectar a la red Wireless disponible del hotel, nos aparece la siguiente pantalla de bienvenida (la red no tiene ningún tipo de cifrado...)

Pantalla de inicio para acceso WiFi

En este caso, se nos podría pre-generar un acceso y cargarse a la habitación, o pagar directamente a través del portal con tarjeta de crédito para desbloquear el acceso para el dispositivo durante un número determinado de días.

En este paso nos quedamos quietos, y observamos la información de red asignada a la tarjeta inalámbrica en el que se nos da dirección IP, máscara de red, puerta de enlace (gateway) y servidores DNS. Apuntamos los datos y nos fijamos en la puerta de enlace, a la que le hacemos una pequeña enumeración, resultando los siguientes servicios disponibles:

Host is up (0.0014s latency).
Not shown: 995 filtered ports
PORT     STATE SERVICE    VERSION
53/tcp   open  domain
80/tcp   open  http?
443/tcp  open  ssl/https?
1111/tcp open  http       GoAhead-Webs embedded httpd
1112/tcp open  ssl/http   GoAhead-Webs embedded httpd
2 services unrecognized despite returning data. If you know the service/version, please submit the following fingerprints at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

Tanto para los puertos 80 y 443 no se reconocía correctamente el servicio, dándonos nmap la información de fingerprinting típica con la respuesta tras contactar con los servicios desconocidos. Debido a que los 80 y 443 ya los conocíamos (correspondían con el acceso mostrado anteriormente), nos fijamos en los puertos 1111 y 1112, los cuales corresponden también con servicios web...

Acceso a servicio web del router a través del puerto 1111
Vaya, una nueva pantalla, esta vez correspondiente a lo que parece ser un frontal de un Nomadix, fabricante de dispositivos de comunicaciones inalámbricas entre otras cosas.

No tenemos ningún usuario ni contraseña, por lo que...ya que se nos permite crear un nuevo usuario mediante el botón "New User"...¡probemos!

Creación de acceso para red wifi

De forma altruísta, como veréis en la pantalla, se nos permite seleccionar 2 planes (que parece que estaban de oferta...): el primero con 256K de bajada/128K de subida, el segundo con 512K de bajada/256K de subida. Ambos planes tenían un precio de 0$ la hora...y yo...¡no soy tonto! Seleccioné el Plan B, y como me pregunta cuánto tiempo quiero comprar (en la caja con texto How much Internet access time would you like to purchase?), puse una cifra alta porque no sabía si se refería a minutos, segundos, horas, días, meses....

El resto de campos eran opcionales, y como sólo quería probar si funcionaba, directamente hice clic en Submit para pasar a la siguiente pantalla.

Una vez hice clic en el botón, se me redirigió a una pantalla en blanco ya por el puerto 1112 con SSL....sin mensaje alguno... que me hizo pensar que este chollo había finalizado....

Siguiente pantalla del proceso finalizado

¡Un momento! ¿Que pone en el título de esta página en blanco?

Suscripción aceptada
Alegría inmensa al leer "Subscription Accepted", ¿pero será verdad? Lo siguiente que intenté fue probar a acceder sobre http://www.securitybydefault.com (por si Google se había caído...), y...

Acceso correcto a Internet sin límites

A partir de este momento, debido a que la dirección MAC quedó registrada con acceso por suscripción correcta en el plan B, una vez conectada a la red wifi, no saltaría ningún panel de autenticación nunca más, ni solicitud de apellido o número de habitación.

Pero bueno, todo esto fue por mera curiosidad, ya que posteriormente lo más seguro era utilizar una red de datos con una tarjeta SIM prepago en lugar de una red Wifi de estas características, por muy "gratis" y "abierta" que estuviese.

Quizás decir que esto es una backdoor es demasiado exagerado, pero lo considero un método alternativo para generar una conexión satisfactoria a Internet, y estoy seguro que este método ni siquiera es el usado por el propio hotel para generar las claves para los huéspedes....

11 comments :

mhergon dijo...

¿Qué opinarias de una vez tienes conexión utilizar un VPN para asegurar la conexión?
¡Buen artículo!

Pedro dijo...

"(por si Google se había caído...)" - Guasch, keeping it real! xD

Greiko dijo...

Hola buenas, me ha gustado mucho tu artículo, pero soy nuevo en esto y lo que no sé es cómo se obtiene esa información de red que has copiado en el artículo, es decir, la "información de red asignada a la tarjeta inalámbrica en el que se nos da dirección IP, máscara de red, puerta de enlace (gateway) y servidores DNS". ¿Cómo obtendo estos datos? ¿Qué tengo que hacer?


Muchas gracias

dexafree dijo...

Esa es la salida de un nmap:

https://www.debian-administration.org/article/178/An_introduction_to_port_scanning_with_nmap

Security By Default dijo...

Con un ifconfig sobre el dispositivo de red (nix/MAC), ipconfig (WIN) o accediendo a las propiedades de red de tu tarjeta inalámbrica obtendrás dicha información

Security By Default dijo...

En ese caso, todo sería mejor y más fiable :)

Greiko dijo...

Crei que no seria con un ipconfig, por eso pregunte! xD


Gracias

Greiko dijo...

Muchas gracias

random dijo...

Pregunta lo que sea. Muchos hubiéramos matado porque alguien nos dijese eso hace 15 años...

cvrloz dijo...

ifconfig <linux
ipconfig < windows

netpanda dijo...

A mi me paso el tener que estar varado en Barajas varias horas, tenia planificado un viaje por europa con mochila y con un presupuesto super acotado (soy Argentino asi que el valor de 1 euro me hace llorar). El wifi del aeropuerto me cobraba casi 10 euros la hora pero me daba un "free" de 15 minutos... Asi que el workaround fue simple.. cada 15 minutos cambiaba la mac address y le daba click al internet free de nuevo..
Una solucion no muy elegante pero me ahorro 30 euros que equivalian a una noche de hostel en la mayoria de las ciudades..