Mostrando entradas con la etiqueta wifi. Mostrar todas las entradas
Mostrando entradas con la etiqueta wifi. Mostrar todas las entradas

07 octubre 2013

Dumpper, el gestor de redes wireless para Windows

Se acaba de liberar la versión 30 de la herramienta gratuita y de libre descarga Dumpper. Con esta aplicación se pueden gestionar los perfiles de conexión wireless en sistemas Windows (Vista y superior), además de disponer de otras opciones útiles para los análisis de seguridad.

La primera de las pestañas permite encontrar y mostrar información sobre las redes wireless que se detectan, algo así como una versión sencilla de inSSIDer de MetaGeek.

En el caso de que existan, aquí ya se mostrarán claves por defecto en los puntos de acceso vulnerables WLAN_XXXX y JAZZTEL_XX

Análisis de redes de Dumpper

En la pestaña de WPS se listan los AP con este sistema activado, además de que basándose en la MAC, también informará del PIN de acceso por defecto.

Para conectarse a alguno de ellos, lo hará lanzando una utilidad externa llamada JumpStart y que se puede descargar desde el propio interfaz.

Configuraciones WPS en Dumpper

En los perfiles se muestran aquellas conexiones almacenadas en el sistema y datos de interés, como por ejemplo la clave o el tipo de cifrado. Similar a lo que se ve con WirelessKeyDump de Nirsoft.

Las redes almacenadas en el sistema

La tercera pestaña dispone de otras herramientas como análisis de puertos, ping y detección de sistemas mediante  ping sweeps. Tal vez no sean demasiado avanzadas, pero en caso de no disponer de otras alternativas como Nmap, puede ser de utilidad.

Otras utilidades de análisis de Dumpper

Para descargarla hay que partir de la versión 10 de la página web: http://application-10-5.googlecode.com/files/Dumpper%20v.10.5.rar y usar la pestaña de actualización. No requiere instalación.

Pestaña de actualización de Dumpper.


Leer más...

19 marzo 2013

MACWatch 1.0 (Python NAC)

Nadie puede negar que las redes Wifi han supuesto un avance en cuanto a conectividad, han permitido crear un ecosistema de aparatos interconectados de una forma muy fácil y cómoda.

No obstante, desde el punto de vista de la seguridad, las redes Wifi rompen los paradigmas de las redes conectadas por cable: ahora para acceder a tu red ya no hace falta estar físicamente frente a la toma de red.

Esto supone un reto a la hora de monitorizar la red y auditar quien y cuando se conecta a dicha red Wifi.

Mucha gente usa ARPWatch como herramienta para monitorizar su red Wifi, a mi, personalmente, no termina de convencerme, creo que tiene aspectos mejorables y por ello he creado mi propia versión con bastantes mejoras frente al original.

De entrada, MACWatch hace lo siguiente:

- Monitoriza nuevas direcciones MAC en la red 

- Además de validar por MAC conocida / MAC desconocida, añade una comprobación basada en su perfil tcp/ip (puertos abiertos)

- Permite bloquear esa nueva dirección MAC (actúa como NAC)

- Envía un correo electrónico con las nuevas MACs detectadas

Respecto a monitorizar MACs, nada nuevo bajo el sol, se buscan MACs conocidas y MACs desconocidas. Donde empieza lo bueno es en la parte del perfil TCP/IP. 

Lo que hace MACWatch es lanzar un escaneo vía Nmap contra la máquina y comprobar si tiene los puertos TCP abiertos que nosotros conocemos previamente

Esta comprobación añade seguridad frente a la comprobación de la MAC ya que es fácil conectarse a una red Wifi y 'clonar' la MAC de un cliente legítimo. Ahora, si alguien clona esa MAC pero el resultado de Nmap difiere, será bloqueada.

La parte del NAC funciona mediante envenenamiento ARP, esto ya lo hacen muchos sistemas NAC, lo que pasa es que algunos, desde mi punto de vista, lo hacen mal.

Envenenan la caché ARP del atacante, y eso me parece un poco ingenuo ya que un atacante podría fijar una entrada ARP estática y eludir el ataque.

MACWatch funciona de forma diferente: se definen una serie de hosts a proteger, típicamente el router, servidores que anden por la red, etc.

Cuando MACWatch detecte una MAC desconocida, procederá a aislarla de la red envenenando la caché ARP de los hosts protegidos, de esa forma el atacante no puede hacer -en teoría- nada para eludir el ataque.


Para configurarlo hay que editar dos ficheros:

macok.txt

En este fichero configuramos las direcciones MAC de nuestros equipos en la red y sus puertos abiertos.

La dirección MAC es fácilmente obtenible vía comando arp, los puertos abiertos se pueden sacar empleando nmap -sT -Pn contra el host que vayamos a defender.

Una vez hecho eso, el fichero queda tal que así

0f:71:20:f9:7c:4f<->22,23,110
a4:ba:49:c7:b6:ca<->600,900
6f:a8:f5:b4:70:55<->21

Como se puede ver, a la izquierda va la dirección MAC, luego un separador <-> y la lista de puertos abiertos separados por comas.

isolated.txt

En este fichero ponemos el listado de direcciones IPs de la red que queremos aislar del potencial atacante

192.168.33.1
192.168.33.55

Luego, hay que editar MACWatch.py y definir:

- el correo electrónico origen de los mensajes, el correo destinatario y el servidor

- Si queremos que haga bloqueo de las nuevas MAC o no, recomiendo de inicio no hacerlo hasta tener todo funcionando. Para ello localizamos la variable 

isolate = 0

Y la cambiamos a 1 si queremos bloqueo.

Finalmente ejecutamos tal que así (cambiando la red por la que toque):

python MACWatch.py 192.168.33.0/24

MACWatch genera un fichero de log llamado maclog.txt con información de los eventos.

Para descargar:


Requiere tener instalado python-nmap (disponible a través de pip)

De momento no deja de ser una versión inicial, pero sabiendo que por aquí nos visitan muchos 'Pythoneros', lanzo el guante: si os motiva la idea y queréis que vaya un poco más allá, escribidme un correo a yjesus@security-projects.com y podemos crear un proyecto en code.google para evolucionarlo !

Y no solo gente que tire código, también sería genial tener un logo o mejor documentación
Leer más...

15 marzo 2013

Sobre Wifi, robar y los portales cautivos

Estaba yo tranquilamente leyendo el correo y twitter cuando me di cuenta que era mejor usar mi portátil con la red wireless del hotel que en aquellos días ocupaba que el 3G de mi teléfono.

Dicho y hecho. Arranqué mi flamante Lenovo (que representa el concepto contrario a un MacBook gaAyr de esos) y me conecté al punto de acceso "swisscom", donde La Red llena de información y noticias esperaba ser digerida.

Nada más abrir el navegador un portal cautivo pedía que me autenticase para poder continuar.

Portal cautivo de un coNocido Hotel.
¡Coño! 10€ 24 horas de Internet. Ni que los bytes que iban a salir de mi adaptador wireless fueran a ser transmitidos mediante SMS a Japón.

En ese momento, el más profundo de los tacaños que llevo dentro apareció. Lastima de no tener  montado un túnel DNS que iba a pagar Rita.

Poco después me di cuenta de que soy español. Lo de robar lo llevamos en el ADN (ser pillos nos decimos a nosotros mismos para que suene menos mal) y solo hay que darle una vuelta para encontrar  la manera. ¡Qué pregunte en la Moncloa el que tengas dudas!

Así que revisé la página web una vez más agarrando la billetera para que de allí no saliese ni una moneda.

¡Anda! ¿realmente pide el número de habitación y un apellido? No me lo creía. La autenticación (y posterior cobro) se hacia contra una habitación y para ello... ¿tan solo hacía falta saber como se apellida la persona que la ocupaba? Mola.
Pago mediante cargo a habitación
Si pudiera saber que habitaciones están ocupadas, tan solo tendría que probar los apellidos más comunes. Y a decir verdad, averiguar  la ocupación tampoco era muy complicado.

"Intuir" habitaciones ocupadas
Era demasiado obvio. Esto no podía ser tan sencillo. Seguro que había una protección que lo evitaría. ¡¡Seguro!!

Necesitaba un diccionario de apellidos y recordaba el de Facebook. Pero aquello era demasiado extenso. ¡¡INE (Instituto Nacional de Estadística) al rescaaateee!!! en una magnífica hoja de calculo venía bien claro. 

Lista de apellidos españoles
Mierda. Este también eran más de 75.000 opciones. Esto iba a ser un canteo.

Hmmm ¡¡idea!! Ya que el nombre de usuario también es predecible, ¿por qué no probar con GARCIA las ¿400? posibles habitaciones?

Cuando iba a ponerme a escribir el primer "curl" en la ventana del cygwin para automatizar las peticiones y comprobar si el fallo existía, recordé la fabulosa entrada de Intruder con Burp de Bea. 

Configuré la herramienta especificando el payload desde el 100 hasta el 600 y arranqué el ataque.

Resultados de Burp - Intruder
¡¡Qué me estas container!! Tan solo hicieron falta 18 peticiones para encontrar una habitación con un GARCIA. Ya tenía unas credenciales de acceso.

Esta victoria era amarga, no es lo mismo birlarle la conexión al hotel que a un pobre huesped como yo, así que al final, tras hacer las capturas, acabé pagando los 10 euritos y usando mi propio acceso. Pero oye... era gracioso. ¿Qué el nombre de usuario no debería ser público? ¡JA

Leer más...

07 julio 2012

'Wifi Auditor' casi 1.000.000 de descargas

Parece que fue ayer y tan solo han pasado unos pocos meses desde que presentamos la herramienta 'Wifi Auditor' en SbD como herramienta de concienciación con respecto a la (in)seguridad del panorama Wireless Español.

Y ayer mismo, su autor Luis Delgado anunciaba que ya va por las ¡¡¡ 936.000 descargas !!! una cifra impresionante que desde luego destroza y pulveriza cualquier registro previo de otra herramienta presentada aquí. Ahora, el objetivo es llegar al millón !

Nuestras mas sinceras enhorabuenas a Luis, que es un crack y que este verano presentará su herramienta 'XMPPloit' en la BlackHat.

Además va a impartir una charla junto a Chema Alonso en DefCon.

Como tributo, dejamos su estupenda charla en RootedCon sobre XMPP, tanto la presentación como el video correspondiente




 
Luis Delgado - XMPP, algo más que chat [Rooted CON 2012] from rootedcon on Vimeo.
Leer más...

02 junio 2012

Cheat Sheet auditoría Wireless

Muy buenas lectores/as de Security by default!

Este artículo es para presentar un cheat sheet que he realizado recopilando las opciones más usadas en un auditoría wireless. En esta primera versión  de documento se detallan dos tipos de ataques, además de los usos de algunas de las herramientas usadas en la suite aircrack-ng.

Cuando nos enfrentamos a una auditoría wireless, hay varios aspectos a tener cuenta, por ejemplo, tipo de cifrado que auditaremos, el tipo de hardware que emplearemos (chipset, antenas).
Una vez que tenemos el hardware necesario, comenzamos

Identificando el tipo de cifrado

En una auditoría nos podemos encontrar distintos tipos de cifrado a atacar, los cifrados son, WEP, WPA, WPA2, además de configuraciones como Radius.
La suite aircrack-ng es usada para auditar este tipo de infraestructuras, entre sus herramientas se encuentra airodump-ng que nos ayudará a identificar el tipo de cifrado que emiten los puntos de acceso. Pero antes necesitaremos poner la antena en modo monitor, para poder capturar los paquetes, para ello usaremos airmon-ng. Además nos sirve para recoger los paquetes que emite, de manera que los podremos usar para obtener la clave más tarde

Atacando al punto de acceso

En el segundo paso, después de tener localizado el punto de acceso a auditar, abarcaremos dos tipos de escenario, que son los que tenemos representados en el cheat sheet: ataque a redes con cifrado WEP y WPA/WPA2.

En las redes con cifrado WEP, los pasos a seguir dependen del ataque usado. En el caso de usar el típico ataque por inyección:
  • Realizamos la autenticación fake contra el punto de acceso objetivo, con aireplay-ng
  • Lanzamos el ataque de inyección contra el punto de acceso, también usando la misma herramienta que en el punto anterior.
Obtenemos la clave con aircrack-ng
Otro de los ataques disponibles es el ataque Chop Chop. Este ataque tiene como objetivo construir  un paquete ARP válido para la red objetivo a auditar. Los pasos consisten en:
  • Realizamos la autenticación falsa contra el punto de acceso con aireplay-ng
  • Lanzamos ataque Chop Chop, recogemos una cantidad suficiente de paquete para, que podamos extraer la IP usada en la red con tcpdump y con packetforge-ng crear el paquete ARP válido.
  • Inyectar con aireplay-ng el paquete ARP creado.
  • Usar aircrack-ng para obtener la clave de cifrado
En el caso de las redes con cifrado WPA y WPA2, el proceso es distinto. Ya no tenemos que obtener multitud de paquetes para extraer la clave usada si no, que, necesitaremos obtener el handshake y por fuerza bruta obtener la clave de cifrado usada.
Para WPA y WPA2, abordaremos uno de los ataques:
  • Capturaremos los paquetes de la red con airodump-ng.
  • Lanzaremos un paquete con aireplay-ng para que un cliente se desconecte.
  • Una vez capturado el handshake, que es capturado cuando el cliente se vuelve a conectar usamos aircrack-ng y un diccionario para realizar un ataque por fuerza bruta.
Obteniendo la clave de cifrado

Una vez que, en el caso de las redes de cifrado WEP, tengamos multitud de paquetes y, en el caso de las redes WPA y WPA2, tengamos el handshake, se podrá obtener la clave de cifrado usada.
Para el caso de las redes con cifrado WEP, se puede lanzar aircrack-ng directamente sobre el paquete generado por airodump-ng, si tenemos la cantidad necesaria, acabaremos extrayendo la clave.
Para las redes WPA y WPA2, una vez que hemos obtenido el handshake, usaremos un diccionario y será cuestión de que la clave usada se encuentre en ese diccionario. También se pueden usar herramientas como John the Ripper para ir probando de extraer la clave.

Como comentaba al inicio de este artículo, he reunido en el cheat sheet las opciones usadas en una auditoría wireless.

El cheat sheet se irá actualizando trayendo diversos escenarios wireless auditar y otras utilidades.




Contribución por Marc Rivero López
Leer más...

28 noviembre 2011

Usando la GPU para crackear la contraseña de WPA/WPA2-PSK con oclHashcat

Pyrit es una herramienta que permite utilizar la potencia de la GPU para crackear contraseñas de puntos de acceso wireless con WPA/WPA2-PSK. En la entrada de hoy, vamos a mostrar una alternativa: oclhashcat plus.

Lo primero es descargar e instalar la última versión de aircrack-ng, disponibles en: http://nightly.aircrack-ng.org/aircrack-ng/trunk/. Esto es importante ya que las últimas versiones incluyen dos opciones que no están disponibles en los paquetes que distribuyen algunos sistemas.

cd /tmp
wget -q hxxp://nightly.aircrack-ng.org/aircrack-ng/trunk/aircrack-ng-trunk-2011-11-19-r1997.tar.gz
tar -zxf aircrack-ng-trunk-2011-11-19-r1997.tar.gz
cd aircrack-ng-trunk-2011-11-19-r1997/
make && make install 

Tal y como en el siguiente ejemplo:


Lo siguiente es cambiar la tarjeta a modo monitor. En el caso de la Intel  Centrino Ultimate-N 6300 que viene con mi portátil, no hace falta parchear ningún driver ni nada adicional.

ifconfig wlan0 down
iwconfig wlan0 mode monitor
airmon-ng start wlan0


Lanzamos la aplicación airodump-ng para capturar la autenticación de un cliente, filtrando por el canal en el que transmite y el BSSID del punto de acceso. Utilizando el dispositivo mon0 creado después de ejecutar el airmon-ng start y almacenando los resultados en el fichero "dump".

airodump-ng -c 2 mon0 --bssid F4:EC:38:9F:D0:2D -w dump.pcap



Hasta aquí es más o menos lo que se lleva haciendo toda la vida para sacar la contraseña. Ahora para hacer fuerza bruta usando la GPU con oclhashcat plus, hay que seguir estos tres últimos pasos.

Para limpiar la captura y exportarla en otro formato para que pueda leerla la herramienta oclhashcat plus es necesaria la versión actualizada de aircrack-ng.

Ojo con la aplicación wpaclean, que tiene invertido el orden en el que se aceptan los ficheros. Primero el destino y después el origen. Con el primer comando se crea el archivo wpaclean.cap y con el segundo, partiendo de wpaclean.cap se genera el fichero final dump2.hccp

wpaclean wpaclean.cap dump.pcap-01.cap
aircrack-ng wpaclean.cap -J dump2

Otra opción para crear el archivo hccp es subir el cap a la página web: http://hashcat.net/cap2hccap/

Por último, se usa la última versión de oclhashcat+ indicando que es WPA (-m 2500) y que se use el diccionario de rockyou.

cudaHashcat-plus64.bin -m 2500 dump2.hccap rockyou.txt



En este ejemplo se observa una velocidad de 3900 intentos por segundo con la Nvidia Quadro 1000M del portatil,  a diferencia de la cpu i7 del mismo equipo, que con aircrack consigue 1020 keys por segundo o los 3300 intentos que obtiene pyrit usando la gpu también.

Si no hay suerte con los diccionarios más típicos, con la utilidad maskprocessor hay que generar mascaras para intentar sacarla con fuerza bruta tradicional. En este ejemplo se intentará con caracteres en minúsculas, mayúsculas, números y caracteres especiales con una longitud de 5:

mp64.bin -1=?l?u?d?s ?1?1?1?1?1 | ./clhashcat-plus64.bin -m 2500 dump2.hccap
Leer más...

07 febrero 2011

Un breve resumen para poner en antecedentes: Hace relativamente poco tiempo el portal de seguridad SeguridadWireless publicó que habían conseguido descubrir el algoritmo por el cual se generaban las claves por defecto de los routers Comtrend (concretamente el modelo CT-5365) que distribuyen masivamente a sus clientes Telefónica y Jazztel.

La publicación se hizo de una forma un tanto oscura, mediante una web que permitía averiguar la clave de la red Wifi introduciendo los datos de cualquiera de los routers mencionados anteriormente, (identificados por WLAN_XXXX en el caso de Telefónica y JAZZTEL_XXXX en el caso de Jazztel). Sin estar aun demasiado claros los motivos, a las pocas horas de la presentación, la web fue cerrada aduciendo motivos de 'fuerza mayor'.

El problema es que, una vez que prendes según que mechas, luego es difícil ponerles freno y evitar que exploten. Un usuario presumiblemente de lampiweb destapó la caja de pandora publicando otra web con la misma funcionalidad que el anterior, pero con una salvedad: publicó el algoritmo y varias pruebas de concepto en diferentes lenguajes de programación.

Personalmente creo que revelar al mundo que existe una vulnerabilidad lo suficientemente grave como para poder comprometer su privacidad o integridad y tratar de hacerlo 'de tapadillo', no es el camino correcto.

Tenemos un ejemplo bastante reciente: Firesheep, todos sabíamos que un buen número de paginas web, por comodidad, ahorro de costes o dejadez, dejaban en una situación muy precaria la seguridad de sus usuarios, pero hizo falta la aparición de Firesheep para que la situación diese un giro. Muchos sitios se hicieron eco y a raíz de ello, Hotmail y posteriormente Facebook, dieron el paso correcto de añadir SSL a sus comunicaciones.

En esta línea Luis Delgado (colaborador habitual de este blog) ha programado WIFI Auditor, herramienta para Windows que simplifica el proceso de explotación de la vulnerabilidad y ejemplifica bastante bien el problema.

El funcionamiento de la herramienta es extremadamente sencillo:

Cuando abres la aplicación te muestra las redes disponibles. Al hacer click sobre el botón, 'Auditar' la aplicación comprueba qué redes son vulnerables y te las muestra junto con su clave por defecto. Finalmente, basta con seleccionar una y hacer clic en el botón 'conectar' para que automáticamente Windows se conecte a la red, sin necesidad de que el usuario haga nada.

La aplicación utiliza netsh para todo el proceso. Cuando el usuario selecciona una red y se conecta, la aplicación genera un perfil con todos los datos de la red y lo importa bajo el nombre 'WIFI Auditor' y posteriormente se conecta con él.

Actualmente la aplicación se encuentra en su versión 0.1c., por lo que cualquier problema/sugerencia sería bueno que la comentaseis. Para futuras versiones, la idea sería añadirle nuevos algoritmos de redes vulnerables con los que la clave se obtenga de forma "inmediata".

La aplicación la podéis encontrar aquí.
Para ejecutarla necesitáis tener instalado Java.
Además, por comodidad, se ha creado un instalador. Aun así, la aplicación es 'portable', por lo que basta con bajarse WIFIAuditor.jar y ejecutarlo.

El código fuente de la aplicación lo podéis encontrar aquí.

Podéis ver una demo en el siguiente vídeo:


[*] Referencias

UPDATE: Wifi Auditor solo  está soportado para Windows Vista/7, MacOS (10.5 y sup) y Linux
    Leer más...

    03 julio 2010

    Pegatas de D-Link, ¿para poner en el alerón del calibra?

    Vía @danchodanchev nos llega un buen consejo para nuestra política de contraseñas: ¡¡poner en lugar seguro!! A ver si con un poco de suerte mi vecina la Conchi pega una igual en el buzón de correos.
     
    Leer más...

    10 febrero 2010

    Hotspots: virtudes y peligros

    En innumerables ocasiones, los que nos consideramos enganchados a Internet, tenemos que buscarnos la vida para nuestras actividades (correo, redes sociales, noticias, blogging,... ) en los lugares más recónditos. Afortunadamente, y gracias a los accesos con 3G en el móvil o mediante "pincho" USB, tenemos el problema resuelto; al menos en el territorio nacional, porque cuando uno va al extranjero (como me pasa a mí mientras escribo offline este post en el Iphone debido a un retraso en el vuelo desde Lisboa) si habilito el 3G la factura es astronómica...

    Si se cuenta con el portátil, se puede intentar realizar túneles DNS a través de redes que requieren portal cautivo. Sin embargo, utilizar este tipo de redes puede tener efectos secundarios no deseados. Siempre hay sitios más probables que otros: por ejemplo en el Security Blogger Summit, no faltaron los más avispados que intentaron ataques de arp spoofing, lógicamente para captar cuantos más usuarios/contraseña posibles, cookies, navegación varia en claro, etc... En aquel evento, Luis Corrons monitorizaba la red wireless y avisaba por twitter, pero ¿qué sucede en las redes wireless en las que no hay un vigilante? ¿quién nos garantiza la integridad de nuestras sesiones? Evidentemente, lo más seguro es tunelizar todo hacia un punto seguro y de forma cifrada y así evitar las miradas/análisis de los posibles curiosos.

    De hecho, algunos hotspots, podrían ser un buen punto de salida para llevar a cabo actividades no muy bien consideradas, gracias al anonimato que permiten. Siempre he pensado que si tuviera que llevar a cabo alguna mala arte, usaría la red wireless gratuita de un Starbucks por ejemplo. Con la simple precaución de cambiar la dirección MAC del PC (o haría uso de una aleatoria de una máquina virtual), y utilizando la contraseña de acceso a la red que te dan al pedir el caro café (incluso posiblemente desde un coche fuera del local para levantar aún menos sospechas), sería el anonimizador perfecto...

    Sin embargo, ¿qué podría suceder en el resto de los PCs cuyos dueños disfrutan de ese agradable café mientras leen su correo o sus noticias? Los sistemas operativos actuales vienen preparados de fábrica para prohibir accesos entrantes a recursos compartidos por defecto (qué tiempos del C$ permitido) aunque siempre hay alguna triquiñuela de red a la que se pueda recurrir como por ejemplo el mencionado ARP Spoofing; y a las malas siempre podemos contar con el factor más probable de todos para tener éxito en cualquier ataque: la ingeniería social sobre la inocencia humana.
    Leer más...

    17 enero 2010

    Vulnerabilidad en modem/router 3G wireless - Novatel Mifi 2352


    Estoy encantado con mi nuevo Vodafone MiFi 2352, que viene siendo un Novatel MiFi 2352. Actúa como un router wireless 3G ultra portátil que como principales ventajas presenta su compatibilidad con cualquier sistema al ser wireless, su ya mencionado tamaño y que además puede funcionar (mientras carga batería) con un cable MicroUSB. Más guau-guau-chaow-chaow  detallado y con criterio en Microsiervos.

    Pensé que sería más sencillo, pero tiene un portal web de administración bastante completo, sobre todo teniendo en cuenta sus dimensiones. En cuanto a su seguridad, lo primero que llama la atención es que las credenciales para autenticarse no iban por un canal seguro y después me extrañó que únicamente solicitase la contraseña, sin necesidad de usuario.

    La siguiente captura de pantalla es del formulario de autenticación:



    Después de mirar un rato la aplicación se puede observar que para algunas páginas protegidas se requiere que el usuario haya pasado correctamente el proceso de validación, mostrando un pop-up en caso de error con el mensaje "Es necesario iniciar sesión", tal y como muestra la siguiente imagen:



    Pero curiosamente se permite acceder al fichero de copia de seguridad sin una sesión válida,  únicamente introduciendo su ruta completa: http://IP/config.xml.sav.

     

    En este fichero estan todas las contraseñas en claro, tanto del acceso wireless como del portal de administración... total, ¿qué mas da?

    Esto se ha probado en un dispositivo de las siguientes características:

    Versión de firmware del punto de acceso
    11.47.17
    Versión de firmware del enrutador
    012
    Versión de firmware del módem
    5.15.00.0-00 [2009-06-26 10:24:29]

    Esta vulnerabilidad en concreto se encontró en otros sistemas similares hace tiempo, como en Belkin y Linksys. No es muy lógico que distintos fabricantes comentan el mismo error una y otra vez.

    Revisando referencias encontré que muchas otras vulnerabilidades habían sido reportadas hace un par de días. Así que esta, pese a que no está en las ya reportadas, tampoco debería sorprender.

    Adam Baldwin indica que en el último firmware el archivo es config.xml.save.

    Leer más...

    13 enero 2010

    Tunelizando DNS, otra opción con iodine 0.5.x


    Otra herramienta para llevar a cabo tuneles DNS, además de OzymanDNS, DNS2TCP (comentada en SbD el año pasado), NSTX o DNScat es iodine, que actualmente se encuentra en su versión 0.5.2 (0.5.1 para windows).

    Este tipo de aplicaciones son útiles en las que deseamos ocultar el tráfico o se desea saltar las restricciones de un firewall, como en el caso de los hotspots wireless de hoteles, aeropuertos y otros malos lugares que se enriquecen con precios de a €uro el byte.

    Para el primero de los casos hay túneles más eficaces que nos proveerán de mejor rendimiento y mayores prestaciones, pero para el segundo, esta es posiblemente la única opción.

    Iodine funciona de forma portable y no requiere ningún módulo adicional. Además de es compatible con Linux, Mac OS X, FreeBSD, NetBSD, OpenBSD, Windows e incluso la plataforma móvil Android. Otra ventaja es que tiene un sistema de autenticación para que nadie pueda conectarse si no conoce la contraseña.

    La aplicación se compone de un cliente y un servidor siendo ambos necesarios para poder crear el tunel. El cliente es la utilidad que se instala donde se desea saltar u ocultar la información y la parte servidor se ha de alojar en un sistema que se pueda configurar como servidor DNS.

    Lo más "complicado" es configurar la parte servidor, ya que requiere que se disponga de un equipo conectado constantemente, un dominio y una dirección pública para que responda las peticiones DNS del cliente.

    Por ejemplo, la siguiente configuración haría a que cualquier servidor DNS tuviera que solicitar a la dirección IP 74.82.14.199, donde escucha el servidor iodine, todas aquellas peticiones que se hagan sobre  los subdominios de tdns.securitybydefault.com:
    tunnel          IN A 74.82.14.199
    tdns            IN NS tunnel.securitybydefaul.com.

    Una vez configurado el servidor, se arranca  con algo tan sencillo como:
    iodined -f 10.0.0.1 tunnel.securitybydefault.com
    y el cliente:
    iodine tunnel.securitybydefault.com
    Con lo que se crearía una red con dos direcciones IP (10.0.0.1 y 10.0.0.2) en las que el tráfico será enviado mediante peticiones DNS.

    Leer más...

    06 enero 2010

    Red inalámbrica con varias zonas para Home y Pymes

    Durante los últimos años las redes inalámbricas han tenido un gran crecimiento gracias su flexibilidad y bajo coste.

    La diferencia principal con las redes cableadas es el perímetro, es decir, cualquiera que esté en su radio de alcance puede ser un potencial intruso.

    Por ello estamos expuestos a diversos ataques pasivos como sniffing, análisis de tráfico, y activos como suplantación, modificación, reactuación y DoS.

    Por este motivo, debemos seguir una serie de recomendaciones de seguridad al configurar nuestros puntos de acceso inalámbricos:
    • Utilizar mecanismos de seguridad WPA2, con AES e intercambio dinámico de claves.
    • Cambiar el SSID que viene by default en los puntos de acceso.
    • Deshabilitar la emisión broadcast del SSID.
    • Deshabilitar el DHCP. Asignar IPs privadas fijas y que no sean las típicas 192.168.[0|1|2].[0-24] usar por ejemplo 172.17.x.x o 10.0.x.x
    • No poner como default gateway el .1 o .254
    • Actualizar el firmware de los puntos de acceso.
    • Desactivar los puntos de acceso durante un periodo de inactividad largo (por ejemplo: ausentarse por vacaciones)
    • Utilizar IPSec, VPN, firewalls y monitorizar los accesos.
    Además de protegernos contra los intrusos externos al perímetro, también debemos tener un control de las personas que hacen uso de la red inalámbrica de nuestra casa o Pyme.

    En una red cableada podríamos implantar una arquitectura utilizando NAC y una configuración de firewalls con políticas que decidan entre zonas trust y untrust, (hay que mencionar en este punto que la filosofía de las políticas de firewall ha cambiado desde que Netscreen empezó a implantar el trabajar por zonas en vez de red a red)

    Si queremos montar una red inalámbrica en casa o Pyme que contenga diferentes zonas, podemos hacer uso del estándar 802.11n y los routers inalámbricos como por ejemplo el AsusRT-N11.

    La mayoría de los routers inalámbricos tienen configurados como mucho el nombre de la red y la seguridad que va a utilizar. Esta no es la solución más segura si por ejemplo queremos ofrecer acceso a un amigo que viene a casa. El AsusRT-N11 permite la creación tres zonas adicionales, cada una con su correspondiente SSID, el tipo de seguridad y el ancho de banda que deseamos ofrecer.

    Por ejemplo podríamos conectar todos nuestros dispositivos a una de las zonas utilizando WPA2 con una contraseña robusta y ancho de banda ilimitado, y disponer otra zona con un ancho de banda limitado, evitando así saturar la nuestra.

    Mencionar además las ventajas del estándar 802.11n que ya viene incorporado en la Xbox 360 y en los últimos ordenadores Mac. Sin duda la ventaja de la norma es su mayor velocidad y mayor alcance. Hasta 10 veces más rápida que una red con 802.11a y 802.11g, y cerca de 40 veces más rápida que una red bajo el estándar 802.11b.

    El estándar 802.11n ha supuesto una enorme mejora en el mundo de las redes WiFi, que poco a poco las sitúa más cerca de las redes cableadas.
    Leer más...

    30 noviembre 2009

    La alternativa de Netstumbler: inSSIDer

    Después del abandono de la popular herramienta Netstumbler para búsqueda de señales Wireless en entornos Windows, era necesaria la creación de una nueva que además soportase Vista y 7, así como XP en su versión de 64bits.

    Con este propósito el año pasado se creo inSSIDer, una aplicación algo desconocida con funcionalidades similares y que continúa su desarrollo open source bajo licencia Apache 2.0.

    Entre sus características más destacables se encuentra:
    • Soporte para Vista/7/XP en sus versiones 32 y 64bits.
    • Uso de la API nativa de Wifi.
    • Agrupar en base a Mac/SSID/Canal/RSSI o "última vez visto".
    • Compatible con GPSs que usen NMEA v2.3.
    • Exportación de la información GPS/Wifi a archivos KML de Google Earth (muy vistoso!)
    • Exportación a ficheros de Netstumbler.
    • Filtrado de puntos de acceso.
    • Seguimiento de la potencia en dBm.


    Actualmente la última versión es la 1.2.3.1014 y se puede descargar desde: http://www.metageek.net/products/inssider/download
    Leer más...

    15 noviembre 2009

    Vídeos de seguridad Wireless

    Miguel Ángel Bernabé Cruz es un joven investigador en seguridad informática que ha creado un par de vídeos donde trata temas de seguridad desde un punto de vista práctico, mostrando el lado mas entretenido y curioso del hacking.

    El primer vídeo es un escenario en el que alguien se conecta a la red Wifi de su vecino, algo muy de moda, y su vecino se entera y decide darle un pequeño susto.



    El segundo vídeo, más serio, es un ejemplo práctico de por qué hay que proteger bien la red Wifi por si tenemos vecinos cotillas, y lleva a cabo un sniffing pasivo bastante completo, siendo un ejemplo bastante bueno y demostrativo de algo que bien se podía llevar a cabo en la gran mayoría de comunidades de vecinos. No olvidemos que, gracias a ciertas compañías telefónicas, descifrar las claves 'by default' de muchos routers es tarea realmente fácil (solo hay que ojear el foro de seguridadwireless).

    Leer más...

    01 septiembre 2009

    WPA/TKIP crackeado de nuevo

    Hace casi un año, ya hablábamos en SbD de cómo el algoritmo de cifrado WPA en su modalidad TKIP, podía ser comprometido en menos de 15 minutos.

    Este tipo de cifrado sustituyó a WEP (Wired Equivalent Privacy) como el estándar para el cifrado del tráfico en redes wireless. Posteriormente, surgió WPA2 como evolución reforzada y estandarizada por parte del IEEE como 802.11i (mayor longitud de clave y utilización de AES internamente en vez de RC4 como TKIP).

    Bueno, pues dos investigadores de universidades japonesas (Hiroshima y Kobeshi), han descubierto otra manera de llevarse por delante el ya tambaleante WPA. El ataque anterior (Beck-Tews) se basaba en que podías descifrar texto de un paquete y falsificarlo siempre y cuando la implementación de WPA soportara 802.11e (Capacidades QoS). El que plantean los japoneses Toshihiro Ohigashi y Masakatu Morii (espero que a ellos les cueste lo mismo escribir mi nombre que a mí los suyos), permite romper el WPA-TKIP sin estas restricciones. La buena noticia es que el ataque es detectable por el usuario atacado mientras se intenta hacer el man-in-the-middle, puesto que en todo ese rato dicho usuario pierde la conectividad con el resto de la red. El ataque de Beck-Tews demoraba al menos 15 minutos en llevarse a cabo. Sin embargo, en el caso de los japoneses, en el mejor de los casos se tarda 1 minuto (dicha latencia puede achacarse a cualquier problema de red por parte de los usuarios, lo cuál otorga más probabilidades de pasar desapercibido).

    El paper de cómo se lleva a cabo el ataque lo podéis descargar de aquí. He podido comprobar que es bastante denso de entender, aunque principalmente lo que dicen es que aplican el ataque Beck-Tews y una serie de inteligentes mecanismos para acelerar el tiempo de ataque de Man-in-the-Middle, posibilitando crackear WPA-TKIP sin el requisito de que soporte QoS según el estándar 802.11e.

    ¿Qué hacer entonces con las redes wifi?
    Bueno, visto que WEP murió hace tiempo y que WPA está cada vez más perdido, la única solución wireless compatible para garantizar la confidencialidad de nuestras conexiones parece ser que es WPA2 o WPA en la modalidad EAP-PEAP-TLS (mediante utilización de certificados)

    Como comentamos en el post del año pasado no creo que sea una mala recomendación el encapsulamiento del tráfico de red inalámbrico mediante VPNs convencionales como pueden ser IPSEC o SSL (con la implementación de OpenVPN por ejemplo).


    Leer más...

    02 agosto 2009

    La WiFi de la Campus Party

    Ya hablamos en este blog sobre las implicaciones que tiene conectarse a puntos de acceso WiFi no confiables y los consejos que se deben seguir en el caso de asistir a una conferencia de hackers.

    Durante nuestra asistencia a la Campus Party, supimos que había varios puntos de acceso WiFi activos, cuando la Campus no habilitó ninguna WiFi oficial.

    Hubo personas que "picaron" y le llegaron comentarios al responsable del área de Redes/Seguridad sobre lo "lenta" que iba la WiFi de la Campus. Este se sorprendió cuando le comentaron que había una WiFi cuyo ESSID era "campus_oficial".

    Cuando se asiste a este tipo de eventos, se deben consultar los distintos accesos a la red que el evento pone a disposición de los asistentes.

    No debemos conectarnos a redes WiFi no fiables, ponemos en riesgo nuestros datos y podemos ser víctimas de un ataque.

    Si por circunstancias tenemos que conectarnos a una red no fiable, las recomendaciones son las de siempre:
    • Tener actualizado tu sistema operativo (parches)
    • Utilizar un firewall, protección antivirus, anti-spyware, etc.
    • No realizar transacciones financieras y tener cuidado con lo que nos descargamos.
    • Modificar la configuración para que la WiFi se active de forma manual, no automática.
    • Evitar que la WiFi se conecte a redes con nombres predeterminados y memorizados en el PC. Los nombres que hemos marcado como confiables y a las que nuestro PC va a buscar primero es una buena forma de ataque.
    • Si no se utiliza la WiFi es mejor tenerla desactivada.
    • Conectarnos mediante VPN a un host que nosotros controlemos.
    Sería interesante recordar el post "Haciendo Ciber Houdini" en el que hablamos sobre como disponer de acceso ilimitado con privacidad adicional. Instalando en una máquina Linux/*BSD un servidor OpenSSH y Nylon. Y mediante un cliente como Putty nos conectamos vía SSH a nuestra máquina de salto y desde ahí enrutamos las conexiones.
    Leer más...

    02 marzo 2009

    Guías de seguridad para redes WIFI

    Defender una red Wireless supone un reto bastante notable debido a la capacidad intrínseca de la red para ser detectada de forma incontrolada y la ausencia de limitaciones físicas para aplicar restricciones.

    En SbD ya hemos hablado de mecanismos para bastionar entornos WIFI e incluso sobre estrategias de tipo HoneyPot para detectar ataques. Hoy voy a referenciar un par de guías que he encontrado que pueden ser de interés.

    La primera viene firmada por parte del NIST y debido a su origen, tiene una naturaleza técnica donde clarifica escenarios y tecnologías disponibles para securizar un entorno Wifi.

    Supongo que a cualquiera de nosotros si nos preguntan un escenario para desplegar una red wifi, tenemos claros términos como WPA2 o túneles IPSEC, pero siempre es bueno tener una guía que sirva como marco de referencia a la hora de sentarnos a diseñar.

    La otra guía viene de la mano de HP y tiene un perfil mucho mas 'ejecutivo' y aunque lo que se explica en ella ya ha sido muy trillado en otros documentos, si es interesante como introducen el concepto WIDS (IDS para redes WIFI) como herramienta para detectar ataques (obviamente lo hacen promocionando su herramienta)

    Tirando de delicious he encontrado un par de proyectos WIDS libres (aunque no he podido probarlos) pero supongo que habrá mas:

    En el mundo comercial existen bastantes herramientas, lo que yo echo en falta es un 'snort' que sirva como referente en cuanto a herramientas opensource que actúen como WIDS, ya que los enlaces que he puesto son de proyectos que no se ven 'tan hechos' como sus homónimos comerciales
    Leer más...

    19 noviembre 2008

    Seguridad en redes inalámbricas

    Mucho se ha hablado sobre la inseguridad de las redes wireless respecto a las claves WEP de 40 bits, que si se capturan los paquetes con IVs, etc etc,... y ya puedes navegar por la red del vecino. Parecía que la solución llegaba de forma intermedia antes de WPA2, mediante la utilización de WPA. La utilización de esta nueva tecnología para las comunicaciones inalámbricas caseras y corporativas supuso una gran revolución puesto que permitía enlazar con servidores de autenticación (Radius), claves compartidas (PSK o pre-shared keys) o certificados digitales. Se ha convertido en el estándard de facto.

    Sin embargo WPA refuerza a WEP por la longitud del tamaño de clave (de 40 a 128 bits) y por longitudes de vectores de inicialización (IVs) de 48 bits, aunque se sigue utilizando el algoritmo simétrico RC4. Dada la longitud de clave utilizada se hace computacionalmente más duro reventar este tipo de algoritmo puesto que hay más combinaciones que probar.

    Hace poco tiempo se publicó que se estaba aprovechando la potencia de las GPUs de las tarjetas gráficas Nvidia para efectuar ataques de fuerza bruta ante redes wifi con claves WPA y WPA2, de manera que el tiempo necesitado para comprometer redes se dividía por 100.

    Las últimas noticias apuntan a que, parcialmente, el algoritmo WPA podría haber sido comprometido. En realidad esta noticia tan alarmista en realidad solo se refiere a WPA-PSK (es decir el basado en una clave compartida). No obstante, en Kriptópolis descartan ya WPA y se deja al final la esperanza de que al menos nos queda WPA2...

    Mi duda es,.... ¿hasta cuándo durará imbatible WPA2? A lo largo de mi vida como consultor de seguridad, cuando una organización me ha pedido asesoría sobre cómo securizar sus redes wireless, he propuesto diferentes alternativas dependiendo del caso. Sin embargo, ha habido algo que, dada la criticidad de la información intercambiada, y la potencia de cálculo de las máquinas utilizadas, he recomendado como algo común: la utilización de tecnología VPN a lo largo de la red wifi.

    Un despliegue clásico podría incluir una red wireless conectada contra un firewall que sólo permitiese tráfico VPN hasta un gateway de VPNs (en ocasiones hasta el mismo firewall puede realizar ese papel). Directamente antes de poder conectarse a la red interna, se hace necesario el establecimiento de un túnel VPN. De esta manera, se asociará una IP de rango interno (o un rango VPN) a un interfaz virtual en la máquina cliente de manera similar a como sucede cuando se hace desde Internet. Si confiamos en encapsular nuestro tráfico confidencial a través de la red de redes, ¿por qué no hacerlo en una red mucho menos arriesgada, como puede ser una red inalámbrica?

    Para mentes aún más paranoicas, siempre se puede encapsular el tráfico VPN sobre una red wireless que obligue por supuesto un control de acceso por dirección física o MAC, y que utilice además WPA2 para cifrado a nivel de punto de acceso.

    Desde SecurityByDefault recomendamos OpenVPN como alternativa libre basada en SSL con clientes para Windows, Linux y Macintosh, de fácil despliegue para este tipo de lides.

    Yago recomendó tiempo atrás la utilización de un punto de acceso "fake" para emitir con el mismo SSID aunque en distinto canal en los límites físicos de la organización para engañar a atacantes externos.

    ¿Y tú, tienes algún otro mecanismo de securización de redes Wireless?
    Leer más...

    13 noviembre 2008

    FakeAP, Caos Wireless

    Si ayer hablábamos sobre el ataque D.o.S. al ministerio de industria basado en colapsar los recursos a nivel de red haciendo múltiples peticiones, hoy toca hablar de D.o.S. a nivel Wireless.

    FakeAP es una herramienta cuyo objetivo es crear el mayor caos posible en el espectro Wireless a su alcance.

    Lo hace generando hasta 53.000 puntos de acceso simultáneos, ocupando todos los canales posibles. Muy al estilo del Agente Smith cuando se clonaba hasta la saciedad en Matrix III.

    La herramienta funciona en Linux, con tarjetas Wifi cuyo chip sea Prism.

    Personalmente no consigo encontrarle un uso legitimo, aunque en alguna parte he leído sugerencias de como usarla para disuadir a potenciales atacantes de tu red Wifi empleando FakeAP como generador de señuelos.
    Leer más...

    29 septiembre 2008

    HoneyPots WIFI

    Tener una red WIFI es un tema muy delicado, y más si se trata de un entorno corporativo. Como por todos es sabido, las clásicas medidas de protección basadas en filtrado de direcciones MAC son, aparte de tediosas en configurar si el entorno es lo suficientemente grande, inefectivas por completo.

    El verdadero reto en un entorno WIFI grande es poder detectar si alguien esta conectado de forma fraudulenta. En ese escenario, se puede configurar una red de HoneyPots WIFI que permitan detectar la presencia de personas conectadas desde fuera del recinto de la organización, ya que lo mas probable es que los accesos malintencionados se produzcan desde fuera del perímetro.

    Uno de los puntos claves, y donde realmente se juega el partido, es en la capacidad de optimizar las zonas de cobertura de los Access Points 'legales'. Estrategias para ello hay muchas y obviamente depende del entorno que se pretenda optimizar, no es lo mismo un edificio, que un piso del edificio. En general, un Access Point decente admite el uso de antenas externas, adquiriendo antenas direccionales en vez de las clásicas omnidireccionales, podremos dirigir con bastante precisión el radio de cobertura.

    Una vez completada la optimización de la cobertura y teniendo bajo control los posibles 'leaks' (NetStumbler es tu amigo), pasamos a la fase dos que consiste en crear una red paralela de AccessPoint cuya cobertura esté optimizada a la inversa, es decir, que su área de cobertura sea hacia el exterior y a ser posible con poca incidencia interna.

    El modelo deseado se puede ver, gráficamente, así (click para ampliar):

    Es muy importante que la red Honeynet comparta el mismo essid y el mismo channel de emisión. Es conveniente hacerlo así para que, desde dentro, al estar los honeypots emitiendo en el mismo channel a menor frecuencia, los clientes legítimos siempre conecten a los corporativos y a la inversa, las conexiones externas deben acabar siempre en los honeypots.

    Otro punto a destacar es que tanto si se emplea un servidor radius para validar las conexiones WPA o EAP-TLS, en la red HoneyPot debe haber una copia de la base de datos, ya que lo interesante es averiguar que cuenta / certificado digital ha sido comprometido para el acceso malintencionado.

    Una vez implementada la infraestructura, solo queda configurar la red Honeynet para que envíe información a un punto central donde se puedan diseñar alarmas en caso de que se produzca un login satisfactorio. Muchos servidores Radius permiten exportar vía syslog la información. En un próximo post recomendaré una estupenda herramienta para realizar correlaciones de este tipo.
    Leer más...