Ampliando el arsenal de ataque Wi-Fi www.layakk.com @layakk David Pérez [email protected] José Picó [email protected] Agenda Introducción Herramientas lk_wiclitatoo.py lk_wifi_device_finder.py lk_hostapd lk_k2db.py HW: Sonda Wi-Fi controlable remotamente HW: Antentas robotizadas lk_servo_system.py lk_pantilt.py lk_wifi_antenna_automatic_pointer Conclusiones 2 Introducción Contexto Pruebas de intrusión WiFi Tipo de prueba: “caja negra” Prioridad: no ser detectados Para el investigador surgen necesidades específicas a este tipo de pruebas Se hace necesario desarrollar herramientas ad-hoc que cubran esas necesidades 4 Objetivo Presentar y explicar las herramientas que hemos desarrollado para cubrir algunas necesidades que nos han surgido Poner las herramientas a disposición de la comunidad, con el fin de que sean útiles a otros investigadores: http://www.layakk.com/es/lab.html 5 Visualización de dispositivos cliente lk_wiclitatoo.py WIfi CLIent TArgetting TOOl Visualización de clientes Wi-Fi Detección de clientes Probe Request Petición enviada por el cliente preguntando por un ESSID concreto o por cualquier ESSID. Enviada en todos los canales, secuencialmente. Los APs de las redes interrogadas responderán informando de sus características. No suelen suceder cuando el cliente ya está conectado a una red. Probe Requests Probe Response 7 Visualización de clientes Wi-Fi Detección de clientes Actividad Tramas de datos, control, y gestión (aparte de probes). Las direcciones MAC nunca van cifradas. Tramas de datos/control/gestión MAC BSSID 8 Visualización de clientes Wi-Fi lk_wiclitatoo.py Herramienta escrita en Python Muestra clientes de interés Permite definir clientes de interés atendiendo a: MAC, BSSID, ESSID Interfaz de usuario: consola de texto Disponible en: http://www.layakk.com/es/lab.html 9 Visualización de clientes Wi-Fi lk_wiclitatoo.py >Demo_ 10 Localización de puntos de acceso lk_wifi_device_finder.py Localización de puntos de acceso En ocasiones es necesario conocer la ubicación de un AP: Para montar ataques contra el AP Para escuchar tráfico de red desde la mejor ubicación posible Para identificar dispositivos cliente conectados al AP Tipo de herramienta más útil: Interfaz de terminal Controlable remotamente mediante conexión 3G Realimentación con sonido al usuario Para no tener que mirar el terminal y poder acercarnos al mismo sin llamar la atención 12 Localización de puntos de acceso “beep” “beep” … 13 Localización de puntos de acceso >Demo_ “beep” “beep” … 14 Punto de acceso falso con filtro por fabricante lk_hostapd AP falso con filtro por fabricante A veces, diferentes clientes responden de diferentes formas Certificado digital falso AP falso RADIUS falso (ej: freeradius-wpe) http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf 16 AP falso con filtro por fabricante Característica deseada: filtrar por fabricante del cliente Buenos días. Así que es usted del fabricante X… …pues me temo que voy a tener que ignorarle AP falso Certificado digital falso freeradius-wpe 17 AP falso con filtro por fabricante lk_hostapd Parche para hostapd (*) Añade funcionalidad de filtro por fabricante: vendor_acl=0 # 0 = accept unless in deny list # 1 = deny unless in accept list vendor_to_mac_file=/usr/share/wireshark/manuf accept_vendor_file=/etc/hostapd.vendor.accept deny_vendor_file=/etc/hostapd.vendor.deny Disponible en: http://www.layakk.com/es/lab.html (*) http://w1.fi/hostapd/ 18 AP falso con filtro por fabricante lk_hostapd >Demo_ 19 Creación de información de inteligencia lk_k2db.py Identificación y correlación de dispositivos cliente y APs. Información de inteligencia WiFi En el entorno de las instalaciones del objetivo… Inventario detallado de APs: Inventario detallado de clientes visibles: ESSID, BSSID, Autenticación, cifrado, etc. MAC, Redes a las que hace probe, fabricante, etc. Relaciones interesantes: Clientes que se conectan a las redes consideradas de interés ataques basados en suplantación de AP Clientes que se conectan a las redes de interés pero que además se conectan a otras redes ( públicas o personales ) ataques basados en MiTM Otros datos de interés: momento en el tiempo en el que se ve el terminal (first_seen, last_seen), etc. 21 Información de inteligencia WiFi ¿De dónde obtener esta información? kismet puede obtener esta información, pero… Cuando tienes decenas de miles de APs y cientos de miles de clientes no es manejable consultar la información anterior: se necesita una herramienta que conteste a cosas como: ¿Qué clientes se han conectado a alguna red de “el Objetivo”? ¿Qué clientes WiFi relacionados con “el Objetivo” se conectan a otras redes? ¿Qué clientes se conectan a una red de “el Objetivo” protegida y también a una desprotegida ? ¿Qué APs adicionales son candidatos a pertenecer a “el Objetivo”? … 22 Información de inteligencia WiFi Herramienta de extracción y análisis de información de inteligencia WiFi Extracción de la información a partir de capturas Kismet BBDD Herramientas de consulta a la BBDD para obtener la información deseada 23 Información de inteligencia WiFi 24 Información de inteligencia WiFi >Demo_ 25 Sonda Wi-Fi controlable remotamente HW Sonda Wi-Fi controlable remotamente Según el entorno, puede resultar sospechoso: Mirar una pantalla NO mirar una pantalla Teclear NO teclear Llevar auriculares puestos NO llevar con auriculares puestos Estar quieto mucho tiempo NO estar quieto mucho tiempo 27 Sonda Wi-Fi controlable remotamente Solución (parcial): equipo Wi-Fi con control remoto VPN 3G INTERNET 3G VPN SERVER 28 Sonda Wi-Fi controlable remotamente Otro problema: maximizar el alcance Para aumentar el alcance se puede: Aumentar ganancia de la antena por directividad Aumentar potencia de emisión Aumentar sensibilidad de recepción Tarjeta Wi-Fi externa Amplificador bidireccional Antena directiva 29 Sonda Wi-Fi controlable remotamente Camuflaje de la sonda: MOCHILA 30 Sonda Wi-Fi controlable remotamente Camuflaje de la sonda: BOLSO DE VIAJE 31 Sonda Wi-Fi controlable remotamente Camuflaje de la sonda: BOLSA DE MINIPORTÁTIL 32 Sonda Wi-Fi controlable remotamente Camuflaje de la sonda: COCHE 33 Sonda Wi-Fi controlable remotamente Y donde no se puede aparcar un coche… hay otras opciones: 34 Sonda Wi-Fi controlable remotamente Camuflaje de la sonda: MALETA DE MOTO 35 Robotización de antenas HW lk_servo_system.py lk_pantilt.py Robotización de antena En entornos donde es necesario orientar una antena direccional para obtener el mejor nivel de señal posible, pero en los que se pretende no ser detectados, no es viable realizar manipulación manual (es muy sospechoso) 37 Robotización de antena En entornos donde es necesario orientar una antena direccional para obtener el mejor nivel de señal posible, pero en los que se pretende no ser detectados, no es viable realizar manipulación manual (es muy sospechoso) Se hace necesario un sistema: con capacidad para orientar la antena de forma remota con un interfaz de terminal (conexión por 3G) silencioso fácilmente reconfigurable 38 Robotización de antena PAN TILT 39 Robotización de antena Librería python Configurable mediante fichero JSON configuración, parametrización y calibración Preparada para añadir código para otros servocontroladores Utilidad de control de una estación pan/tilt 40 Robotización de antena Librería python Configurable mediante fichero JSON configuración, parametrización y calibración Preparada para añadir código para otros servocontroladores Utilidad de control de una estación pan/tilt >Demo_ 41 Antena auto-orientable lk_wifi_antenna_automatic_pointer Antena auto-orientable a AP 43 Antena auto-orientable a AP >Demo_ 44 Conclusiones Conclusiones El hecho de que una herramienta no esté publicada no significa que no exista o que no pueda fabricarse. Cualquier herramienta que técnicamente es posible, debe considerarse como existente en el arsenal de los atacantes En muchas ocasiones, los ataques vía Wi-Fi siguen suponiendo un punto de entrada “externo” viable a las organizaciones La seguridad de las redes Wi-Fi debe basarse en su configuración, y no depender únicamente del área de cobertura 46 Referencias Referencias externas https://www.kismetwireless.net/ http://www.secdev.org/projects/scapy/ http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2 008_Wright_Antoniewicz.pdf http://w1.fi/hostapd/ Herramientas y documentación http://www.layakk.com/es/lab.html http://blog.layakk.com 47 Ampliando el arsenal de ataque Wi-Fi www.layakk.com @layakk David Pérez [email protected] José Picó [email protected]
© Copyright 2024