Ampliando el arsenal de ataque Wi-Fi

Ampliando el arsenal de
ataque Wi-Fi
www.layakk.com
@layakk
David Pérez
[email protected]
José Picó
[email protected]
Agenda
Introducción
 Herramientas











lk_wiclitatoo.py
lk_wifi_device_finder.py
lk_hostapd
lk_k2db.py
HW: Sonda Wi-Fi controlable remotamente
HW: Antentas robotizadas
lk_servo_system.py
lk_pantilt.py
lk_wifi_antenna_automatic_pointer
Conclusiones
2
Introducción
Contexto

Pruebas de intrusión WiFi

Tipo de prueba: “caja negra”

Prioridad: no ser detectados

Para el investigador surgen necesidades específicas a este
tipo de pruebas

Se hace necesario desarrollar herramientas ad-hoc que
cubran esas necesidades
4
Objetivo

Presentar y explicar las herramientas que hemos
desarrollado para cubrir algunas necesidades que nos han
surgido

Poner las herramientas a disposición de la comunidad, con
el fin de que sean útiles a otros investigadores:
http://www.layakk.com/es/lab.html
5
Visualización de dispositivos
cliente
lk_wiclitatoo.py
WIfi CLIent TArgetting TOOl
Visualización de clientes Wi-Fi
Detección de clientes

Probe Request

Petición enviada por el cliente preguntando por un ESSID concreto
o por cualquier ESSID.

Enviada en todos los canales, secuencialmente.

Los APs de las redes interrogadas responderán informando de sus
características.

No suelen suceder cuando el cliente ya está conectado a una red.
Probe Requests
Probe Response
7
Visualización de clientes Wi-Fi
Detección de clientes

Actividad

Tramas de datos, control, y gestión (aparte de probes).

Las direcciones MAC nunca van cifradas.
Tramas de datos/control/gestión
MAC
BSSID
8
Visualización de clientes Wi-Fi
lk_wiclitatoo.py



Herramienta escrita en Python
Muestra clientes de interés
Permite definir clientes de interés atendiendo a:

MAC, BSSID, ESSID

Interfaz de usuario: consola de texto

Disponible en:
http://www.layakk.com/es/lab.html
9
Visualización de clientes Wi-Fi
lk_wiclitatoo.py
>Demo_
10
Localización de puntos de
acceso
lk_wifi_device_finder.py
Localización de puntos de acceso


En ocasiones es necesario conocer la ubicación de un AP:

Para montar ataques contra el AP

Para escuchar tráfico de red desde la mejor ubicación posible

Para identificar dispositivos cliente conectados al AP
Tipo de herramienta más útil:

Interfaz de terminal  Controlable remotamente mediante
conexión 3G

Realimentación con sonido al usuario  Para no tener que mirar el
terminal y poder acercarnos al mismo sin llamar la atención
12
Localización de puntos de acceso
“beep”
“beep”
…
13
Localización de puntos de acceso
>Demo_
“beep”
“beep”
…
14
Punto de acceso falso con filtro
por fabricante
lk_hostapd
AP falso con filtro por fabricante
A veces, diferentes clientes responden de diferentes formas
Certificado
digital
falso
AP
falso
RADIUS
falso
(ej: freeradius-wpe)
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf
16
AP falso con filtro por fabricante
Característica deseada: filtrar por fabricante del cliente
Buenos días. Así que es
usted del fabricante X…
…pues me temo que voy
a tener que ignorarle
AP
falso
Certificado
digital
falso
freeradius-wpe
17
AP falso con filtro por fabricante
lk_hostapd

Parche para hostapd (*)

Añade funcionalidad de filtro por fabricante:
vendor_acl=0
# 0 = accept unless in deny list
# 1 = deny unless in accept list
vendor_to_mac_file=/usr/share/wireshark/manuf
accept_vendor_file=/etc/hostapd.vendor.accept
deny_vendor_file=/etc/hostapd.vendor.deny

Disponible en:
http://www.layakk.com/es/lab.html
(*) http://w1.fi/hostapd/
18
AP falso con filtro por fabricante
lk_hostapd
>Demo_
19
Creación de información de
inteligencia
lk_k2db.py
Identificación y correlación de dispositivos
cliente y APs.
Información de inteligencia WiFi
En el entorno de las instalaciones del objetivo…

Inventario detallado de APs:


Inventario detallado de clientes visibles:



ESSID, BSSID, Autenticación, cifrado, etc.
MAC, Redes a las que hace probe, fabricante, etc.
Relaciones interesantes:

Clientes que se conectan a las redes consideradas de interés 
ataques basados en suplantación de AP

Clientes que se conectan a las redes de interés pero que además se
conectan a otras redes ( públicas o personales )  ataques basados
en MiTM
Otros datos de interés: momento en el tiempo en el que se
ve el terminal (first_seen, last_seen), etc.
21
Información de inteligencia WiFi
¿De dónde obtener esta información?


kismet puede obtener esta información, pero…
Cuando tienes decenas de miles de APs y cientos de miles
de clientes no es manejable consultar la información
anterior: se necesita una herramienta que conteste a
cosas como:

¿Qué clientes se han conectado a alguna red de “el Objetivo”?

¿Qué clientes WiFi relacionados con “el Objetivo” se conectan a
otras redes?

¿Qué clientes se conectan a una red de “el Objetivo” protegida y
también a una desprotegida ?

¿Qué APs adicionales son candidatos a pertenecer a “el Objetivo”?

…
22
Información de inteligencia WiFi
Herramienta de extracción y análisis de información de
inteligencia WiFi
 Extracción de la información a partir de capturas Kismet
BBDD

Herramientas de consulta
a la BBDD para obtener la
información deseada
23
Información de inteligencia WiFi
24
Información de inteligencia WiFi
>Demo_
25
Sonda Wi-Fi controlable
remotamente
HW
Sonda Wi-Fi controlable remotamente
Según el entorno, puede resultar sospechoso:

Mirar una pantalla

NO mirar una pantalla

Teclear

NO teclear

Llevar auriculares puestos

NO llevar con auriculares puestos

Estar quieto mucho tiempo

NO estar quieto mucho tiempo
27
Sonda Wi-Fi controlable remotamente
Solución (parcial): equipo Wi-Fi con control remoto
VPN
3G
INTERNET
3G
VPN
SERVER
28
Sonda Wi-Fi controlable remotamente
Otro problema: maximizar el alcance

Para aumentar el alcance se puede:

Aumentar ganancia de la antena por directividad

Aumentar potencia de emisión

Aumentar sensibilidad de recepción
Tarjeta Wi-Fi
externa
Amplificador
bidireccional
Antena
directiva
29
Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: MOCHILA
30
Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: BOLSO DE VIAJE
31
Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: BOLSA DE MINIPORTÁTIL
32
Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: COCHE
33
Sonda Wi-Fi controlable remotamente
Y donde no se puede aparcar un coche… hay otras opciones:
34
Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: MALETA DE MOTO
35
Robotización de antenas
HW
lk_servo_system.py
lk_pantilt.py
Robotización de antena

En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)
37
Robotización de antena

En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)

Se hace necesario un sistema:

con capacidad para orientar la antena de forma remota

con un interfaz de terminal (conexión por 3G)

silencioso

fácilmente reconfigurable
38
Robotización de antena
PAN
TILT
39
Robotización de antena

Librería python

Configurable mediante
fichero JSON

configuración,
parametrización y calibración

Preparada para añadir
código para otros
servocontroladores

Utilidad de control de una
estación pan/tilt
40
Robotización de antena

Librería python

Configurable mediante
fichero JSON

configuración,
parametrización y calibración

Preparada para añadir
código para otros
servocontroladores

Utilidad de control de una
estación pan/tilt
>Demo_
41
Antena auto-orientable
lk_wifi_antenna_automatic_pointer
Antena auto-orientable a AP
43
Antena auto-orientable a AP
>Demo_
44
Conclusiones
Conclusiones

El hecho de que una herramienta no esté publicada no
significa que no exista o que no pueda fabricarse.
Cualquier herramienta que técnicamente es posible, debe
considerarse como existente en el arsenal de los atacantes

En muchas ocasiones, los ataques vía Wi-Fi siguen
suponiendo un punto de entrada “externo” viable a las
organizaciones

La seguridad de las redes Wi-Fi debe basarse en su
configuración, y no depender únicamente del área de
cobertura
46
Referencias


Referencias externas

https://www.kismetwireless.net/

http://www.secdev.org/projects/scapy/

http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2
008_Wright_Antoniewicz.pdf

http://w1.fi/hostapd/
Herramientas y documentación

http://www.layakk.com/es/lab.html

http://blog.layakk.com
47
Ampliando el arsenal de
ataque Wi-Fi
www.layakk.com
@layakk
David Pérez
[email protected]
José Picó
[email protected]