Ampliando el arsenal de ataque Wi-Fi - David Pérez
←
→
Transcripción del contenido de la página
Si su navegador no muestra la página correctamente, lea el contenido de la página a continuación
Ampliando el arsenal de
ataque Wi-Fi
www.layakk.com
@layakk
David Pérez david.perez@layakk.com
José Picó jose.pico@layakk.com
Agenda
Introducción
Herramientas
lk_wiclitatoo.py
lk_wifi_device_finder.py
lk_hostapd
lk_k2db.py
HW: Sonda Wi-Fi controlable remotamente
HW: Antentas robotizadas
lk_servo_system.py
lk_pantilt.py
lk_wifi_antenna_automatic_pointer
Conclusiones
2
Introducción
Contexto
Pruebas de intrusión WiFi
Tipo de prueba: “caja negra”
Prioridad: no ser detectados
Para el investigador surgen necesidades específicas a este
tipo de pruebas
Se hace necesario desarrollar herramientas ad-hoc que
cubran esas necesidades
4
Objetivo
Presentar y explicar las herramientas que hemos
desarrollado para cubrir algunas necesidades que nos han
surgido
Poner las herramientas a disposición de la comunidad, con
el fin de que sean útiles a otros investigadores:
http://www.layakk.com/es/lab.html
5
Visualización de dispositivos cliente lk_wiclitatoo.py WIfi CLIent TArgetting TOOl
Visualización de clientes Wi-Fi
Detección de clientes
Probe Request
Petición enviada por el cliente preguntando por un ESSID concreto
o por cualquier ESSID.
Enviada en todos los canales, secuencialmente.
Los APs de las redes interrogadas responderán informando de sus
características.
No suelen suceder cuando el cliente ya está conectado a una red.
Probe Requests
Probe Response
7
Visualización de clientes Wi-Fi
Detección de clientes
Actividad
Tramas de datos, control, y gestión (aparte de probes).
Las direcciones MAC nunca van cifradas.
Tramas de datos/control/gestión
MAC BSSID
8
Visualización de clientes Wi-Fi
lk_wiclitatoo.py
Herramienta escrita en Python
Muestra clientes de interés
Permite definir clientes de interés atendiendo a:
MAC, BSSID, ESSID
Interfaz de usuario: consola de texto
Disponible en:
http://www.layakk.com/es/lab.html
9
Visualización de clientes Wi-Fi
lk_wiclitatoo.py
>Demo_
10Localización de puntos de acceso lk_wifi_device_finder.py
Localización de puntos de acceso
En ocasiones es necesario conocer la ubicación de un AP:
Para montar ataques contra el AP
Para escuchar tráfico de red desde la mejor ubicación posible
Para identificar dispositivos cliente conectados al AP
Tipo de herramienta más útil:
Interfaz de terminal Controlable remotamente mediante
conexión 3G
Realimentación con sonido al usuario Para no tener que mirar el
terminal y poder acercarnos al mismo sin llamar la atención
12Localización de puntos de acceso
“beep”
“beep”
…
13Localización de puntos de acceso
“beep”
“beep”
>Demo_ …
14Punto de acceso falso con filtro por fabricante lk_hostapd
AP falso con filtro por fabricante
A veces, diferentes clientes responden de diferentes formas
Certificado
digital
falso
AP RADIUS
falso falso
(ej: freeradius-wpe)
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf
16AP falso con filtro por fabricante
Característica deseada: filtrar por fabricante del cliente
Buenos días. Así que es
usted del fabricante X…
…pues me temo que voy
Certificado
a tener que ignorarle digital
falso
AP freeradius-wpe
falso
17AP falso con filtro por fabricante
lk_hostapd
Parche para hostapd (*)
Añade funcionalidad de filtro por fabricante:
vendor_acl=0
# 0 = accept unless in deny list
# 1 = deny unless in accept list
vendor_to_mac_file=/usr/share/wireshark/manuf
accept_vendor_file=/etc/hostapd.vendor.accept
deny_vendor_file=/etc/hostapd.vendor.deny
Disponible en:
http://www.layakk.com/es/lab.html
(*) http://w1.fi/hostapd/
18AP falso con filtro por fabricante
lk_hostapd
>Demo_
19Creación de información de inteligencia lk_k2db.py Identificación y correlación de dispositivos cliente y APs.
Información de inteligencia WiFi
En el entorno de las instalaciones del objetivo…
Inventario detallado de APs:
ESSID, BSSID, Autenticación, cifrado, etc.
Inventario detallado de clientes visibles:
MAC, Redes a las que hace probe, fabricante, etc.
Relaciones interesantes:
Clientes que se conectan a las redes consideradas de interés
ataques basados en suplantación de AP
Clientes que se conectan a las redes de interés pero que además se
conectan a otras redes ( públicas o personales ) ataques basados
en MiTM
Otros datos de interés: momento en el tiempo en el que se
ve el terminal (first_seen, last_seen), etc.
21Información de inteligencia WiFi
¿De dónde obtener esta información?
kismet puede obtener esta información, pero…
Cuando tienes decenas de miles de APs y cientos de miles
de clientes no es manejable consultar la información
anterior: se necesita una herramienta que conteste a
cosas como:
¿Qué clientes se han conectado a alguna red de “el Objetivo”?
¿Qué clientes WiFi relacionados con “el Objetivo” se conectan a
otras redes?
¿Qué clientes se conectan a una red de “el Objetivo” protegida y
también a una desprotegida ?
¿Qué APs adicionales son candidatos a pertenecer a “el Objetivo”?
…
22Información de inteligencia WiFi
Herramienta de extracción y análisis de información de
inteligencia WiFi
Extracción de la información a partir de capturas Kismet
BBDD
Herramientas de consulta
a la BBDD para obtener la
información deseada
23Información de inteligencia WiFi
24Información de inteligencia WiFi
>Demo_
25Sonda Wi-Fi controlable remotamente HW
Sonda Wi-Fi controlable remotamente
Según el entorno, puede resultar sospechoso:
Mirar una pantalla
NO mirar una pantalla
Teclear
NO teclear
Llevar auriculares puestos
NO llevar con auriculares puestos
Estar quieto mucho tiempo
NO estar quieto mucho tiempo
27Sonda Wi-Fi controlable remotamente
Solución (parcial): equipo Wi-Fi con control remoto
VPN
3G
INTERNET
3G
VPN
SERVER
28Sonda Wi-Fi controlable remotamente
Otro problema: maximizar el alcance
Para aumentar el alcance se puede:
Aumentar ganancia de la antena por directividad
Aumentar potencia de emisión
Aumentar sensibilidad de recepción
Tarjeta Wi-Fi Amplificador Antena
externa bidireccional directiva
29Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: MOCHILA
30Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: BOLSO DE VIAJE
31Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: BOLSA DE MINIPORTÁTIL
32Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: COCHE
33Sonda Wi-Fi controlable remotamente
Y donde no se puede aparcar un coche… hay otras opciones:
34Sonda Wi-Fi controlable remotamente
Camuflaje de la sonda: MALETA DE MOTO
35Robotización de antenas HW lk_servo_system.py lk_pantilt.py
Robotización de antena
En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)
37Robotización de antena
En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)
Se hace necesario un sistema:
con capacidad para orientar la antena de forma remota
con un interfaz de terminal (conexión por 3G)
silencioso
fácilmente reconfigurable
38Robotización de antena
PAN
TILT
39Robotización de antena
Librería python
Configurable mediante
fichero JSON
configuración,
parametrización y calibración
Preparada para añadir
código para otros
servocontroladores
Utilidad de control de una
estación pan/tilt
40Robotización de antena
Librería python
Configurable mediante
fichero JSON
configuración,
>Demo_
parametrización y calibración
Preparada para añadir
código para otros
servocontroladores
Utilidad de control de una
estación pan/tilt
41Antena auto-orientable lk_wifi_antenna_automatic_pointer
Antena auto-orientable a AP
43Antena auto-orientable a AP
>Demo_
44Conclusiones
Conclusiones
El hecho de que una herramienta no esté publicada no
significa que no exista o que no pueda fabricarse.
Cualquier herramienta que técnicamente es posible, debe
considerarse como existente en el arsenal de los atacantes
En muchas ocasiones, los ataques vía Wi-Fi siguen
suponiendo un punto de entrada “externo” viable a las
organizaciones
La seguridad de las redes Wi-Fi debe basarse en su
configuración, y no depender únicamente del área de
cobertura
46Referencias
Referencias externas
https://www.kismetwireless.net/
http://www.secdev.org/projects/scapy/
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2
008_Wright_Antoniewicz.pdf
http://w1.fi/hostapd/
Herramientas y documentación
http://www.layakk.com/es/lab.html
http://blog.layakk.com
47Ampliando el arsenal de
ataque Wi-Fi
www.layakk.com
@layakk
David Pérez david.perez@layakk.com
José Picó jose.pico@layakk.comTambién puede leer
