Ataque: Robo de servicio y uso no autorizado.
Contramedida: Deteccion del equipo con menos de un metro de falla.
Las conexiones inalambricas estan tomando mas fuerza esto debido a muchos factores uno de los principales desde mi punto de vista es el bajo coste de los equipos portatiles que se pueden conseguir desde los 250$ y un AP o RT desde los 25$ (Dolares), sin mencionar que es mejor tener la libertad de moverse sin liarse con los cables.
Cuando alguien nuevo en el area adquiere un AccessPoint o un Enrutador lo que hace es dejar la configuracion por defecto lo que conlleva a una mala practica en seguridad, esto puede provocar que un atacante o intruso pueda tener acceso a la red, esto les pasa tambien a las personas que establecen una proteccion basada en WEP o WPA siendo esta ultima un poco mas complicada para el atacante pero no imposible de burlar.
De que trata esto?, pues bueno en el mundo real ingresar a una red sin autorizacion puede significar la carcel, pero quien meteria a la carcel a una persona que solo ingreso a la red, pues estan los bancos, las empresas, las universidades y un monton de entidades, y muchas veces los administradores de sistemas no pueden hacer mucho sobre el tema, mucho menos tomar cartas en el asunto sin invertir tiempo y lo que inicio como una intrusion en la red se refleja en el costo de adquisicion de equipos nuevos como un proxy un IDS, etc. Bueno y si no es el caso a quien le gusta que le roben la conexion a internet?.
Antes de inciar se deberia de tener esto en cuenta, la forma en la que un atacante ingresa a una red WiFi sigue los mismos pasos al menos los que piensan un poco las cosas harian lo siguiente:
1.- Detectar las redes objetivo.
2.- Detectar las estaciones asociadas y determinar el nivel de proteccion del objetivo.
3.- Poner en modo monitor su tarjeta Wireless.
4.- Auditar la red y generar trafico de respuesta.
5.- Generar/Adquirir el passwd.
6.- Puede variar pero lo que se hace es mapear la red.
Una vez que el atacante logro ingresar a nuestra red puede ver todo el trafico que generamos y obtener contraseñas de sitios a los que ingresamos como hotmail, gmail, youtube, etc. Todo esto lo hace usando algun tipo de sniffer y es muy dificil detectar si uno esta siendo atacado ya que todas estas cosas suceden en silencio, los antivirus mas actualizados no pueden advertir sobre esto ya que todo lo que se hace es fuera de la PC y no dentro.
NOTA.- No estoy familiarizado con entornos Windows, todo lo que se muestra a continuacion esta realizdo usando GNU/Linux ya que facilita mucho estas tareas, de todas formas estimo que se puede hacer lo mismo en Windows ya que existen los mismos programas que utilizare.
PASO 1.- Si tienes aircrack-ng actuliza a la version mas actual en este momento es la 1.1 si no fuese asi debes instalar el paquete aircrack-ng que esta en la mayoria de los repositorios de cualquier distribucion una vez mas si no fuese asi descarga de la pagina http://www.aircrack-ng.org y sigue las instrucciones para su instalacion.
PASO 2.- Si tienes instalada tu tarjeta Wireless asegurate que puedes colocarla en modo monitor, si no la tienes instalada este comando te servira de mucho:
$izero:> lspci -mm|grep -i net
01:00.0 "Network controller" "Broadcom Corporation" "BCM4312 802.11b/g LP-PHY" -r01 "Foxconn International, Inc." "Device e01b"
03:00.0 "Ethernet controller" "Atheros Communications" "AR8132 Fast Ethernet" -rc0 "Acer Incorporated [ALI]" "Device 022f"
Como se puede ver poseo la tarjeta Broadcom BCM4312 esta tarjeta daba muchos problemas hasta hace unos meses pero ahora ya todo funciona muy bien y puede colocarse en modo monitor, con esa informacion puedes descargar el driver e instalar segun tu distribucion.
para poder colocar en modo monitor simplemente se ejecuta el comando:
$izero:> airmon-ng start wlan0 (o la interfaz que te corresponda, para ver usa el comando ifconfig)
Este paso crea/inicia la interfaz en modo monitor que permite auditar la red en mi caso crea una nueva interfaz:
mon0 Link encap:UNSPEC HWaddr 0C-60-76-3F-27-00-30-30-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)
PASO 3.- Inciar la auditoria de la red usando:
$izero:> airodump-ng mon0 (o la interfaz que te corresponda, para ver usa el comando ifconfig)
Este comando muestra una tabla que se actualiza constantemente los datos mas importantes son BSSID, STATION, PWR, Probes, como se muestra a continuacion:
Como se puede ver la tabla esta vacia, esta se llenara a medida que se detecten las estaciones y las redes.
Como se puede ver existe la red izero-local y 2 estaciones que no estan asociadas con ningun BSSID aqui es muy importante determinar cual es nuestra direccion MAC y el valor de PWR, si PWR tiende a cero la computadora esta mas cerca y si se aleja de cero esta mas lejos simple verdad, en este caso no me conecto a mi red y espero a ver las asociaciones, con la practica solo con ver la tabla se pueden solucionar muchas cosas.
Como se puede ver ya tenemos al atacante asociado a nuestra red teniendo en cuenta que es la unica persona no autorizada con un valor de PWR= 5 eso quiere decir que esta cerca, lo que se debe hacer en este paso es registrar todos los datos posibles llamar a la policia y ya sea con ellos o sin ellos hacer un seguimiento, esta parte es un poco incomoda pero pueden detectar al intruso o atacante con un rango de error de 1 metro, me movere con el fin de que el valor de PWR sea mas cercano a cero, se puede ver el indicador de PWR=5 lo suficiente para ver a la persona, el resto ya es cosa suya lo denuncian, lo ablandan a golpes, etc.
PASO 5.- Este paso es opcional, una vez que tengamos la direccion MAC nos conectamos a nuestra red y hacemos un mapeo de la red este mapeo nos dara todas las IP's accesibles una vez que tengamos asociada la direccion IP del atacante con la direccion MAC que le corresponde nuevamente hacemos un mapeo para determinar los puertos que tiene abiertos, el sistema operativo, se pueden hacer muchas cosas mas que explicare a detalle pronto.
Aqui el video de todo el proceso que realice con equipos en mi casa, el vídeo no esta comentado, su único objetivo es proporcionar una prueba real del procedimiento.
En casos legales toda esta informacion puede ser usada como prueba muchas de estas personas roban servicio para ingresar a paginas para adultos, cometer delitos informaticos y al final la persona que tiene que cargar con todo eso es el propietario de la red, si se toman medidas legales se debe tener cuidado en el manejo de la evidencia, muchas veces puede ser invalidada es mejor grabarla en video asi se aumenta el valor de la evidencia y se minimiza el riesgo de modificacion condicionada.
No hay comentarios:
Publicar un comentario