Ampliando el arsenal de ataque Wi-Fi - layakk.comlayakk.com/docs/LAYAKK- SECADMIN2015.pdf · –Las direcciones MAC nunca van cifradas. Detección de clientes Visualización de clientes

www.secadmin.es#secadmin2015 Security Conference 2015

Ampliando el arsenal de ataque Wi-Fi


David Pérez [email protected]

José Picó [email protected]

www.layakk.com@layakk


Agenda

• Introducción• Herramientas

– lk_wiclitatoo.py– lk_wifi_device_finder.py– lk_hostapd– lk_k2db.py– HW: Sonda Wi-Fi controlable remotamente– HW: Antentas robotizadas– lk_servo_system.py– lk_pantilt.py– lk_wifi_antenna_automatic_pointer

• Conclusiones


INTRODUCCIÓN


Contexto

• Pruebas de intrusión WiFi

– Tipo de prueba: “caja negra”

– Prioridad: no ser detectados

• Para el investigador surgen necesidades específicas a este tipo de pruebas

• Se hace necesario desarrollar herramientas ad-hoc que cubran esas necesidades


Objetivo

• Presentar y explicar las herramientas que hemos desarrollado para cubrir algunas necesidades que nos han surgido

• Poner las herramientas a disposición de la comunidad, con el fin de que sean útiles a otros investigadores:

http://www.layakk.com/es/lab.html


VISUALIZACIÓN DE DISPOSITIVOS CLIENTE

lk_wiclitatoo.py – Wifi CLIent Targetting TOOl


• Probe Request– Petición enviada por el cliente preguntando por un ESSID

concreto o por cualquier ESSID.– Enviada en todos los canales, secuencialmente.– Los APs de las redes interrogadas responderán informando de

sus características.– No suelen suceder cuando el cliente ya está conectado a una

red.

Detección de clientesVisualización de clientes Wi-Fi

Probe Requests

Probe Response


• Actividad

– Tramas de datos, control, y gestión (aparte de probes).

– Las direcciones MAC nunca van cifradas.

Detección de clientes

Visualización de clientes Wi-Fi

Tramas de datos/control/gestión

BSSIDMAC


• Herramienta escrita en Python• Muestra clientes de interés• Permite definir clientes de interés atendiendo a:

– MAC, BSSID, ESSID

• Interfaz de usuario: consola de texto

– Disponible en:http://www.layakk.com/es/lab.html

lk_wiclitatoo.py




>Demo_

lk_wiclitatoo.py


LOCALIZACIÓN DE PUNTOS DE ACCESO

lk_wifi_device_finder.py


Localización de puntos de acceso

• En ocasiones es necesario conocer la ubicación de un AP:– Para montar ataques contra el AP

– Para escuchar tráfico de red desde la mejor ubicación posible

– Para identificar dispositivos cliente conectados al AP

• Tipo de herramienta más útil:– Interfaz de terminal Controlable remotamente mediante

conexión 3G

– Realimentación con sonido al usuario Para no tener que mirar el terminal y poder acercarnos al mismo sin llamar la atención



“beep”“beep”…



“beep”“beep”…>Demo_


PUNTO DE ACCESO FALSO CON FILTRO POR FABRICANTE

lk_hostapd


A veces, diferentes clientes responden de diferentes formas

AP falso con filtro por fabricante

http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf

APfalso

RADIUSfalso

(ej: freeradius-wpe)

Certificadodigitalfalso


Característica deseada: filtrar por fabricante del cliente


APfalso

freeradius-wpe

Certificadodigitalfalso

Buenos días. Así que es usted del fabricante X…

…pues me temo que voy a tener que ignorarle


• Parche para hostapd (*)

• Añade funcionalidad de filtro por fabricante:vendor_acl=0

# 0 = accept unless in deny list

# 1 = deny unless in accept list

vendor_to_mac_file=/usr/share/wireshark/manuf

accept_vendor_file=/etc/hostapd.vendor.accept

deny_vendor_file=/etc/hostapd.vendor.deny

• Disponible en:http://www.layakk.com/es/lab.html

lk_hostapd


(*) http://w1.fi/hostapd/



>Demo_

lk_hostapd


CREACIÓN DE INFORMACIÓN DE INTELIGENCIA

lk_k2db.py – Identificación y correlación de dipositivos cliente y APs


• Inventario detallado de APs:– ESSID, BSSID, Autenticación, cifrado, etc.

• Inventario detallado de clientes visibles:– MAC, Redes a las que hace probe, fabricante, etc.

• Relaciones interesantes:– Clientes que se conectan a las redes consideradas de interés ataques basados en suplantación de AP

– Clientes que se conectan a las redes de interés pero que además se conectan a otras redes ( públicas o personales ) ataques basados en MiTM

• Otros datos de interés: momento en el tiempo en el que se ve el terminal (first_seen, last_seen), etc.

En el entorno de las instalaciones del objetivo…

Información de inteligencia WiFi


• kismet puede obtener esta información, pero…• Cuando tienes decenas de miles de APs y cientos de miles

de clientes no es manejable consultar la información anterior: se necesita una herramienta que conteste a cosas como:– ¿Qué clientes se han conectado a alguna red de “el Objetivo”?– ¿Qué clientes WiFi relacionados con “el Objetivo” se conectan

a otras redes?– ¿Qué clientes se conectan a una red de “el Objetivo”

protegida y también a una desprotegida ?– ¿Qué APs adicionales son candidatos a pertenecer a “el

Objetivo”?– …

¿De dónde obtener esta información?



• Extracción de la información a partir de capturas Kismet

Herramienta de extracción y análisis de información de inteligencia WiFi


BBDD

• Herramientas de consulta a la BBDD para obtener la información deseada





>Demo_


SONDA WI-FI CONTROLABLE REMOTAMENTE

HW


• Mirar una pantalla

• NO mirar una pantalla

• Teclear

• NO teclear

• Llevar auriculares puestos

• NO llevar con auriculares puestos

• Estar quieto mucho tiempo

• NO estar quieto mucho tiempo

Según el entorno, puede resultar sospechoso:

Sonda Wi-Fi controlable remotamente


Solución (parcial): equipo Wi-Fi con control remoto


INTERNET

3G

3G

VPN SERVER

VPN


• Para aumentar el alcance se puede:

– Aumentar ganancia de la antena por directividad

– Aumentar potencia de emisión

– Aumentar sensibilidad de recepción

Otro problema: maximizar el alcance


Tarjeta Wi-Fiexterna

Amplificadorbidireccional

Antenadirectiva


Camuflaje de la sonda: MOCHILA



Camuflaje de la sonda: BOLSO DE VIAJE



Camuflaje de la sonda: BOLSA DE MINIPORTÁTIL



Camuflaje de la sonda: COCHE



Y donde no se puede aparcar un coche…

Sonda Wi-Fi controlable remotamentehay otras opciones:


Camuflaje de la sonda: MALETA DE MOTO



ROBOTIZACIÓN DE ANTENAS

HW

lk_servo_system.py

lk_pantilt.py


Robotización de antena• En entornos donde es necesario orientar una antena

direccional para obtener el mejor nivel de señal posible, pero en los que se pretende no ser detectados, no es viable realizar manipulación manual (es muy sospechoso)


Robotización de antena• En entornos donde es necesario orientar una antena

direccional para obtener el mejor nivel de señal posible, pero en los que se pretende no ser detectados, no es viable realizar manipulación manual (es muy sospechoso)

• Se hace necesario un sistema:– con capacidad para orientar la antena de forma

remota– con un interfaz de terminal (conexión por 3G)– silencioso– fácilmente reconfigurable


Robotización de antena

PAN

TILT


• Librería python• Configurable mediante

fichero JSON– configuración,

parametrización y calibración

• Preparada para añadir código para otros servocontroladores

• Utilidad de control de una estación pan/tilt



>Demo_

• Librería python• Configurable mediante

fichero JSON– configuración,

parametrización y calibración

• Preparada para añadir código para otros servocontroladores

• Utilidad de control de una estación pan/tilt



ANTENA AUTO-ORIENTABLElk_wifi_beam_finder.py


Antena auto-orientable a AP


Antena auto-orientable a AP

>Demo_


CONCLUSIONES


Conclusiones• El hecho de que una herramienta no esté publicada no

significa que no exista o que no pueda fabricarse. Cualquier herramienta que técnicamente es posible, debe considerarse como existente en el arsenal de los atacantes

• En muchas ocasiones, los ataques vía Wi-Fi siguen suponiendo un punto de entrada “externo” viable a las organizaciones

• La seguridad de las redes Wi-Fi debe basarse en su configuración, y no depender únicamente del área de cobertura


Referencias

• Referencias externas

– https://www.kismetwireless.net/

– http://www.secdev.org/projects/scapy/

– http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf

– http://w1.fi/hostapd/

• Herramientas y documentación

– http://www.layakk.com/es/lab.html

– http://blog.layakk.com

https://www.kismetwireless.net/

http://www.secdev.org/projects/scapy/

http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf

http://w1.fi/hostapd/

http://www.layakk.com/es/lab.html

http://blog.layakk.com/


Ampliando el arsenal de ataque Wi-Fi


David Pérez [email protected]

José Picó [email protected]

www.layakk.com@layakk

Documents

Ampliando el arsenal de ataque Wi-Fi - layakk.comlayakk.com/docs/LAYAKK- SECADMIN2015.pdf · –Las direcciones MAC nunca van cifradas. Detección de clientes Visualización de clientes