ampliando el arsenal de ataque wi-fi
TRANSCRIPT
![Page 1: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/1.jpg)
Ampliando el arsenal de ataque Wi-Fi
David Pérez [email protected]
José Picó [email protected]
www.layakk.com
@layakk
![Page 2: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/2.jpg)
2
Agenda
Introducción
Herramientas
lk_wiclitatoo.py
lk_wifi_device_finder.py
lk_hostapd
lk_k2db.py
HW: Sonda Wi-Fi controlable remotamente
HW: Antentas robotizadas
lk_servo_system.py
lk_pantilt.py
lk_wifi_antenna_automatic_pointer
Conclusiones
![Page 3: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/3.jpg)
Introducción
![Page 4: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/4.jpg)
4
Contexto
Pruebas de intrusión WiFi
Tipo de prueba: “caja negra”
Prioridad: no ser detectados
Para el investigador surgen necesidades específicas a este
tipo de pruebas
Se hace necesario desarrollar herramientas ad-hoc que
cubran esas necesidades
![Page 5: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/5.jpg)
5
Objetivo
Presentar y explicar las herramientas que hemos
desarrollado para cubrir algunas necesidades que nos han
surgido
Poner las herramientas a disposición de la comunidad, con
el fin de que sean útiles a otros investigadores:
http://www.layakk.com/es/lab.html
![Page 6: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/6.jpg)
Visualización de dispositivos
cliente
lk_wiclitatoo.py
WIfi CLIent TArgetting TOOl
![Page 7: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/7.jpg)
7
Probe Request
Petición enviada por el cliente preguntando por un ESSID concreto
o por cualquier ESSID.
Enviada en todos los canales, secuencialmente.
Los APs de las redes interrogadas responderán informando de sus
características.
No suelen suceder cuando el cliente ya está conectado a una red.
Detección de clientes
Visualización de clientes Wi-Fi
Probe Requests
Probe Response
![Page 8: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/8.jpg)
8
Actividad
Tramas de datos, control, y gestión (aparte de probes).
Las direcciones MAC nunca van cifradas.
Detección de clientes
Visualización de clientes Wi-Fi
Tramas de datos/control/gestión
BSSIDMAC
![Page 9: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/9.jpg)
9
Herramienta escrita en Python
Muestra clientes de interés
Permite definir clientes de interés atendiendo a:
MAC, BSSID, ESSID
Interfaz de usuario: consola de texto
Disponible en:
http://www.layakk.com/es/lab.html
lk_wiclitatoo.py
Visualización de clientes Wi-Fi
![Page 10: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/10.jpg)
10
Visualización de clientes Wi-Fi
>Demo_
lk_wiclitatoo.py
![Page 11: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/11.jpg)
Localización de puntos de
acceso
lk_wifi_device_finder.py
![Page 12: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/12.jpg)
12
Localización de puntos de acceso
En ocasiones es necesario conocer la ubicación de un AP:
Para montar ataques contra el AP
Para escuchar tráfico de red desde la mejor ubicación posible
Para identificar dispositivos cliente conectados al AP
Tipo de herramienta más útil:
Interfaz de terminal Controlable remotamente mediante
conexión 3G
Realimentación con sonido al usuario Para no tener que mirar el
terminal y poder acercarnos al mismo sin llamar la atención
![Page 13: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/13.jpg)
13
Localización de puntos de acceso
“beep”
“beep”
…
![Page 14: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/14.jpg)
14
Localización de puntos de acceso
“beep”
“beep”
…>Demo_
![Page 15: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/15.jpg)
Punto de acceso falso con filtro
por fabricante
lk_hostapd
![Page 16: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/16.jpg)
16
A veces, diferentes clientes responden de diferentes formas
AP falso con filtro por fabricante
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf
AP
falso
RADIUS
falso
(ej: freeradius-wpe)
Certificado
digital
falso
![Page 17: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/17.jpg)
17
Característica deseada: filtrar por fabricante del cliente
AP falso con filtro por fabricante
AP
falso
freeradius-wpe
Certificado
digital
falso
Buenos días. Así que es
usted del fabricante X…
…pues me temo que voy
a tener que ignorarle
![Page 18: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/18.jpg)
18
Parche para hostapd (*)
Añade funcionalidad de filtro por fabricante:
vendor_acl=0
# 0 = accept unless in deny list
# 1 = deny unless in accept list
vendor_to_mac_file=/usr/share/wireshark/manuf
accept_vendor_file=/etc/hostapd.vendor.accept
deny_vendor_file=/etc/hostapd.vendor.deny
Disponible en:
http://www.layakk.com/es/lab.html
lk_hostapd
AP falso con filtro por fabricante
(*) http://w1.fi/hostapd/
![Page 19: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/19.jpg)
19
AP falso con filtro por fabricante
>Demo_
lk_hostapd
![Page 20: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/20.jpg)
Creación de información de
inteligencia
lk_k2db.py
Identificación y correlación de dispositivos
cliente y APs.
![Page 21: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/21.jpg)
21
Inventario detallado de APs:
ESSID, BSSID, Autenticación, cifrado, etc.
Inventario detallado de clientes visibles:
MAC, Redes a las que hace probe, fabricante, etc.
Relaciones interesantes:
Clientes que se conectan a las redes consideradas de interés ataques basados en suplantación de AP
Clientes que se conectan a las redes de interés pero que además se conectan a otras redes ( públicas o personales ) ataques basados en MiTM
Otros datos de interés: momento en el tiempo en el que se ve el terminal (first_seen, last_seen), etc.
En el entorno de las instalaciones del objetivo…
Información de inteligencia WiFi
![Page 22: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/22.jpg)
22
kismet puede obtener esta información, pero…
Cuando tienes decenas de miles de APs y cientos de miles de clientes no es manejable consultar la información anterior: se necesita una herramienta que conteste a cosas como:
¿Qué clientes se han conectado a alguna red de “el Objetivo”?
¿Qué clientes WiFi relacionados con “el Objetivo” se conectan a otras redes?
¿Qué clientes se conectan a una red de “el Objetivo” protegida y también a una desprotegida ?
¿Qué APs adicionales son candidatos a pertenecer a “el Objetivo”?
…
¿De dónde obtener esta información?
Información de inteligencia WiFi
![Page 23: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/23.jpg)
23
Extracción de la información a partir de capturas Kismet
Herramienta de extracción y análisis de información de
inteligencia WiFi
Información de inteligencia WiFi
BBDD
Herramientas de consulta
a la BBDD para obtener la
información deseada
![Page 24: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/24.jpg)
24
Información de inteligencia WiFi
![Page 25: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/25.jpg)
25
Información de inteligencia WiFi
>Demo_
![Page 26: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/26.jpg)
Sonda Wi-Fi controlable
remotamente
HW
![Page 27: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/27.jpg)
27
Mirar una pantalla
NO mirar una pantalla
Teclear
NO teclear
Llevar auriculares puestos
NO llevar con auriculares puestos
Estar quieto mucho tiempo
NO estar quieto mucho tiempo
Según el entorno, puede resultar sospechoso:
Sonda Wi-Fi controlable remotamente
![Page 28: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/28.jpg)
28
Solución (parcial): equipo Wi-Fi con control remoto
Sonda Wi-Fi controlable remotamente
INTERNET
3G
3G
VPN
SERVER
VPN
![Page 29: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/29.jpg)
29
Para aumentar el alcance se puede:
Aumentar ganancia de la antena por directividad
Aumentar potencia de emisión
Aumentar sensibilidad de recepción
Otro problema: maximizar el alcance
Sonda Wi-Fi controlable remotamente
Tarjeta Wi-Fi
externa
Amplificador
bidireccional
Antena
directiva
![Page 30: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/30.jpg)
30
Camuflaje de la sonda: MOCHILA
Sonda Wi-Fi controlable remotamente
![Page 31: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/31.jpg)
31
Camuflaje de la sonda: BOLSO DE VIAJE
Sonda Wi-Fi controlable remotamente
![Page 32: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/32.jpg)
32
Camuflaje de la sonda: BOLSA DE MINIPORTÁTIL
Sonda Wi-Fi controlable remotamente
![Page 33: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/33.jpg)
33
Camuflaje de la sonda: COCHE
Sonda Wi-Fi controlable remotamente
![Page 34: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/34.jpg)
34
Y donde no se puede aparcar un coche…
Sonda Wi-Fi controlable remotamentehay otras opciones:
![Page 35: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/35.jpg)
35
Camuflaje de la sonda: MALETA DE MOTO
Sonda Wi-Fi controlable remotamente
![Page 36: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/36.jpg)
Robotización de antenas
HW
lk_servo_system.py
lk_pantilt.py
![Page 37: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/37.jpg)
37
Robotización de antena En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)
![Page 38: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/38.jpg)
38
Robotización de antena En entornos donde es necesario orientar una antena
direccional para obtener el mejor nivel de señal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulación manual (es muy sospechoso)
Se hace necesario un sistema:
con capacidad para orientar la antena de forma remota
con un interfaz de terminal (conexión por 3G)
silencioso
fácilmente reconfigurable
![Page 39: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/39.jpg)
39
Robotización de antena
PAN
TILT
![Page 40: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/40.jpg)
40
Librería python
Configurable mediante fichero JSON
configuración, parametrización y calibración
Preparada para añadir código para otros servocontroladores
Utilidad de control de una estación pan/tilt
Robotización de antena
![Page 41: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/41.jpg)
41
>Demo_
Librería python
Configurable mediante fichero JSON
configuración, parametrización y calibración
Preparada para añadir código para otros servocontroladores
Utilidad de control de una estación pan/tilt
Robotización de antena
![Page 42: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/42.jpg)
Antena auto-orientable
lk_wifi_antenna_automatic_pointer
![Page 43: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/43.jpg)
43
Antena auto-orientable a AP
![Page 44: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/44.jpg)
44
Antena auto-orientable a AP
>Demo_
![Page 45: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/45.jpg)
Conclusiones
![Page 46: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/46.jpg)
46
Conclusiones
El hecho de que una herramienta no esté publicada no
significa que no exista o que no pueda fabricarse.
Cualquier herramienta que técnicamente es posible, debe
considerarse como existente en el arsenal de los atacantes
En muchas ocasiones, los ataques vía Wi-Fi siguen
suponiendo un punto de entrada “externo” viable a las
organizaciones
La seguridad de las redes Wi-Fi debe basarse en su
configuración, y no depender únicamente del área de
cobertura
![Page 47: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/47.jpg)
47
Referencias
Referencias externas
https://www.kismetwireless.net/
http://www.secdev.org/projects/scapy/
http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2
008_Wright_Antoniewicz.pdf
http://w1.fi/hostapd/
Herramientas y documentación
http://www.layakk.com/es/lab.html
http://blog.layakk.com
![Page 48: Ampliando el arsenal de ataque Wi-Fi](https://reader033.vdocuments.site/reader033/viewer/2022052606/586e32601a28ab54688bab37/html5/thumbnails/48.jpg)
Ampliando el arsenal de ataque Wi-Fi
David Pérez [email protected]
José Picó [email protected]
www.layakk.com
@layakk