1. 1
Open Wireless Security Assessment
Methodology
Miguel Tarascó – Andrés Tarascó

2. 2
¿Objetivos esta charla?
• Cubrir una necesidad existente:
• Estandarizar el proceso de análisis de 802.11.
• Medir los riesgos de forma objetiva.
• Mejorar los resultados de un test de intrusión.
• Protección eficaz de las redes corporativas.
• Y la parte más divertida:
• Nuevas herramientas de análisis.
• Nuevos vectores de ataque.
• Y recordar algunos no tan conocidos.
• Implicar a la comunidad en este proyecto.

3. 3
¿Cómo pretendemos hacerlo?
• Uso de una metodología de análisis nueva: OWISAM
• Abierta: CC-BY-SA
• Colaborativa: www.owisam.org
• Presentar un nuevo software de análisis.
• Interfaz gráfica.
• Intuitivo, flexible y modular.
• Bajo Windows.

4. 4
Antecedentes - Problemática inicial
• Realización de test de intrusión Wireless en caja negra.
– Detectar y auditar redes de la organización.
– Geolocalizar la información y triangular los AP.
– Georeferenciar todas las mediciones.
– Métricas con colorines: rojo, naranja, amarillo y verde =).

5. 5
Antecedentes - Problemática inicial
• ¿Cual es la situación que nos hemos encontrado?
– Un área geográfica muy dispersa.
– Con más de 1500 puntos de acceso detectados.
• Unos 500 de la organización, de estos el 50% redes ocultas
– Innumerables dispositivos de clientes.

6. 6
Necesidades identificadas
• El software no se ajustaba a las necesidades:
– Tenía demasiadas limitaciones.

7. 7
Necesidades identificadas
• Hay que procedimentar el análisis.
– Cómo realizar un análisis Wireless completo.
– Qué pruebas técnicas se deben realizar.
– Cómo analizar la información recopilada.
– Cómo reportar los resultados del análisis.
– Cómo garantizar los mismos resultados en el
futuro.
– Con qué se va a realizar el análisis.
– Cómo pelearse con las redes ocultas.

8. 8
Necesidades identificadas
• Necesidad de desarrollar algo a medida para
georeferenciar la información

9. 9
Necesidades identificadas
• (Offensive) Wireless Audit Framework.

10. 10
Somos gente valiente =)
• Nota mental: Hay que llevar siempre encima la
autorización de trabajo firmada.

11. 11
OWISAM 2013 (DRAFT)
• Open Wireless Security Assessment Methodology
– Orientada a análisis de 802.11 (de momento)
• Metodología de análisis:
– Introducción a las comunicaciones Wireless.
– Recopilación de ataques y herramientas.
– Análisis de mecanismos de autenticación.
– Descripción de las pruebas.
– Scoring de riesgos.
• Controles técnicos:
– OWISAM TOP 10
– Clasificación de 65 controles categorizados en áreas.

12. 12
Visión general de la metodología

13. 13
OWISAM 2013 (DRAFT) - TOP 10 RISKS
Las organizaciones que no hacen uso de infraestructura inalámbrica propia pueden ser
vulnerables a ataques a través de Wi-Fi:
• OWISAM-TR-007 : Los usuarios, y los externos, la suelen liar.
• OWISAM-TR-009: Raul Siles de Taddong, nos podrá contar muchas cosas aquí.

14. 14
OWISAM 2013 (DRAFT) - Controles
• 65 controles organizados en 10 categorías
• No los vamos a ver todos XD

15. 15
#01 - OWISAM-DI: Discovery
• Descubrimiento de dispositivos

16. 16
OWISAM-DI-002 – Descubrimiento de redes ocultas
• Formas de descubrir redes ocultas:
– Análisis de paquetes probe requests.
– Análisis de paquetes probe responses.
• Nuevo método: Envío de ProbeRequest:
– Enviamos Information Element Request: 0x0A
– Solicitamos el Information Element 0x00 (SSID)
• Un gran número de dispositivos vulnerables
– Ejemplo:
• Openwrt
• Android
• D-Link
• Otros..

17. 17
#02 - OWISAM-FP: Fingerprinting
• Clasificación de dispositivos.

18. 18
OWISAM-FP-003 – Mecanismos de autenticación
• Se identifican capturando paquetes EAP
– ¿Hay más de los debidos?
• Mala configuración del servidor Radius.
• Credenciales por defecto.
• Podemos enumerarlos:
– Envío de paquetes de tipo QosData.

19. 19
#03 - OWISAM-AU: Authentication
• Pruebas sobre la autenticación.

20. 20
OWISAM-AU-005 – Protocolos de autenticación inseguros
• Uso de mecanismos de autenticación inseguros:
– Suplantación de identidad de punto de acceso.
– Descifrado de credenciales transmitidas.
• EAP-TLS y EAP-TTLS son los referentes en
seguridad.
– Bien configurados .
• ¿Hacia donde estamos evolucionando?
– Open Secure Wireless: No se exige certificado de
cliente.

21. 21
#04 - OWISAM-CP: CIPHER
• Pruebas sobre el cifrado de las comunicaciones

22. 22
#05 - OWISAM-CF: CONFIGURATION
• Configuración de la plataforma

23. 23
OWISAM-CF-005 – Algoritmo de generación de claves conocido
• Claves WEP/WPA/WPA2 predecibles:
– Basado en SSID / BSSID.
– Puede ser detectado analizando firmware.
– O analizando un gran número de routers del ISP.
• Claves WPS inseguras.
– PIN genéricos en múltiples modelos.

24. 24
#06 - OWISAM-IF: INFRASTRUCTURE
• Pruebas sobre la infraestructura

25. 25
OWISAM-IF-006 – Debilidades en servidor Radius
• El servidor Radius puede ser vulnerable:
– DOS / auth bypass /remote code execution
• Ejemplos freeradius
– 2012.09.10 - Overflow in EAP-TLS for 2.1.10,
2.1.11 and 2.1.12.
– 2012.04.19 - Versions of OpenSSL are vulnerable
to malformed certificates.

26. 26
#07 - OWISAM-DS: Denial Of Service
• Pruebas de denegación de servicio

27. 27
OWISAM-DS-001 – Ataques de deautenticación
• Se fuerza la desconexión de dispositivos.
– Envío de paquetes al cliente.
– Envío de paquetes al servidor.
• Se esperan nuevas protecciones..
– Basadas en el estándar 802.11-2012 (802.11w).
– Los paquetes Management irán cifrados.
– Nos esperan nuevos retos.

28. 28
#08 - OWISAM-GD: Guidelines
• Pruebas sobre directivas y normativa.

29. 29
#09 - OWISAM-CT: Clients
• Pruebas sobre clientes inalámbricos.

30. 30
OWISAM-CT-002 – Análisis de APTW
• Advance Persistent Threats Wireless
– Empiezan a existir pruebas de concepto.
– Puntos de acceso “pinchados” a nuestra red.
– Transmisión de información en beacons.
• Existen keyloggers hardware wifi.
– Se conectan a una red.
– Envían log a través de ese canal.

31. 31
OWISAM-CT-002 – Análisis de APTW
• Algunos pueden ser detectados:
– Puerto por defecto de control: 25998 UDP
– Envío de paquetes “Probe Request”.
– Conexiones desde dispositivos no inventariados y
determinado vendor detectado.

32. 32
#10 - OWISAM-HS: HotSpots
• Pruebas sobre HotSpots y portales cautivos.

33. 33
Scoring de riesgos Wireless
• CWSS: Common Wireless Security Scoring
– Basado en CVSS v2.
– Generación de métricas compatibles.
• Modificamos “Base Score metrics”
– Related exploit range <-> Nivel de cobertura
– Attack complexity <-> Credenciales de acceso

34. 34
Objetivos a futuro
• OWISAM 2013 (v1.0):
– Aceptación y soporte de la comunidad.
– Traducción a múltiples idiomas.
– Ampliación y mejora de la documentación.
• OWISAM 2014 (v2.0):
– Integrar otros estándares.
– Nuevas herramientas.
• Fuzzing de protocolos.

35. 35
Wireless Audit Framework
• Desarrollado bajo Windows (C# .NET)
– >400.000 líneas de código
– Modelado del estándar Wireless
• Captura de información de múltiples fuentes:
– Pcap y remote Pcap (arreglada implementación)
– WLAN API
– Network Monitor (NMapi + reversing)
– Hardware Airpcap.
– Driver propio Ndis 6.1 (en desarrollo)
• Envío y lectura de raw packets.

36. 36
Wireless Audit Framework
• Implementa algunas novedades :
– Descubrimiento de redes ocultas.
– Detección de mecanismos de autenticación de Radius.
– Extracción de credenciales de algoritmos 802.1X.
– Generación de contraseñas WPS/PSK genéricas.
– Bruteforce activo: Autenticación + Asociación.
– Bruteforce pasivo: Cracking de handshakes.
– Scoring automático basado en CWSS.
– Visor de paquetes

37. 37
Trabajo basado en proyectos

38. 38
Estructura jerárquica de localizaciones

39. 39
Asociación de escaneos

40. 40
Selección de dispositivos

41. 41
Selección de frecuencias

42. 42
Gestión de proyectos

43. 43
Calibración de planos

44. 44
Visualización de planos georeferenciados

45. 45
Inicio de monitorización

46. 46
Inventario de dispositivos

47. 47
Claves genéricas…

48. 48
Vista de estaciones

49. 49
Itinerancia, redes solicitadas (PNL)

50. 50
Itinerancia, redes solicitadas (PNL)

51. 51
Configuración de GPS

52. 52
Selección manual de localización

53. 53
Múltiples capturas

54. 54
Selección de planos o mapas

55. 55
Captura sobre planos

56. 56
Múltiples tipos de planos

57. 57
Identificación de mecanismos 802.1x
• Paquete QoS
Data.
• Sin contenido
cifrado.
• Con elemento de
autenticación
8021x
• Atributo EAP con
longitud > 0

58. 58
Grafos de relaciones entre dispositivos

59. 59
Generación de reportes (1 / 7)

60. 60
Generación de reportes (2 / 7)

61. 61
Generación de reportes (3 / 7)

62. 62
Generación de reportes (4 / 7)

63. 63
Generación de reportes (5 / 7)

64. 64
Generación de reportes (6 / 7)

65. 65
Generación de reportes (7 / 7)

66. 66
Triangulación de dispositivos

67. 67
Exportación a Google Earth (KML/KMZ)

68. 68
Visualización de señales (KML/KMZ)

69. 69
Wireless Audit Framework
• Próximos objetivos del software:
– Liberar al público la versión v1.0:
• Versión gratuita.
• Versión comercial.
– Framework de cracking distribuido.
– Lenguaje de scripting abierto.
• Poder incluir algoritmos de generación WPS/PSK.
• new ProbeRequest(SSID,BSSID);
• Associate(AP,Credentials);
– Mayores capacidades ofensivas.
– Generación automática de informes
– Soporte para todos los controles de OWISAM.

70. 70
SOLICITAMOS VUESTRA AYUDA!
• Colaborad con OWISAM:
– Traducciones
– Controles / documentación
– Revisión
– Lista de correo electrónico

71. 71
Agradecimientos
• RootedCon, por este fantástico congreso y la oportunidad de
presentar nuestro trabajo.
– Gracias Román ;-)
• Colaboradores de OWISAM:
– Ángel Fernández Briones.
– Óscar Mallo Raposo.
– Jaime Fábregas Fernández.
• Administración Mediawiki OWISAM:
– Adrián Villa Bermúdez
• 48bits: Por estar tan locos. 8=====D
• A la GDT: Por su gran trabajo. Ellos saben cuál es.

72. 72
GRACIAS
@owisam_org
www.owisam.org
Miguel Tarascó – Andrés Tarascó