sábado, octubre 12, 2013

Google Street Car, Memes, Malware y el Modo Monitor WiFi

Como ya conté en el post que escribí en mi blog personal de Hacking Ético en EFEFuturo, este verano tuve, gracias a mis padres, la oportunidad de hacer un fantástico viaje a bordo de un crucero por el Mar Báltico con toda mi familia. Como buen adicto que soy a la seguridad informática,  además de para conocer destinos increíbles y disfrutar de la compañía de mis seres queridos, aproveché el poco tiempo que me quedaba libre para continuar practicando con mis experimentos de inseguridad.

El planteamiento inicial de la prueba

En este caso particular, el rato del que dispuse fue concretamente de 1 minuto y 12 segundos, en los que aproveché para capturar el tráfico de la red con mi antena WiFi en modo monitor, desde la habitación de un hotel de Londres donde estuvimos los días previos a coger el barco. No hubo más tiempo porque mi mujer aguardaba para salir, y transcurrido ese minuto mi hija de 1 año se había encargado de recorrer el suelo de toda la habitación deshaciendo las maletas con su particular algoritmo de ordenación :)

Figura 1: Captura en modo monitor con WireShark

El objetivo del experimento era conseguir entender cuánta información era posible que el famoso coche de Google Street hubiera capturado, teniendo en cuenta que él hacia más o menos lo mismo: Capturar durante un breve espacio de tiempo el espectro WiFi en modo monitor.

Para los que no recuerden la historia, basta decir que durante un periodo de tiempo, el coche que tomaba las fotos para Google Street View, venía con unas antenas WiFi que capturaban tráfico en modo monitor. Eso no gustó a todo el mundo, y acabó con denuncias y redadas en muchos países del mundo. Solo eran unos segundos, pero el tráfico capturado... ¿podría ser muy sensible?

Figura 2: Bromas con el caso de la captura de tráfico WiFi del Google Street Car

Cuando se está capturando el tráfico de una red WiFi de un hotel, desde una habitación ubicada en una determinada habitación con una orientación particular, uno se limita a ver los paquetes que pasan cerca de los puntos de acceso que se encuentran a su alcance.

Los datos obtenidos en el experimento

Una captura tan corta, a priori no parece que debiera aportar mucha información para analizar, debido al escaso número de paquetes de datos obtenidos. De hecho, en mi caso concreto, a pesar de que existía algo de tráfico HTTP en la captura, no se podían identificar peticiones concretas:

Figura 3: Cero peticiones HTTP reconocidas en la captura

Del mismo modo, la herramienta NetworkMiner de la que tanto se aprende en el libro de Ataques en Redes de Datos IPv4 & IPv6, y que tan buenos resultados me ha dado en otras ocasiones, identifica los hosts en la captura y las tramas de datos, pero no es capaz de reconstruir por ejemplo imágenes, archivos o peticiones, lo cual es normal dada la extensión de la captura.

Figura 4: Análisis de imágenes con NetworkMiner

Sin embargo, si se utiliza la herramienta de análisis forense y file carving llamada Foremost, sí que es posible apreciar fragmentos de imágenes que se han transmitido por la red durante ese minuto y medio.

Figura 5: Fragmentos de imágenes obtenidos con data carving

Si nos fijamos con atención, se pueden observar fragmentos de imágenes que se corresponden con el popular movimiento en la red conocido como "memes". Es decir, imágenes divertidas con un mensaje gracioso, que numerosos usuarios intercambian constantemente a través de Whatsapp, Line, o cualquier otro sistema de mensajería. Puedo dar fe a ciencia cierta de esto, pues mis amigos se han pasado el verano enviándome estos famosos memes de Julio Iglesias, que tan de moda se han puesto últimamente.

Figura 6: Imagen parcialmente reconstruida

Es normal que al estar en Londres, los textos sean en inglés. En este meme concreto se puede leer la frase “Bumps into something...”. Para identificar la parte de la captura en la que se encuentra esta parte de la imagen transmitida existen diferentes alternativas. La más evidente, analizar el fichero reconstruido con un editor hexadecimal, y buscar los bytes que corresponden a la imagen en la captura. 

Figura 7: Análisis hex del fichero recuperado con BackTrack (aún no he migrado a Kali)

Haciendo esto podemos obtener mucha información, desde la dirección IP del servidor que está transmitiendo la imagen, la dirección IP del cliente en la red, así como la dirección MAC del mismo analizando las cabeceras IEEE 802.11. En este caso en concreto, se trataba de un dispositivo Apple. 

Figura 8: Paquete utilizado para recuperar un fragmento del meme

Lo curioso de esto es que, si hacemos algo de Hacking con Buscadores, para intentar obtener información acerca de esta dirección IP, podemos ver que es una dirección es sospechosa, y que ha sido detectada por el servicio VirusTotal como potencialmente dañina, ya que está continuamente resolviendo a diferentes dominios de dudosa reputación.

Figura 9: Análisis en Virus Total de la imagen descargada

Con los pocos datos de los que se disponen en la captura, no es posible determinar de qué web, o a través de qué aplicación el cliente conectado a la red se estaba descargando esta divertida imagen, pero lo que sí se puede afirmar es que nada bueno podía venir de allí.

Reflexión final

Con este experimento, es posible ver que a pesar de que el Google Street Car se conectara unos pocos segundos, puede obtenerse algo de información que podría ser sensible. Lógicamente, solo sería peligroso este tipo de capturas para aquellas redes WiFi que no se hubieran fortificado, ya que si por ejemplo hubieran puesto una medida de seguridad entonces habría que previamente crackear WPA/WPA2 .

Esta es también una pequeña reflexión más del peligro que entraña conectarse a redes WiFi públicas inseguras, en las que cualquiera puede monitorizar los datos que envías incluso sin estar conectado. En todo esto, no se tiene en cuenta los posibles vectores de ataque activos en los que se implementan esquemas tipo man in the middle en redes IPv4 o IPv6.

Figura 10: MacDefender para Mac OS X, un rogue AV, se distribuía usando envenenamiento de resultados de fotos de pirañas en Google Images

Además en este caso concreto la reflexión es doble, pues además de volver a incidir en la inseguridad de las redes WiFi públicas - y alertar a los no avisados de que los datos viajan libremente por el aire - se puede encontrar un nuevo ejemplo de la jungla en la que se ha convertido la red, donde hasta descargarse una aparentemente inocua imagen divertida para enviar a nuestros amigos puede convertirse en un problema, si lo haces desde el servidor equivocado, que pudiera estar haciendo envenenamiento de resultados de Google Images, por ejemplo, como forma de distribución de malware.

Autos: Deepak Daswani

http://deepakdaswani.es
http://twitter.com/dipudaswani

8 comentarios:

  1. ¿Que sabes de estas tarjetas que no necesitan romper ninguna clave, si no que se conectan directamente al wifi?, da igual que este puesta una clave wpa ya que se la salta, es como si pasara por encima de la capa de seguridad. Es lo que me ha dicho un informático un poco piratilla. ¿Entonces tantos sermones en seguridad de que vale si se saltan el cifrado?
    Un saludo!

    ResponderEliminar
  2. Ya me sentía solo, pensé que era el único que todavía no migró a Kali Linux.

    ResponderEliminar
  3. Bueno el comentario de que se "salta" la wpa, medio raro, ¿no?

    Pero venia a decir, siendo que google hacek "backup" de tu android, y en ese backup viajan las wifis y sus contraseñas... y que tambien, con gmap android envia las coordenadas de las ssid para "ayudar" a otros usuarios a ubicarse, quien asegura que no hayan estado usando las wifis ya que tienen la contraseña? Se me ocurren muchos datos valiosos que se pueden capturar en unos segundos...

    Saludos y gracias por el articulo!

    ResponderEliminar
  4. Este comentario ha sido eliminado por el autor.

    ResponderEliminar
  5. Excelente artículo.
    Una preguntita. ¿Cuando accedes a un portal captivo de un hotel donde te han dado un papelito con el usuario y password para poder navegar, el tráfico va cifrado?
    Acabo de tener una discusión con un amigo y él me dice que sí y yo digo que no. Queremos resolver la duda ya que nos hemos apostado una cervecita.
    Un saludo.

    ResponderEliminar
  6. @Zifio,

    normalmente no, pero depende de las implementaciones que se hagan. Una cosa es el proceso de joining y otra el de cifrado.

    Saludos!

    ResponderEliminar
  7. Gracias por tu respuesta. Me beberé la cervecita a tu salud.

    ResponderEliminar
  8. @Zifio
    Esta captura es un hotel , con portal captivo con papelito de usuario y password para poder navegar :)
    El portal captivo proporciona aislamiento de clientes a nivel IP, con lo que una vez conectado a la red de manera tradicional no puedes en teoría molestar a tus vecinos, pero el tráfico como ves no va cifrado, y ante la monitorización pasiva de tráfico poco se puede hacer :)
    Un saludo !

    ResponderEliminar