viernes, agosto 26, 2016

Pentesting familiar: La WiFi, un Yamaha y café en familia #Pentesting #WiFi

La historia que procedo a relatar en este artículo data ya de hace unos meses, y al igual que otras aventuras que Chema Alonso me ha permitido compartir a través de este blog, transcurrió en mi querida isla de Tenerife, durante los días de Semana Santa del presente año. Ocurrió en Viernes Santo, casualmente justo el mismo día que aquella otra aventura que os conté con auditoría de la Wi-Fi del Hotel que hice con resaca y desde un iPhone con jailbreak. Visto en retrospectiva, son ya unos cuantos los artículos que nacen de vivencias acaecidas en escenarios reales, que aunque sean solo un pequeño ejemplo que ilustra algún detalle del mundo de la seguridad informática, logran aportarme un plus de diversión al involucrarse dentro de la trama variables y aspectos inherentes a nuestra naturaleza humana que no suelen encontrarse por ejemplo en entornos de laboratorio.

Figura 1: Pentesting Familiar: La WiFi, un Yamaha y café en familia

La historia se alargó durante tras visitas, así que os lo contaré con detalle en un par de artículos, con el objetivo de que sea entretenida la lectura y el paso a paso. Todo comenzó cuando me hallaba con mi familia en un conocido y novedoso centro comercial del sur de la isla, tras haber pasado el día por la zona. Eran ya casi las 20:00 de la tarde-noche y nos metimos en una cafetería para tomar algo y que la pequeña Lara pudiera comer algo antes de volver a casa, ya que el trayecto de vuelta era de aproximadamente 80 km.

La red Wi-Fi del Local

Lo primero que me llamó la atención del local, es que los camareros tomaban nota de la comanda mediante tablets, y que por otra parte, habían carteles de “Zona Wi-fFi” por todo el establecimiento. La deformación profesional me llevó a solicitar la contraseña al camarero y conectar mi teléfono a la red para echar un vistazo, pensando en que esta pudiera no estar segmentada y que quizá el sistema que procesaba los pedidos pudiera estar accesible para cualquiera que pululase por ahí.

Figura 2: Ajustes de la conexión de red en el local

Tras revisar el direccionamiento IP de la red, me dispuse a buscar al azar equipos en direcciones que se suelen utilizar en rangos DHCP habituales. Buscando por direcciones aleatorias en el rango de red que me habían asignado con el servidor DHCP, intenté acceder a través del navegador a la dirección 192.168.1.101, et voilà! Esto es lo que apareció:

Figura 3: Web de configuración de un dispositivo Yamaha R-N500

Una web de configuración para un dispositivo Yamaha, modelo R-N500. Como no tenía ni idea de qué podría ser, hice lo que todo hacker haría: Buscar en Google ;). Con esto descubrí que se trataba de un receptor Hi-Fi de alto rendimiento que posiblemente pudiese ser el que reprodujese el sonido ambiente del local que estábamos escuchando.

Conectándose al sistema Yamaha de música

Con buen dispositivo del Siglo XXI,  dentro de sus interesantes características incorporaba la funcionalidad de poder ser controlado a través de una aplicación móvil llamada NP Controller, disponible tanto para Android como para iOS, a la vez que era también compatible con el sistema AirPlay de este último sistema operativo.

Figura 4: Información sobre la app Yamaha NP-Controller

El siguiente paso fue, evidentemente, descargarme la aplicación de AppStore y arrancarla. Cual fue mi sorpresa al ver la pantalla inicial y comprobar que la aplicación había encontrado automáticamente el dispositivo y se había conectado sin solicitar ni requerir ningún tipo de autenticación. Estaba ante la pantalla de control del reproductor, y además de poder configurar diferentes opciones, podía jugar con las fuentes de sonido accesibles. Podía acceder a la lista de Spotify que se estaba reproduciendo en ese momento, explorar los ficheros que pudieran estar en un pendrive conectado a través de USB, activar la radio, la radio por Internet, o incluso transmitir música desde mi propio iPhone. Esto sí que es hacer que el cliente se sienta como en casa.

Figura 5: Control del dispositivo Yamaha desde la app

Habría sido realmente divertido cambiar por completo el estilo musical del local y transmitir desde mi móvil algún tema disruptivo del Old Skool de los 90 que me gusta a mí, dejando perplejos tanto al personal como a los clientes, pero esto podría llamar mucho la atención.

En su lugar, decidí explorar la lista de Spotify que se estaba reproduciendo en ese momento, compuesta por temas de Kenny G. Música en consonancia con el estilo del local y muy apropiada para amenizar el plácido momento que siempre supone el tomarse un café, así que no iba a ser yo quien amargara la tarde de nadie. En aras de comprobar si realmente era capaz de controlar el sonido de la cafetería, lo que sí que hice fue saltar la reproducción al siguiente tema de la lista, dándole a la flecha derecha que tantas veces habremos pulsado en nuestros reproductores de música.

Figura 6: Next. Más Keny G en la lista de Spotify

En efecto, tras el instante de pausa habitual que se produce siempre al saltar de canción, otro nuevo tema de Kenny G. comenzó a reproducirse. Esto generó algo de confusión, sobretodo entre los camareros del local, que durante esos milisegundos de pausa se mostraron algo inquietos, pero enseguida prosiguieron con sus tareas como si nada hubiese pasado. Como son temas musicales que estarán acostumbrados a oír día tras día en secuencia, es probable que les pudiera llamar la atención el salto, pero lo habrán atribuido a cualquier problema técnico efímero o a un despiste con el mando por parte de quién controlara el dispositivo. Algunos ni se habrán percatado.

Otra de las funcionalidades que probé fue la del control de volumen para ver que en efecto era capaz de modificar el nivel de decibelios del local, al igual que en el caso anterior sin realizar variaciones muy bruscas que pudieran ser percibidas por cualquiera.

Inspeccionando el resto de dispositivos de la red del local

Tras ver que esto también era posible, me dispuse a dejar de jugar con aquel interesante aparato, y continuar explorando la red, a ver qué otras cosas podría encontrar. Así que, paso siguiente, escanear la red Wi-Fi.

Figura 7: Escaneando la red del local con Fing

Con el escáner de redes Fing, disponible en AppStore para dispositivos iOS, pude comprobar que además del Yamaha R-N500, mi propio iPhone y el router que daba acceso a Internet (un LiveBox de Orange). Lo más llamativo, por supuesto, es que en la dirección IP 192.168.1.200 había un dispositivo con el nombre “CAJA3”. Sin duda, este tenía toda la pinta de ser el servidor del TPV con el que se gestionaban los pedidos, la facturación y la caja del local, que además podía vislumbrar desde la mesa en la que estábamos sentados.

Echando un vistazo más a fondo a este dispositivo con Fing, se podía comprobar que CAJA3 tenía habilitados nada más y nada menos que 14 servicios, entre los que se encontraban por ejemplo el servicio HTTP o HTTPS en los puertos 80 y 443, RPC en el 135, NETBIOS en el 139, un servidor NFS, un Microsoft SQL Server en el puerto 1433 o Terminal Server accesible a través del puerto 3389. No era descabellado pensar que alguno de estos pudiese ser vulnerable por falta de alguna actualización o una mala configuración, visto el nivel de seguridad que nos estábamos encontrando en la red.

Figura 8: Servicios detectados en CAJA3

De hecho, lo más probable sería que, viendo las preocupaciones que había, se pudiera hacer un ataque man in the middle en las conexiones al servidor MS SQL Server y hacer una inyección de comandos con un esquema de Network Packet Manipulation para hackear el TPV, pero.... en este momento, Lara se había terminado ya el sandwich, se habían pasado las 21:00 de la noche y era hora de volver. Además, no disponía de mi ordenador para proseguir con la investigación, y lo más importante, bajo ningún concepto haría una auditoría sin permiso. De hecho, mi intención era reportar lo descubierto con el sistema de sonido al dueño del local, que por lo visto no se encontraba en aquel momento. Así que antes de irme, por curiosidad, decidí echar un vistazo al router.

¿Por qué será que no me sorprendió ver que era posible entrar al panel de administración del Livebox con la contraseña por defecto? En este punto, si en vez de un hacker hubiera estado ahí un ciberdelincuente, podría haber ocasionado bastantes destrozos. Entre otras cosas, modificar la contraseña de la Wi-Fi y dejarla inaccesible, abrir puertos al exterior para redirigirlos a servicios como los mostrados anteriormente o incluso habilitar la administración remota del router sólo para la dirección IP del atacante. Todo esto, por supuesto seguido de un cambio de la contraseña del router Livebox para impedir que nadie pudiese acceder a él.

Figura 9: Panel de administración del router LiveBox

Como ya he comentado, se había hecho tarde, así que tras tomar evidencias de todo lo descubierto a través de capturas de pantallas con el móvil volvimos a casa, pensando en regresar otro día con más tiempo y mi ordenador, para hablar con el dueño del local y seguir echando un vistazo si él lo considerase oportuno. Pero como iba a descubrir, las cosas iban a cambiar en mi siguiente visita.

Autor: Deepak Daswani (@dipudaswani)
Blog: http://deepakdaswani.es

18 comentarios:

Anónimo dijo...

¿Y nos vas a dejar así hasta mañana? ¡No tienes vergüenza!
Muy interesante y didáctico para un profano.
¿Has observado que los acentos aparecen descolocados un carácter a la derecha?
Espero esa segunda y/o tercera parte.
Un saludo

Do Dando dijo...

Cómo me gustan estas anécdotas de hackers que en su tiempo libre trastean. Yo hace poco, en la wifi de un centro comercial, empecé a encontrar (con un iPad SIN jailbrerak y con apps reguladas) un montón de equipos físicos y virtuales a los que pude escanear los puertos, y la verdad es que me asusté un poco por todo lo que vi, por si me identificaban como "atacante" con el user que registré para ver la wifi.
No pensaba hacer nada, solo quería ver, pero como no tengo ni idea igual dejaba un rastro que les hiciera preocuparse. En fin, que muchas gracias y otro más que espera ansioso leer la continuación :-)

Egos Desbocados dijo...

" la pequeña Lara"... vamos añadiendo variables a un ataque de ingeniería social y/o diccionario de contraseñas

"Tras revisar el direccionamiento IP de la red, me dispuse a buscar al azar equipos"
« ¿y por qué no un nmap (o fing) y no dependes de la suerte? >8-O

" en direcciones que se suelen utilizar en rangos DHCP habituales. " « ¿en el direccionamiento de subred que te han asignado, quizás?

"Tras ver que esto también era posible, me dispuse a dejar de jugar con aquel interesante aparato," « XDDDDDDDDD redios ¿en serio bajarse una app y que se conecte a un reproductor de música te cualifica para autodenominarte hacker? XDDDDDDDDDDDDDDD

"De hecho, lo más probable sería que, viendo las preocupaciones que había, se pudiera hacer un ataque man in the middle en las conexiones al servidor MS SQL Server y hacer una inyección de comandos con un esquema de Network Packet Manipulation para hackear el TPV, " « este tío se flipa. Es mucho más probable que las comandas se mandasen por http/https y fuese el httpd (seguramente IIS) el que conectase con el SQL Server que implementar clientes de SQL en las tablets... ¿de dónde habéis sacado a este tipo?

"o incluso habilitar la administración remota del router sólo para la dirección IP del atacante." «< qué delicado el atacante que abre el router sólo para una IP gestionada por él en lugar de "para todo dios y ya accederé por TOR... en serio, es ofensivo el bajo nivel del post

" En este punto, si en vez de un hacker hubiera estado ahí un ciberdelincuente, " << ¿cómo reconociste al hacker? ¿llevaba capucha y un portátil con pegatinas?

NelsonGG dijo...

Estamos en el blog de una persona que sabe realmente MUCHO de seguridad informática, vos te piensas que va a dejar que cualquier inepto publique? Lo que digo no tiene nada de loco y la historia es muy interesante.

Belky dijo...

Pues leyéndolo a medias, no he podido llegar al final, creo que Chema no lo ha revisado... IMHO

Unknown dijo...

Joe, pues visto lo visto si que dejan publicar cualquier cosa. Esto no llega ni al nivel de script kiddie.

Egos Desbocados dijo...

Estimado Nelson, es obvio que sí, que cualquiera puede publicar aquí. De hecho he encontrado motivador este artículo y estoy escribiendo uno referente a cómo ver el código que te envían servicios como Telegram, WhatsApp o Google por SMS. Os gustará!!

acerswap dijo...

Realmente lamento leer muchos de los comentarios que habeis puesto. Que si no es hacking, que si no llega a la altura... No habeis entendido nada.

En primer lugar, tened en cuenta que se hizo con un simple telefono, en el rato de un cafe y por curiosidad. Eso por una parte limita las posibilidades de lo que se hace, y por otra alaba una gran cualidad en todo hacker: la curiosidad.

Luego, habla de sus intenciones de informar al dueño. Eso demuestra buena fe, algo que tambien suma a la hora de desvincular hacker-ciberdelincuente y que se adhiere a los principios del dueño del blog.

Además, ¿hacen falta sniffers, metasploits, etc para trastear con los dispositivos de una red? Este articulo muestra que no, y que cualquiera puede montar una buena en cinco minutos (pones heavy metal al maximo de volumen por los altavoces y se vacia el local casi al instante).

¿Podia haber realizado ataques mas directos? Si, por supuesto. ¿Se le ocurrio? Posiblemente no. Para mi es una anecdota curiosa y de la que creo que se pueden sacar buenas conclusiones. Si lo considerais indigno y que no llega a vuestro nivel, quizas deberiais ignorarlo y seguir admirandoos a vosotros mismos, ya que parece que lo disfrutais mas.

Unknown dijo...

Este post es como si yo le pido la password de la wifi a un colega , digo que eso es ingeniería social y no uso ni nmap porque seguramente que este hombre no sepa ni lo que es.Ahhhh e instalar una app. En fin así está el nivel de la seguridad en este país. Lamentable. Un saludo a las gruppies.

Egos Desbocados dijo...

Luego, habla de sus intenciones de informar al dueño. Eso demuestra buena fe, algo que tambien suma a la hora de desvincular hacker-ciberdelincuente y que se adhiere a los principios del dueño del blog. << Discrepo. Desvincula lo que llamas ciberdelincuente de consultor de seguridad.

Si lo considerais indigno y que no llega a vuestro nivel, quizas deberiais ignorarlo y seguir admirandoos a vosotros mismos, ya que parece que lo disfrutais mas. << Yo no me admiro, por eso pienso cada día que debo superarme. Eso no tiene nada que ver con que este artículo sea una ofensa para los lectores de este blog... Vamos, al menos los que tenemos mente crítica y no alabamos cualquier gilipollez que se publique

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Belky dijo...

Estoy en un dilema. El artículo en verdad que es de las pruebas que hace mi hijo con su móvil pero diga lo que diga, o soy hater de dipu o me bajo los pantalones. En mi opinión vuelvo a decir, que no veo nada que aporte algo a la investigación o estudio que un hacker debe hacer durante toda su vida. De todos modos es probable que yo no esté a la altura de tan insignes locutores y ponentes.

unknown dijo...

No os lo podeis tomar como una anécdota y ya esta..." un relato de verano" ....

Unknown dijo...

Es lo que tiene que moderen los becarios del Chemalonso

Gestilo dijo...

Wow!! Como diriamos en Guatemala "que nivel" excelente post

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Unknown dijo...

Muy interesante y revelador este artículo, que demuestra lo mucho de cultura informática y seguridad que hace falta divulgar en la sociedad.

Egos Desbocados dijo...

También revela que hoy en día cualquier mierda que se escriba vale para publicarla

Entrada destacada

Tu Latch "Hack Your Innovation Contest": Haz un PoC & Hack por 1.000 €

El pasado Telefónica Innovation Day 2024 lanzamos oficialmente el " Tu Latch Hack Your Innovation Contest " en el que repartimos ...

Entradas populares