martes, marzo 06, 2018

Wild Wild WiFi "Dancing with Wolves": 1.- Mummy

Era el año 2010 cuando estuvimos jugando con las redes Wi-Fi. Por aquellos años ya se conocía una gran cantidad de ataques a redes inalámbricas, y sin embargo las redes Wi-Fi inseguras estaban muy extendidas. En aquellos años pensamos que era posible hacer, o añadir protecciones en el cliente Wi-Fi que venía con los sistemas operativos, y trabajamos en hacer un pequeño cliente para Windows que añadiera algunas protecciones extras.

Figura 1: Wild Wild WiFi "Dancing with Wolves": 1.- Mummy

Para comenzar el artículo, vamos a analizar qué hicimos en aquel trabajo del año 2010, para luego ir viendo qué hemos ido haciendo en ese área de seguridad después. Comencemos por Mummy.

1.- Living in the Jungle

Para explicar todo lo que teníamos en mente, hicimos un paper al que llamamos "Living in the jungle: Legitimate users in legitimate, insecure Wireless Networks", que acompañamos con una pequeña herramienta, en modo PoC, llamada Mummy.


El trabajo, que podéis leer en el documento adjunto, recogía una pequeña matriz de riesgos en redes Wi-Fi inseguras en aquellos tiempos, donde se quedaban fuera del estudio las redes empresariales, ya que estábamos focalizados en redes legítimas inseguras. Podríamos haber mirado redes EAP-MS-Chapv2 o similares redes de infraestructura con vulnerabilidades conocidas, pero nuestra opción fue centrarnos en las más comunes, así que miramos las redes OPEN, WEP, WPA-PSK, WPA2-PSK.

Figura 3: Matriz de riesgos en "Living in the jungle" (2010)

Como la inseguridad de las redes WPA-PSK y WPA2-PSK en aquellos tiempos dependía de la facilidad o dificultad de crackear la clave mediante ataques al proceso de autenticación, metimos un pequeño estudio de lo difícil que sería para un atacante romper la contraseña. En los artículos de Atacar redes WPA/WPA2-PSK y Crackear WPA/WPA2-PSK hablábamos en el año 2009 de estas cosas.

Figura 4: Estudio de complejidad de contraseñas en WPA/WPA2-PSK

También miramos el comportamiento de los vecinos conectados a la red, añadiendo detección de ataques de ARP-Spoofing, 0-Attack, o inyección de paquetes en redes WEP para saber si teníamos un atacante activo en la red.

Figura 5: Cliente Mummy con nivel de riesgo de la red Wi-Fi

Todo eso lo implementamos en Mummy, con el objeto de que el cliente Wi-Fi diera más información sobre la red a la que nos estábamos conectando para tomar una mejor decisión. Por supuesto, aunque la red fuera muy segura, y no pasara absolutamente nada en este momento, hace falta recalcar que la red Wi-Fi podría tener un "insider" previo que hubiera conseguir la clave con anterioridad, y ahora no estuviera activo, y puede ser que el AP ya estuviera comprometido desde origen. Cosas que no tenían nada que ver con este trabajo.

Figura 6: Alertas de seguridad en Mummy

Aquello se quedó en 2010, pero las tecnologías Wi-Fi, y lo relativo a su seguridad, siguió avanzando, a veces con mejoras positivas, otras con empeoramientos en términos de seguridad en pro de la usabilidad.

2.- Clientes Wi-Fi en Windows, iOS y OSX/macOS empeorados

Con la popularización de los smartphones vimos que los clientes que venían con iOS eran bastante pobres en seguridad, como escribía yo en un artículo de Seguridad Apple del año 2011, donde se echaban en falta las siguientes posibilidades.

Figura 7: Carencias del cliente Wi-Fi en iOS

De hecho, en 2012, cuando hicimos los ataques basados en JavaScript Botnets a dispositivos iOS (iPhone & iPad), lo hacíamos utilizando Rogue APs que explotaban esas debilidades, y en el libro de Hacking iOS: iPhone & iPad, detallamos cómo robar datos de la navegación desde Safari para iOS en un iPad o iPhone usando estas técnicas.


Figura 8: Owning bad guys {and mafia} using Javascript Botnets

Además, los sistemas operativos OS X/macOS habían rebajado el nivel de seguridad en el cliente Wi-Fi, eliminado del sistema la comprobación de BSSID del AP en el perfil de conexión almacenado. Esto tiene riesgos importantes que aprovechan los ataques de Rogue AP tal y como reflexionamos en este otro artículo. Sin embargo, algo que Windows sí hacía, fue a peor en términos de seguridad y a "mejor" en términos de usabilidad, y la comprobación de BSSID también se eliminó de los sistemas operativos Windows 10.


Figura 9: Raúl Siles en 2013 analizando los clientes Wi-Fi

Es decir, no solo no habíamos mejorado la seguridad, sino que habíamos ido empeorándola poco a poco haciendo que el control que un usuario tiene sobre las conexiones a las redes Wi-Fi es menor cada vez y las implementaciones son bastantes pobres. En la charla de Raúl Siles de RootedCON 2013 se puede ver como de "pobres" eran esos clientes Wi-Fis.

¿Se puede mejorar esto? Pues de muchas formas, y nosotros jugamos con esto durante estos años haciendo cosas de todo tipo. Os lo iré contando en las siguientes partes.

Saludos Malignos!

****************************************************************************
- Wild, Wild, WiFi: 1.- Mummy
- Wild, Wild, WiFi: 2.- SSID Pinning
- Wild, Wild, WiFi: 3.- PsicoWifi
- Wild, Wild, WiFi: 4.- WEP/WPA*-TOTP
- Wild, Wild, WiFi: 5.- WEP/WPA/WPA2-TOTP-Biometry
****************************************************************************

3 comentarios:

  1. Hola Chema... tenemos un problema con plarium del juego de soldier inc ware farm creo que nos están estafando ellos tienen alianzas y no es competencia leal

    ResponderEliminar
    Respuestas
    1. En que nos puedes ayudar a verificar la estafa
      Nuestra alianza es FUE

      Eliminar
  2. Muy buen articulo.
    La verdad es que hoy es mas complicado encontrar como robar wifi, que antes... antes con cualquier app podias hacer lo que quisieras.

    ResponderEliminar