martes, noviembre 19, 2019

Ideas locas en HoneyCON: Metasploit, Dirty Business Card & Air Profiling (2 de 2)

Después, continuando con la primera parte de este artículo, me toca hablar de la tercera y última parte de las cosas que vimos en la pasada HoneyCON llegó el momento de hablar del proyecto de Air Profiling, del que hace ya tiempo que hablamos por aquí en el blog, y que nació como un proyecto de nuestro popular hackathon llamado "Equinox".

Figura 8: Ideas locas en HoneyCON: Metasploit, Dirty Business Card & Air Profiling
(2 de 2)

La idea de este proyecto es la de capturar tráfico de red Wi-Fi y poder analizarlo en busca de hábitos, gustos, leaks, y toda información que pueda ayudar a clasificar qué hace el usuario con el smartphone. Con la información se puede saber dónde tiene una cuenta bancaria porque tiene instalada la app de un banco, si invierte en criptomonedas, cuál es su operador móvil, cuál es el modelo de su dispositivo móvil y la versión del sistema operativo.


Figura 9: Equinox Otoño 2015 en ElevenPaths

Se puede saber si está llevando vida saludable porque tiene aplicaciones que miden las calorías de los alimentos, si está interesado en el los idiomas porque tiene aplicaciones que le enseñan a aprender otras lenguas, etcétera. Es decir, perfilar a las personas en función de las apps que tiene instaladas en su smartphone ya que cada app que un usuario tiene instalada puede decirnos cosas sobre él, sobre sus hábitos, sus gustos, sus intereses y cosas importantes como, por ejemplo, lo del banco.

Figura 10: Links de una app en el Big Data Tacyt

Perfilar las apps por las URLs, es algo que podemos hacer de forma muy afinada, porque con Tacyt tenemos un BigData con todas las apps abiertas, y sabemos a qué URLs se conecta cada una de ellas. Averiguar qué app es la que se está utilizando, con un grado de confianza alto es algo posible, y en la serie de Dorking & Pentesting con Tacyt se hacen muchos ejemplos de localizar apps por Links incluidos en las apps.


Figura 11: Conferencia de Dorking & Pentesting con Tacyt de Chema Alonso

Saber qué apps tiene un dispositivo móvil, no solo es útil para conocer los hábitos de los usuarios, sino para conocer también por donde se puede atacar a una persona. Por medio de Grenlim Apps en APTs o vulnerabilidades conocidas en las apps. Pero de eso ya hablaremos más adelante.

Figura 12: Trafico de la app móvil de "Mario Kart Tour" capturado en la Wi-Fi

Air Profiling ya es un viejo conocido, al menos de manera interna. Todo comenzó en el año 2015, como ya he dicho al principio, en un Equinox de ElevenPaths. En aquella edición Ioseba Palop y yo presentamos esta idea al hackhaton y obtuvimos un premio del jurado por ser una idea innovadora, mientras pensábamos en nuestras herramientas para hacer Ethical Hacking.

Figura 13: Libro de Ethical Hacking

En el año 2017 se convierte en un TFM de dos estudiantes de la Universidad Europea. Dirigí dicho TFM. El proyecto fue realizado por Guillermo Román y Javier Gutiérrez. El resultado final del TFM lo disfrutamos en un Code Talk de ElevenPaths recientemente. Es un proyecto que puede valer para diferentes casos y usos.


Figura 14: Codettalk for Developers "Air Profiling"

En el año 2019 nos planteamos poner el proyecto bonito para que la gente entienda lo que se puede hacer con la captura de tráfico en cualquier red WiFi que no esté bajo tu control. ¿En qué podemos basarnos para conocer al usuario? Realmente, hay muchos parámetros. En esta ocasión, o en la versión 2019 del proyecto, se ha utilizado principalmente:
1. Cabeceras HTTP, en especial User-Agent, para conocer versión del sistema operativo y versión del dispositivo móvil en algunos casos. 
2. Certificado. Nombres de dominio de los certificados. Conocer que certificado utilizan las apps y saber dónde realizarán la petición. Con esto se puede clasificar aplicaciones y dominios que consultan. Podemos conocer la identidad de una aplicación. 
3. Peticiones DNS. Similar al anterior. Podemos buscar una relación unívoca entre dominio y app.
En muchas ocasiones, las apps utilizan dominios únicos que su aplicación web. Es decir, un banco puede utilizar api.bank.com para la app móvil, mientras que puede utilizar el recurso www.bank.com para su versión web. Este tipo de cosas es importante tenerlas en cuenta, ya que nos permite encontrar de forma unívoca la app instalada. Si esto no ocurre, hay que encontrar otras formas de diferenciar, quizá a través del User-Agent que utiliza el navegador y la app móvil, si utilizase.

Figura 15: Resultado obtenido por el proyecto Air Profiling con el análisis de un smartphone

Es importante poder separar casos, ya que, si el usuario navega con el navegador, no solo la web móvil legítima, si no que también la consulta de publicidad podría llevarnos a equívocos.

Capturando el tráfico

Para la captura de tráfico se utilizó una Raspberry Pi a la que se instala un hostapd, para hacer de punto de acceso WiFi. Además, hay que instalar el paquete dnsmasq y disponer de DNS y DHCP en la propia Raspberry Pi. Por último, también hay que añadir el tshark, la versión de línea de comandos de Wireshark.

Figura 16: Reglas en iptables en la Raspberry Pi

Con esta última herramienta lo que haremos es capturar el tráfico cuando lo pasemos desde la interfaz wlan0 (WiFi) a eht0 (salida a Internet). Por último, debemos crear unas reglas de iptables que permita el flujo de tráfico y habilitar también el forward en la máquina.

Ahora quiero agradecer la mención y las palabras

Llevamos años haciendo muchas cosas, porque nos gusta, porque queremos, porque es nuestro trabajo, porque lo disfrutamos. Hay muchos porqués que podríamos seguir diciendo, aunque muchas veces sea a costa de tener menos tiempo con los que más queremos. Sea como sea, HoneyCON dio una serie de menciones honoríficas y solo puedo agradecerles desde aquí, dicha mención.

Figura 17: Mención Honorifica de HoneyCON

Es un orgullo para mí haber recibido la mención y estar año tras año con ellos. Como ya les dije, el placer siempre es mío. Y solo puedo decir: gracias. Otra de las cosas que me llamó la atención fue como Raúl Renales habló de mí a la prensa. Hablar de ilusión cuando uno realiza cualquier cosa es importante. Ver como Raúl habla de uno, pues me hace pensar que estos años he podido aprender, crecer, pero, sobre todo, seguir teniendo la misma pasión e ilusión por hacer esto. Gracias por las palabras amigo.

Figura 18: Entrevista a Raúl Renales

Sin más, decir que pasó la V Edición de HoneyCON, la organización estuvo genial en todos los ámbitos de un congreso. Y decir que habrá muchas "Honeys", porque el trabajo que siguen haciendo en Guadalajara es muy grande. A por la VI.

Saludos,

Autor: Pablo González Pérez (@pablogonzalezpe), escritor de los libros "Metasploit para Pentesters", "Hacking con Metasploit: Advanced Pentesting" "Hacking Windows", "Ethical Hacking", "Got Root" y “Pentesting con Powershell”, Microsoft MVP en Seguridad y Security Researcher en el equipo de "Ideas Locas" de la unidad CDO de Telefónica.

No hay comentarios:

Publicar un comentario