www.layakk.

com
@layakk

Ampliando el arsenal de ataque

Wi-Fi
David Prez
Jos Pic
#secadmin2015

david.perez@layakk.com
jose.pico@layakk.com

Security Conference 2015

www.secadmin.es

Agenda
Introduccin
Herramientas

lk_wiclitatoo.py
lk_wifi_device_finder.py
lk_hostapd
lk_k2db.py
HW: Sonda Wi-Fi controlable remotamente
HW: Antentas robotizadas
lk_servo_system.py
lk_pantilt.py
lk_wifi_antenna_automatic_pointer

Conclusiones
#secadmin2015

Security Conference 2015

www.secadmin.es

INTRODUCCIN

#secadmin2015

Security Conference 2015

www.secadmin.es

Contexto
Pruebas de intrusin WiFi
Tipo de prueba: caja negra
Prioridad: no ser detectados

Para el investigador surgen necesidades

especficas a este tipo de pruebas
Se hace necesario desarrollar herramientas adhoc que cubran esas necesidades

#secadmin2015

Security Conference 2015

www.secadmin.es

Objetivo
Presentar y explicar las herramientas que hemos
desarrollado para cubrir algunas necesidades
que nos han surgido
Poner las herramientas a disposicin de la
comunidad, con el fin de que sean tiles a otros
investigadores:

http://www.layakk.com/es/lab.html
#secadmin2015

Security Conference 2015

www.secadmin.es

lk_wiclitatoo.py Wifi CLIent Targetting TOOl

VISUALIZACIN DE DISPOSITIVOS
CLIENTE
#secadmin2015

Security Conference 2015

www.secadmin.es

Visualizacin de clientes Wi-Fi

Deteccin de clientes

Probe Request
Peticin enviada por el cliente preguntando por un ESSID
concreto o por cualquier ESSID.
Enviada en todos los canales, secuencialmente.
Los APs de las redes interrogadas respondern informando de
sus caractersticas.
No suelen suceder cuando el cliente ya est conectado a una
red.
Probe Requests

Probe Response
#secadmin2015

Security Conference 2015

www.secadmin.es

Visualizacin de clientes Wi-Fi

Deteccin de clientes

Actividad
Tramas de datos, control, y gestin (aparte de
probes).
Las direcciones MAC nunca van cifradas.
Tramas de datos/control/gestin

BSSID

MAC

#secadmin2015

Security Conference 2015

www.secadmin.es

Visualizacin de clientes Wi-Fi

lk_wiclitatoo.py

Herramienta escrita en Python

Muestra clientes de inters
Permite definir clientes de inters atendiendo a:
MAC, BSSID, ESSID

Interfaz de usuario: consola de texto

Disponible en:
http://www.layakk.com/es/lab.html

#secadmin2015

Security Conference 2015

www.secadmin.es

Visualizacin de clientes Wi-Fi

lk_wiclitatoo.py

>Demo_

#secadmin2015

Security Conference 2015

10

www.secadmin.es

lk_wifi_device_finder.py

LOCALIZACIN DE PUNTOS DE
ACCESO
#secadmin2015

Security Conference 2015

www.secadmin.es

Localizacin de puntos de acceso

En ocasiones es necesario conocer la ubicacin de un AP:
Para montar ataques contra el AP
Para escuchar trfico de red desde la mejor ubicacin posible
Para identificar dispositivos cliente conectados al AP

Tipo de herramienta ms til:

Interfaz de terminal Controlable remotamente mediante
conexin 3G
Realimentacin con sonido al usuario Para no tener que
mirar el terminal y poder acercarnos al mismo sin llamar la
atencin
#secadmin2015

Security Conference 2015

12

www.secadmin.es

Localizacin de puntos de acceso

beep
beep

#secadmin2015

Security Conference 2015

13

www.secadmin.es

Localizacin de puntos de acceso

beep
beep

>Demo_

#secadmin2015

Security Conference 2015

14

www.secadmin.es

lk_hostapd

PUNTO DE ACCESO FALSO CON

FILTRO POR FABRICANTE
#secadmin2015

Security Conference 2015

www.secadmin.es

AP falso con filtro por fabricante

A veces, diferentes clientes responden de diferentes formas
Certificado
digital
falso

AP
falso

RADIUS
falso
(ej: freeradius-wpe)

http://www.willhackforsushi.com/presentations/PEAP_Shmoocon2008_Wright_Antoniewicz.pdf
#secadmin2015

Security Conference 2015

16

www.secadmin.es

AP falso con filtro por fabricante

Caracterstica deseada: filtrar por fabricante del cliente
Buenos das. As que es
usted del fabricante X
pues me temo que voy a
tener que ignorarle

AP
falso
#secadmin2015

Security Conference 2015

Certificado
digital
falso

freeradius-wpe

17

www.secadmin.es

AP falso con filtro por fabricante

lk_hostapd

Parche para hostapd (*)

Aade funcionalidad de filtro por fabricante:
vendor_acl=0
# 0 = accept unless in deny list
# 1 = deny unless in accept list
vendor_to_mac_file=/usr/share/wireshark/manuf
accept_vendor_file=/etc/hostapd.vendor.accept
deny_vendor_file=/etc/hostapd.vendor.deny

Disponible en:
http://www.layakk.com/es/lab.html
(*) http://w1.fi/hostapd/
#secadmin2015

Security Conference 2015

18

www.secadmin.es

AP falso con filtro por fabricante

lk_hostapd

>Demo_

#secadmin2015

Security Conference 2015

19

www.secadmin.es

lk_k2db.py Identificacin y correlacin de dipositivos cliente y APs

CREACIN DE INFORMACIN DE
INTELIGENCIA
#secadmin2015

Security Conference 2015

www.secadmin.es

Informacin de inteligencia WiFi

En el entorno de las instalaciones del objetivo

Inventario detallado de APs:

ESSID, BSSID, Autenticacin, cifrado, etc.

Inventario detallado de clientes visibles:

MAC, Redes a las que hace probe, fabricante, etc.

Relaciones interesantes:
Clientes que se conectan a las redes consideradas de inters
ataques basados en suplantacin de AP
Clientes que se conectan a las redes de inters pero que
adems se conectan a otras redes ( pblicas o personales )
ataques basados en MiTM

Otros datos de inters: momento en el tiempo en el que

se ve el terminal (first_seen, last_seen), etc.
#secadmin2015

Security Conference 2015

21

www.secadmin.es

Informacin de inteligencia WiFi

De dnde obtener esta informacin?

kismet puede obtener esta informacin, pero

Cuando tienes decenas de miles de APs y cientos de miles
de clientes no es manejable consultar la informacin
anterior: se necesita una herramienta que conteste a
cosas como:
Qu clientes se han conectado a alguna red de el Objetivo?
Qu clientes WiFi relacionados con el Objetivo se conectan
a otras redes?
Qu clientes se conectan a una red de el Objetivo
protegida y tambin a una desprotegida ?
Qu APs adicionales son candidatos a pertenecer a el
Objetivo?

#secadmin2015

Security Conference 2015

22

www.secadmin.es

Informacin de inteligencia WiFi

Herramienta de extraccin y anlisis de informacin de inteligencia

WiFi

Extraccin de la informacin a partir de capturas

Kismet

BBDD

Herramientas de consulta
a la BBDD para obtener la
informacin deseada
#secadmin2015

Security Conference 2015

23

www.secadmin.es

Informacin de inteligencia WiFi

#secadmin2015

Security Conference 2015

24

www.secadmin.es

Informacin de inteligencia WiFi

>Demo_

#secadmin2015

Security Conference 2015

25

www.secadmin.es

HW

SONDA WI-FI CONTROLABLE

REMOTAMENTE
#secadmin2015

Security Conference 2015

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Segn el entorno, puede resultar sospechoso:

Mirar una pantalla

NO mirar una pantalla
Teclear
NO teclear
Llevar auriculares puestos
NO llevar con auriculares puestos
Estar quieto mucho tiempo
NO estar quieto mucho tiempo

#secadmin2015

Security Conference 2015

27

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Solucin (parcial): equipo Wi-Fi con control remoto

VPN
3G

INTERNET
3G
VPN
SERVER
#secadmin2015

Security Conference 2015

28

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Otro problema: maximizar el alcance

Para aumentar el alcance se puede:

Aumentar ganancia de la antena por directividad
Aumentar potencia de emisin
Aumentar sensibilidad de recepcin
Tarjeta Wi-Fi
externa

#secadmin2015

Amplificador
bidireccional

Security Conference 2015

Antena
directiva

29

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Camuflaje de la sonda: MOCHILA

#secadmin2015

Security Conference 2015

30

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Camuflaje de la sonda: BOLSO DE VIAJE

#secadmin2015

Security Conference 2015

31

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Camuflaje de la sonda: BOLSA DE MINIPORTTIL

#secadmin2015

Security Conference 2015

32

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Camuflaje de la sonda: COCHE

#secadmin2015

Security Conference 2015

33

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Y donde no se puede aparcar un coche

#secadmin2015

Security Conference 2015

hay otras opciones:

34

www.secadmin.es

Sonda Wi-Fi controlable remotamente

Camuflaje de la sonda: MALETA DE MOTO

#secadmin2015

Security Conference 2015

35

www.secadmin.es

HW
lk_servo_system.py
lk_pantilt.py

ROBOTIZACIN DE ANTENAS

#secadmin2015

Security Conference 2015

www.secadmin.es

Robotizacin de antena

En entornos donde es necesario orientar una antena

direccional para obtener el mejor nivel de seal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulacin manual (es muy sospechoso)

#secadmin2015

Security Conference 2015

37

www.secadmin.es

Robotizacin de antena

En entornos donde es necesario orientar una antena

direccional para obtener el mejor nivel de seal posible,
pero en los que se pretende no ser detectados, no es
viable realizar manipulacin manual (es muy sospechoso)
Se hace necesario un sistema:
con capacidad para orientar la antena de forma
remota
con un interfaz de terminal (conexin por 3G)
silencioso
fcilmente reconfigurable

#secadmin2015

Security Conference 2015

38

www.secadmin.es

Robotizacin de antena
PAN
TILT

#secadmin2015

Security Conference 2015

39

www.secadmin.es

Robotizacin de antena
Librera python
Configurable mediante
fichero JSON
configuracin,
parametrizacin y
calibracin

Preparada para aadir

cdigo para otros
servocontroladores
Utilidad de control de una
estacin pan/tilt
#secadmin2015

Security Conference 2015

40

www.secadmin.es

Robotizacin de antena
Librera python
Configurable mediante
fichero JSON
configuracin,
parametrizacin y
calibracin

>Demo_

Preparada para aadir

cdigo para otros
servocontroladores
Utilidad de control de una
estacin pan/tilt
#secadmin2015

Security Conference 2015

41

www.secadmin.es

lk_wifi_beam_finder.py

ANTENA AUTO-ORIENTABLE

#secadmin2015

Security Conference 2015

www.secadmin.es

Antena auto-orientable a AP

#secadmin2015

Security Conference 2015

43

www.secadmin.es

Antena auto-orientable a AP
>Demo_

#secadmin2015

Security Conference 2015

44

www.secadmin.es

CONCLUSIONES

#secadmin2015

Security Conference 2015

www.secadmin.es

Conclusiones
El hecho de que una herramienta no est publicada no
significa que no exista o que no pueda fabricarse.
Cualquier herramienta que tcnicamente es posible,
debe considerarse como existente en el arsenal de los
atacantes
En muchas ocasiones, los ataques va Wi-Fi siguen
suponiendo un punto de entrada externo viable a las
organizaciones
La seguridad de las redes Wi-Fi debe basarse en su
configuracin, y no depender nicamente del rea de
cobertura
#secadmin2015

Security Conference 2015

46

www.secadmin.es

Referencias
Referencias externas
https://www.kismetwireless.net/
http://www.secdev.org/projects/scapy/
http://www.willhackforsushi.com/presentations/PEA
P_Shmoocon2008_Wright_Antoniewicz.pdf
http://w1.fi/hostapd/

Herramientas y documentacin
http://www.layakk.com/es/lab.html
http://blog.layakk.com
#secadmin2015

Security Conference 2015

47

www.secadmin.es

www.layakk.com
@layakk

Ampliando el arsenal de ataque

Wi-Fi
David Prez
Jos Pic
#secadmin2015

david.perez@layakk.com
jose.pico@layakk.com

Security Conference 2015

www.secadmin.es