Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi). Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya mandaría yo a los de seguridad. Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con el nombre de host “Rober1”. En efecto, algún vecino estaba intentando u tilizar mi red, y considerando que como poco había tenido que utilizar alguna herramienta para obtener la contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto. El primer impulso de cualquiera ante una situación así, podría ser el de c ambiar el cifrado de la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es el intruso. Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a un compromiso inelu dible, además de desconectar todos mis equipos de la red, y dejarle así todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue poner rápidamente uno de mis equipos con Backtrack5, una antena WiFi y la s uite Aircrack, a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener algún dato que me pudiese dar información acerca del vecino para conocer sus intenciones, pues podría pretender simplemente utili zarme como ISP y ahorrarse la cuota mensual con esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para la batalla. Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una captura de tráfico. Una vez c argada la captura, Network Miner identifica todos los hosts presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé
habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la
contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi).
Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien
podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya
mandaría yo a los de seguridad.
Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál
fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con
el nombre de host “Rober1”. En efecto, algún vecino estaba intentando utilizar mi red, y
considerando que como poco había tenido que utilizar alguna herramienta para obtener la
contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de
poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un
cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto.
El primer impulso de cualquiera ante una situación así, podría ser el de cambiar el cifrado de
la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos
dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar
una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es
el intruso.
Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a uncompromiso ineludible, además de desconectar todos mis equipos de la red, y dejarle así
todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue
poner rápidamente uno de mis equipos con Backtrack5, una antena WiFi y la suite Aircrack,
a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener
algún dato que me pudiese dar información acerca del vecino para conocer sus intenciones,
pues podría pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con
esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para
la batalla.
Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo
utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en
sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una
captura de tráfico. Una vez cargada la captura, Network Miner identifica todos los hosts
presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de
Analizando el nombre de los sitios web, así como el contenido que había en los mismos, me
quedó claro que se trataba de una mujer, que estaba estudiando para oposiciones a
judicatura. Es decir, que hablamos de una aspirante a juez robando WiFi. ¡Así va este país!.
Por otro lado, entre todas estas sesiones de navegación, en las que los sitios webs visitados
eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los
sitios visitados eran:
http://www.sport.es (Además leía la sección “El http://www.marca.com
http://tenerifedeportivo.com
Estas sesiones, en principio parecía que correspondían más a “Rober1”, leyendo periódicos
deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas
sesiones, concretamente un domingo, Rober1 consultó también la página de Yelmo Cines,
pero al final parece que no se decidió a ir, porque más tarde presuntamente su pareja sevolvió a conectar a ver vídeos de bebés, y leer un poco de prensa rosa, supongo que para
desconectar de las arduas sesiones de estudio para la oposición.
Por la información de la que disponía hasta el momento, se trataba de una pareja de vecinos
que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r
con muchos conocimientos. Esto último me quedó más claro, cuando en una de las capturas
recogidas escuchando en modo monitor, pude ver accesos a páginas de banca electrónica,
algo que alguien con conocimientos de seguridad informática jamás haría desde una WiFiajena.
Afortunadamente para los vecinos, dieron con alguien que no tenía malas intenciones, y en
esta ocasión, incluso de haberlas tenido, no podría haber hecho ningún destrozo, ya que al
tratarse de tráfico SSL las credenciales no habrían sido capturadas sin romper el cifrado.
En este punto ya tenía claro el perfil de los “atacantes”, así como su nivel de conocimientos,
pero aún no los había identificado. Los ataques man in the middle no funcionaban siempre,
así que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyanohaciendo DNS spooffing con alguna de las direcciones de los sitios webs más visitados. Pero
en lugar de eso, decidí implementar un esquema “machine in the middle”, colocando una
máquina a modo de router, para asegurar que todo el tráfico que generaban pasaba por la
misma.
Para ello, habilité una máquina virtual Backtrack, a modo de puente con dos interfaces de
red. Una de ellas conectada a la red en cuestión, 192.186.1.0, y la otra en una nueva red
El esquema no tardó en funcionar. La siguiente vez que se conectaron, todos los paquetes
pasaban por la nueva máquina puente, y tras una o dos sesiones de navegación, el log de
SSLstrip reveló su dirección de correo electrónico y su cuenta de Facebook:
En este punto había completado mi análisis, y con un poco de Google Hacking a partir de su
dirección de correo pude averiguar quiénes eran los vecinos, y confirmar que en efecto, se
trataba de una pareja de abogados, ella estudiando para presentarse a una oposición de
juez. Podría haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el
estilo, pero simplemente me limité a enviarles un correo informándoles de que estaba al
corriente de lo que habían hecho, dándoles algunos detalles que les mostraran queefectivamente tenía conocimiento de sus sesiones de navegación, y advertirle de los peligros
que corrían realizando este tipo de prácticas.
Me contestaron ofreciendo sus disculpas, comentándome que estaban avergonzados de su
comportamiento y que no tenían mucha idea de lo que estaban haciendo, ya que fue “un
amigo informático” el que les consiguió la conexión a Internet gratis.