jueves, noviembre 23, 2006

Secretos en Red (I de VII)

Así se llamaba la última sesión de la Gira Technet de Seguridad que se ha realizado de septiembre a Octubre de 2006. En esa gira hemos pasado por 8 ciudades que nos han “aguantado” durante al menos una mañana. Ahora el Cervi está con su niña preocupado por la seguridad y el LOVE (Lanzamiento de Office, Vista y Exchange) mientras que yo sigo con el SEX (Security Enhanced eXperience)XD.

En dicha sesión intentamos, una vez, concienciar a los asistentes de los peligros de no tener una infraestructura de PKI desplegada, en este caso, atacando a los sistemas de comunicación más comunes utilizados hoy por hoy. En este documento solo quiero reflejar el trabajo que se ha realizado para preparar estas demos y como se pueden replantear dichas demostraciones. Son 7, así que patience, que las iré poniendo poco a poco.

Demo 1: Chateando en red

La primera de las demos trata de capturar las conversaciones que se producen mediante la transmisión de mensajes de texto con el cliente MSN Messenger (cualquiera de sus versiones). Es importante no confundir el MSN Messenger, o Windows Live Messenger, ahora con las versiones Comunicator, que son los clientes empresariales de Live Comunications Server, servidor de Microsoft para comunicaciones de Voz sobre IP y mensajería instantánea, es decir, servicios Messenger pero en la empresa.

La aclaración entre MNS Messenger o Windows Live Messenger y su versión empresarial radica en la imposibilidad de poder interpretar, que no capturar, los mensajes que se transmiten en la versión empresarial ya que estos se envían cifrados.

El entorno de esta demo es el siguiente. La victima se encuentra en la misma red que el atacante, es decir, es un ataque que se produce aprovechándose de fallos en la seguridad de la red local. El objetivo del atacante es capturar e interpretar los mensajes de Messenger que alguien esta transmitiendo, para ello lo primero es conseguir que el tráfico de red pase por su equipo. Formas de conseguir esto:

1.- Red Wireless: En una red Wireless los mensajes que un cliente envía llegan a todos los equipos que se encuentren en la misma distancia, independientemente de si los receptores están o no dados de alta en la red. Si la red utiliza cifrado WEP o directamente no utiliza nada, un atacante podría, sin necesidad de conectarse a la red capturar los mensajes de Messenger. Si la red usa WPA o se ha desplegado una infraestructura de PKI este ataque no se puede realizar.

2.- Red local con Hub: En este caso el atacante se aprovecha de que los hubs por defecto envían los mensajes a todos los puertos del mismo, es decir, el mensaje que un cliente envía a otro equipo es enviado a todos los destinatarios y solo lo procesará aquel cuya MAC sea la de destino. Esto propicia a un atacante a activar el modo promiscuo de la tarjeta y capturar y procesar los mensajes que no vayan destinados a él. Existen en el mercado una evolución de los hubs que lo que hacen es filtrar quien es el destinatario y por los puertos de los No destinatarios envían ruido, ¿por qué envían ruido en lugar de no enviar nada como hace un Switch? Pues porque no tienen suficiente memoria para gestionar correctamente las comunicaciones concurrentes cruzadas en él y por tanto al transmitir ruido se garantiza el uso de la gestión de control CSMA/CD como en los hubs tradicionales. Si el Hub es un hub que emite ruido el ataque se realiza igual que en el punto 3.

3.- Red local con Switch: en este entorno nos encontramos con una rede switcheada que no ha desplegado una infraestructura de PKI. Para realizar este ataque el atacante se aprovecha de los ataques de envenenamiento ARP (Poisoning ARP) o de Robo de Puerto (Port Stealing) para conseguir que las comunicaciones pasen por su equipo. Programas como CAIN o Ettercap posibilitan este tipo de ataques. Este tipo de ataque se puede detectar mediante el uso de sistemas de detección de intrusos.

Vale, el objetivo uno es conseguir que el tráfico pase por la máquina del atacante. En cualquiera de eso tres entornos se puede conseguir. Una vez que se ha conseguido que el tráfico pase por el equipo solo hay que activar el sniffer para realizar una captura del tráfico. Cualquier Sniffer valdría, Iris, Ethereal, wireshark, SnifferPro, etc… y podemos buscar los mensajes transmitidos. En el caso del Messenger nos encontramos con un protocolo que a priori no es público y que además ha tenido variaciones a lo largo de las diferentes versiones del producto, pero que en el caso de los mensajes de texto está bastante documentadito y la mayoría de los sniffers detectan los paquetes y se pueden leer. No obstante, si queremos una tool más sencilla podemos utilizar el Shadow Instant Messages Sniffer de la empresa Safety-lab.com, responsables también de, para mi, la "bestia parda" en los Scanners de vulnerabilidades durante bastante tiempo (ahora lo dudo) Shadow Security Scanner (SSS) evolución de la hacking Tool Shadow Scanner.

Shadow IM Sniffer funciona con las librerias Winpcap, luego, podemos hacer el envenenamiento con CAIN del equipo al que se quiere espiar la conversación y luego arrancar SIMS y simplemente ir leyendo los mensajes.

El script de una demo como Prueba de Concepto sería tan sencillo como:

1) Arrancar dos clientes Messenger con dos sesiones de usuario
2) Envenenar la conexión de una de las máquinas con la puerta de enlace de conexión a Internet. Los mensajes van a través de los servidores de MSN a pesar de que estén en red de área local, por eso se hace con la puerta de enlace.
3) En la máquina atacante que está envenenado se arranca SIMS y se leen las conversaciones.

Nota: Durante el proceso de autenticación de un usuario en los servidores Messenger se realiza una autenticación de la máquina servidora, luego no se envían credenciales hasta que no se ha comprobado quien es la máquina receptora. Esto impide que ningún cliente se logue en el sistema si alguien está en medio.

17 comentarios:

txipi dijo...

Se agradecen los posts didácticos y bien explicados como este. A ver esas otras 6 entregas cómo van llegando ;-)

Kartones dijo...

Para el messenger no corporativo existen soluciones de terceros contra los sniffers.

Yo concretamente uso el SimpLite-MSN.

Salu2!

Maligno dijo...

ke paha txipi!! la verdad es que hay que tener tiempo y no es precisamente de lo que más dispongamos. Me debes algunas cosas kapuyo!! Estoy esperando.

Gracias por el link kartones, conocía otras herramientas pero no las he usado nunca por la movida de que tiene que tener instalado el otro el mismo software, pero está debuti. Lo que nosotros recomendamos es LCS o IPSec, pero como solución para comunicaciones entre colegas está debuti la que aportas.

Anónimo dijo...

Pues ya que no pude asistir al evento por jodiendas diversas que te van haciendo perder el tiempo me viene de pm. A ver si alguna de las sesiones explicas como os fué la noche anterior por la farándula noctámbula sevillana ;)

Espero que la próxima en Sevilla podamos disfrutar de una cañas together, joer...

Fdo: gus from Entelekia

silverhack dijo...

Hermano... Pedazo de texto y explicación. Ya no sólo explicas la forma de hacerlo, sino que explicas la forma de hacerlo en función del tipo de escenario en el que nos encontremos. Explicas el funcionamiento básico de un switch, hub, etc.. Manual para cortitos? :)
Así da gusto aprender coño...
Ya tengo material calentito para este fin de semana..
Mi escenario particular... Un PC con 5 tarjetas de red, un switch y 4 máquinitas virtuales... Por supuesto con virtual PC.. :)

Por cierto...
Digan lo que digan en Sevilla nos tomamos un cafelito con unas pastitas, que por cierto estaban deliciosas. Y doy FE que a las 22:00 hora zulú estabamos todos en la camita soñando con los angelitos...
Si alguien dice lo contrario miente descaradamente... :)

Maligno dijo...

Anda pájaros!!! que vuelvo a Sevilla en Enero, asín que....

penyaskito dijo...

silverhack tiene razón, a las 10 en casa.

En enero nos tomamos otras pastitas, ¿no?

Maligno dijo...

Yo me apunto!

El día 16 de Enero estaré a primera hora en el University Tour, luego quiero pasarme por el lanzamiento LOVE a hacer la parte de Vista con el abuelo aprovechando que es el mismo día por la mañana y por la tarde, estaremos libre. Recuerdale al jefe del club algo sobre el número 23 de Excalibur!! jeje. Si por la tarde no montais nada me piro de compras de comics, luego fiest.. digo, pastitas y cama, y el 17 nos vamos a Malaga que el 18 tenemos previsto (aún no confirmado) hacer una charla con la Junta e Hispasec. Así que ... vamos a morir!!

penyaskito dijo...

Anotado Chema.

penyaskito dijo...

Se me olvidaba... Si necesitas chófer avisa pa buscar uno... Tú sabes, mismo plan de la otra vez...

Maligno dijo...

Avisaré....

GaBuG dijo...

Buenas, ante todo suponer que no seré leido dada la antigüedad del post, pero por intentarlo no pierdo nada:

Estuve allí, de exursion con la clase, flipando en el meliá de Sevilla entre el contenido de la charla (mas por ti Chema, que por tu compañero mas trajeado y bastante menos fiestero) y la velocidad en que desapareció el desayuno.
Me aburrí en algún instante como todos los de la sala con el rollo de los certificados (no por eso era menos interesante, pero nos cautivabas a todos con tu parte)
Hasta ahora no me había picado la curiosidad de poner en practica lo aprendido, básicamente porque soy dueño de portátil desde hace un mes, y en la lan de casa solo estaba yo.
Así que, me dispongo a visitar tu blog y a recordar esa didáctica mañana. Me encuentro con la perfecta explicación acerca de los diferentes marcos en los que nos podemos encontrar, y como estoy en el PC grande y tengo casualmente a una personita utilizando el laptop, me dispongo a probar con el router. Perfecto, esta kedando con las amigas para cenar... ¬¬ jajaja que divertido!
Más tarde me dispongo a la prueba con el vecino, y es cuando me pego contra la pared: como coño pongo mi novedosa intel 4965AGN en modo "me lo follo todo"? ni siquiera san google me salva de mi aprieto. Yo supuse que lo del winpcap servia para eso! pero parece que solo es para ethernet.
Asi que, paso de enrollarme más, si alguien me dice como desvirgar la wifi de mi asus pa poder sacarle la wep al vecino y hacer la prueba en condiciones, se lo agradeceré encarecidamente.

Un saludo. Deseando volver a verte por aqui.

GaBuG

penyaskito dijo...

@gabug: Aquí se lee todo, pero están entretenidos con el IV reto...

Maligno dijo...

Hola GaBuG,

como ya te ha dicho Penyaskito "aquí se lee todo" porque están los comentarios en el RSS (si te lo agregas te darás cuenta) y es cierto que estabamos liados con el IV Reto Hacking.

Siento lo del desayuno y gracias por el comentario :P. Lo de los certificados es un poco denso, las cosas como son, pero... hay que saberlo. Sobre el tema de Wifi, el mejor foro es sin duda el de http://hwagm.elhacker.net/. Hay tienes todo lo que existe sobre seguridad y hacking Wifi y la distro Live de Wifislax tiene todo lo que necesitas para que tu tarjeta se ponga en modo "follator".

Si tienes dudas pregunta y ... bajamos a Sevilla en Enero creo, pero si estás atento al blog te enterarás.

Saludos!

GaBuG dijo...

Jajaja, muchas gracias por las respuestas señores ^^, ahora mismo consulto la web a ver que encuentro. Por lo demas, me apuntare al RSS (sistema con cuyo icono me he topado mas de una vez pero que nunca me ha dado por clickear) para ver cuando te welvo a ver por aqui. Thanks again!

Anónimo dijo...

Hola. Cuando decias "1.- Red Wireless: En una red Wireless los mensajes que un cliente envía llegan a todos los equipos que se encuentren en la misma distancia, independientemente de si los receptores están o no dados de alta en la red. Si la red utiliza cifrado WEP o directamente no utiliza nada, un atacante podría, sin necesidad de conectarse a la red capturar los mensajes de Messenger. Si la red usa WPA o se ha desplegado una infraestructura de PKI este ataque no se puede realizar."

Solo hace falta snifar la red wifi o hay que realizar arp poisoning sobre la victima?

Muchas Gracias.

Maligno dijo...

@anónimo, basta con sniffar...

Entradas populares