miércoles, abril 03, 2013

Hackeando al vecino hax0r que me roba la WiFi (1 de 2)

Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi). Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya mandaría yo a los de seguridad.

Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con el nombre de host “Rober1”. En efecto, algún vecino estaba intentando utilizar mi red, y considerando que como poco había tenido que utilizar alguna herramienta para obtener la contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto.

El primer impulso de cualquiera ante una situación así, podría ser el de cambiar el cifrado de la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es el intruso.

Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a un compromiso ineludible, además de desconectar todos mis equipos de la red, y dejarle así todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue poner rápidamente uno de mis equipos con Backtrack5, una antena WiFiy la suite Aircrack, a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener algún dato que me pudiese dar información acerca del vecino para conocer  sus intenciones, pues podría pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para la batalla.

Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una captura de tráfico. Una vez cargada la captura, Network Miner identifica todos los hosts presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de chat, credenciales y sesiones si se han capturado, peticiones DNS, parámetros GET.. Además proporciona información interesante sobre los equipos presentes en la captura, que por otra parte podría obtenerse con cualquier otro analizador de tráfico tipo Wireshark, pero facilita bastante la tarea.

Figura 1: Información del equipo presente en la captura con NetworkMiner

La primera lectura que podía realizar es que se trataba de un equipo con sistema operativo Windows, de nombre “Rober1”, que estaba utilizando mi red para navegar por Internet. Analizando las tramas y las conexiones establecidas, los sitios webs más visitados durante la sesión de navegación, que duró cerca de 20 minutos, eran los siguientes:
http://www.vanitatis.com
http://www.elpais.com/gente
http://devilwearszara.com
http://www.fotoplatino.com
En la siguiente imagen se pueden observar algunas de las imágenes descargadas durante la sesión de navegación:

Figura 2: Imágenes presentes en la captura analizada con NetworkMiner

Sin querer entrar en un debate y limitándome a relatar en este artículo cuáles fueron mis suposiciones y el proceso mental seguido, mi primera impresión fue que más que tratarse de un hacker, se trataba de o bien una hacker o bien la amiga, novia, madre, hermana o esposa de “Rober1”, pues eran todas páginas de  lo que yo considero “marujeo”, orientadas más a un público femenino.

Realizando un análisis más profundo con herramientas como CookieCadger o Wireshark, también di con información exacta del equipo que estaba utilizando para conectarse a Internet, identificando peticiones HTTP, correspondientes a la comprobación de actualizaciones disponibles para un Notebook Asus F50SL:

Figura 3: URL para comprobar las actualizaciones de Notebook Asus F50SL

El siguiente paso consistiría en intentar conseguir más información mediante un ataque man in the middle, para intentar obtener alguna credencial en algún sitio web donde tuviera que identificarse, pero para eso debería de estar en casa esperando justo en el momento en que mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilicé Cain + Wireshark en entorno Windows, y también arpsoof en entorno Linux. Coincidimos un par de veces a la misma hora, pero resultó que en esas ocasiones el único tráfico que generaba mi vecino, era el correspondiente a visualizar vídeos en Youtube de bebés. Esto alimentó aún más mi sospecha de que se tratara de una mujer.

Por supuesto, en aquellas ocasiones en que coincidía conectado a la vez que mi vecino/a, antes de intentar un ataque MITM, me propuse escanear su máquina con nmap, pero los puertos estaban filtrados por el Firewall de Windows.

Seguía sin poder identificar al vecino, pues a pesar de tener acceso al tráfico que generaba, no existía ningún rastro de sitios donde se autenticara con credenciales. Ni correo, ni Facebook, ni nada en un principio. Los días fueron pasando, y cada vez era más difícil coincidir en horarios para realizar un MITM. Entre el trabajo y mi reciente estrenada paternidad, complicado cuadrar con el vecino/a.

Por otra parte, este tipo de ataque, no siempre funcionaba del todo bien, hecho que podía achacar también a la distancia del equipo a mi router, pero no penséis ni por un instante que lo iba a dejar así, ¡qué me estaba hackeando la WiFi!

Deepak Daswani
(dipu.daswani@gmail.com)
(http://twitter.com/dipudaswani)

***********************************************************************************
- Hackeando al vecino hax0r que me roba la WiFi (1 de 2)
- Hackeando al vecino hax0r que me roba la WiFi (2 de 2)
***********************************************************************************

53 comentarios:

Anónimo dijo...

Hay ciertas connotaciones tanto morales como legales debatibles en tu acción. Por lo pronto, me espero a la parte 2.

TrG dijo...

jajaja muy bueno, deseando ver leer la parte 2 ya xDxD

yo estoy comenzando a aprender a usar wireshark en la uni, y estoy flipando xD

Nicolás Torres dijo...

Interesante Chema, esto debería ser tu próximo libro. Están de moda muchas herramientas para la obtención de claves el famoso SpeedTouch -i xxxxxx -v. espero ansioso la segunda parte.

Alex dijo...

Espero ansioso la parte 2 :)

Anónimo dijo...

grande LaWR! interesante post...

Jori dijo...

Jajajajaj Robert1 conejillo de indias, veremos como sigue esto, un saludo.

Sebastián Greco dijo...

Videos de bebé en youtube :D Muy entretenido el post! A ver cómo sigue la historia :)

Anónimo dijo...

M muero de ganas por ver como akba la 2 parte. :)

Capde dijo...

Vídeos de bebes ....y dices que recientemente has estrenado paternidad.
No sera tu mujer que se esta conectando al "GüIFI" ??
Por otra parte si es tu mujer sospecha con lo de "Rober1" xD

A la espera de la segunda parte.

Saludos

Rafa González dijo...

Esto engancha más que Juego de Tronos.... ;-). A la espera de 1x02!

Javox dijo...

Interesante historia... concuerdo con la opción, que puede ser tu mujer!!!, a la espera de la segunda parte :-)

Anónimo dijo...

No habras hackeado a tu señora buscando cosas para el bebe???

;))

victorhckinthefreeworld dijo...

Muy bueno!!

Anónimo dijo...

@Anonimo
hay ciertas connotaciones... para empezar quien está haciendo algo malo es el tal rober1 bueno o al menos quien le facilito la clave wifi, como si quieres poner un cebo "WEP" para cazar intrusos puedo entender parte de tu comentario pero tampoco es para tanto, lo malo no es hacer un MITM o buscar cualquier tipo de info que nos facilite saber quien es, sino extorsionar a esa persona o lucrarse con algún tipo de chantaje.

Dipu Daswani dijo...

Jajaja, mi mujer no era, os lo aseguro.
En alguna ocasión sí que salía tráfico de ella, pero estos vídeos de bebés no. Con nuestra princesa tenemos suficiente. :)
De hecho a mi mujer le aconsejé que dejara de usar la WIFI unos días, para dejarle todo el ancho de banda a "Rober1" y para que los paquetes no salieran en las capturas :)
La segunda parte promete, para mí es la mejor, veréis cosas muy interesantes.
Un saludo a todos y gracias por comentar.

Dipu Daswani

Anónimo dijo...

Divertido artículo ^_^

Para realizar el MiTM no sería más fácil directamente hacerlo conectándote por un cable de red a tu propio router y así eliminas los problemas del wifi. Y más sencillo aún, desactivas el DHCP del router, pones uno en tu pc y que tu pc haga de gateway/router/nat y listo, ahí no habrá paquete que se te escape.
Podría suceder que se haya puesto una IP a mano y la del gateway a mano, en tal caso, cambias las IPs de tu pc y blablablabla

Anónimo dijo...

Ya veo que tienes muchos fans, y además entusiasmados, pero, friamente, menudo despliegue porque alguien te use la wifi... y además sientes la necesidad de publicarlo... en fin, es como matar moscas a cañonazos.

Por cierto, un post cargado de prejuicios, además con una wifi wep, llamarle al "intruso" Hacker... ya es la leche, con todas las aplicaciones de botón gordo que hay por ahí.

Y digo yo, ya que sabes tanto ¿por qué la tienes como WEP? ¿No sabes tanto? ¿Dejas las llaves de tu coche puestas y encendido en la calle a menudo? Mira que eso no lo cubre el seguro. No será que estabas buscando algo así porque...

Y por último, a pesar de que la persona que está usando tu wifi sin permiso esté cometiendo una ilegalidad, estaría por apostar que eso que has hecho tú también es ilegal, por mucho que sea tu wifi, el cliente no es tuyo.

Bueno, a seguir bien, si lo importante es ser feliz.

Anónimo dijo...

Eres un crack tío, en la primera foto tapas la MAC del colega pero en la 3 no, muy bueno.

Bien es verdad que una mac así no vale para nada, pero bueno.

Jesús Pimentel dijo...

Entretenida e instructiva. Con ganas de leer la 2 parte.

Anónimo dijo...

lo malo no es hacer un MITM o buscar cualquier tipo de info que nos facilite saber quien es....
hombre, cuando habla de coger sus credenciales para ver quien es, eso no es legal aquí, y en la china popular.
Y las connotaciones morales son que él ha facilitado algo mucho sabiendo que ésto iba a pasar.
Exagerándolo mucho, es como si en un barrio muy malo dejo la puerta de mi casa cerrada con una cuerda o un candado de los chinos y me espero detrás de un seto con un palo con clavos a que alguien entre.
No digo que no sea gracioso o que yo no lo hiciese, pero no mencionar que robar las credenciales puede ser un delito me parece un error.
Del mismo modo que si este señor denuncia a Rober1 y el juez del caso tropieza con este foro lo más seguro es que el puro se lo coma este señor.

Anónimo dijo...

Madre mia la que estais liando por una chorrada de MITM.

Habrá que veros a vosotros los santos que sois en este tipo de ataques, fijo que como sois tan legales no habéis probado nunca... ¬¬

Enfin.

Pd: Entretenido e interesante articulo Chema,

Un saludo!

David dijo...

@anónimo de las 6:36.

Tu razonamiento se cae por propio peso: "y tú más". Pues si alguien ha hecho un MITM, también es ilegal. Por cierto que entrar en la correspondencia privada de una persona es un delito muy grave, no es una "chorrada de MiTM", es un puro de los buenos.

Si quieres hacer pruebas, es super sencillo probar sin quebrantar ninguna ley.

Pero, querido anónimo, eso no es lo que canta aquí, lo "mejor" es que va el tío y se jacta, por eso le digo Deepak Daswani, felicidades, has hecho una práctica que no tiene absoluta dificultad técnica y lo has publicado cual conferencia Black Hat.

PD: Chemita, tú tienes parte de cagada en eso según mi punto de vista, a veces hay que saber decir que no.


That's life folks.

Rober1 dijo...

Gracias por compartir esta entrañable historia de vecinos.

Dipu, lo de entrar en tu wifi era para despistarte. En realidad me interesa más el pan. ¿NO te has fijado que en la bolsa del pan de tu puerta siempre falta un pan?

Mientras tú trabajabas en desenmascararme, yo me comía el pan... calentito, crujiente.... Your bread has got owned !!

No, en serio, buen artículo. Aprendemos muchas cosas gracias a tipos como Dipu y Chema. Compartir siempre es de agradecer.

Un abrazo a todos.

Unknown dijo...
Este comentario ha sido eliminado por el autor.
Deepak Daswani dijo...

@Anónimo @David En primer lugar, gracias por leer el artículo y comentar. Toda crítica es bien recibida. En segundo lugar, habéis leído sólo la primera parte del artículo, no la práctica completa. En ningún momento he hablado de robar credenciales, o entrar en la privacidad de nadie, que por otra parte se conecta a una red de manera ilegal.
En segundo lugar, para Anónimo, la Wifi se quedó con cifrado WEP pues la estaba utilizando para hacer pruebas de ataques tales como fragmentación, chop-chop o Caffe Latte, como bien expongo en el primer párrafo del artículo.
Lo dicho, os invito a leer la segunda parte, y ya comentaremos a ver qué os parece.
Muchas Gracias a todos por la crítica.

P.D: Por cierto David, en ningún lugar me he jactado de saber demasiado. Precisamente lo que más me apasiona de este mundo es que nunca dejo de aprender. Habiendo gente con tal nivel de conocimientos y de experiencia como Chema, el último en jactarse de nada voy a ser yo. Se trataba de compartir con todos ustedes mi experiencia y el proceso seguido para culminar el análisis. Gracias de todas formas por tu crítica, la cual aprecio. Un saludo amigo

Emilito dijo...

....y que tal si alguno de tus amigos hackeo tu WiFi para que tu señora te juegue una buena broma?. ..espero la segunda parte

David dijo...

OK Deepak Daswani, sólo te voy a poner dos extractos de tu texto para que me digas si son contradictorios:
"El siguiente paso consistiría en intentar conseguir más información mediante un ataque man in the middle, para intentar obtener alguna credencial en algún sitio web donde tuviera que identificarse, pero para eso debería de estar en casa esperando justo en el momento en que mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilicé Cain..."

Y tu respuesta fue:
"En ningún momento he hablado de robar credenciales, o entrar en la privacidad de nadie, que por otra parte se conecta a una red de manera ilegal. "


Vale, para mi eso es justo lo contrario.

Anónimo dijo...

anonimo 6:02 p.m.
Si cierto es ilegal, pero tendrías que esperar al siguiente artículo amigo, entiendo tu parte pero tu no entiendes la mia, y no se porque defiendes tanto lo legal en cuanto nuestro pais es el primero en cometer esas ilegalidades que el mismo ha creado. Comparandolo con lo que veo cada día en las noticias esto no es nada, al menos por culpa de esto nadie se suicida...

Maxi dijo...

Dios como me llenan las bolas literalmente las personas que se ponen a cuestionar lo que es legal y lo que no, es un blog, nadie los obliga a leerlo, y por mas que cuente lo que cuente, en ningún momento se ve que lo haga efectivamente asi que no jodan, porque la verdad tan interesante "anecdota" y que se pongan a cuestionar esas boludeces jode... Creyendose "autoridades" detras del teclado, lastima dan. Espero la parte 2, esta vez, con comentarios que tengan que no sean off-topic. Saludos

Maxi dijo...

con comentarios que no sean off-topic. Saludos

Anónimo dijo...

Con todo el respeto, pase que digas que quien se conectaba a tu router era mujer porque esas páginas que visitaba eran típicas páginas de marujeo o porque veía vídeos de bebés en YouTube. Pero de ahí a deducir que era la mujer de un hacker... ¿No te has planteado que las mujeres también saben de informática y pueden ser hackers? ¿Has comentado alguna vez con tu mujer (dices que acabas de ser padre) lo que piensas sobre ellas? ¿Si tienes una hija le vas a transmitir esos valores, la vas a volcar en el cotilleo o preferirás que estudie informática? Hay muchas opciones: puesto que veía niños en Youtube podía ser un hacker pedófilo o, incluso, una hacker pedófila o algo peor en la mente de muchos: un hombre al que su mujer, una hacker, le proporciona la contraseña de un vecino para que lea revistas de cotilleo y vea vídeos de niños en YouTube, porque le gustan los niños; alqo que probablemente entiendas, porque al ser tú padre, deduzco que también te gustan los niños; aunque supongo que solo para jugar con ellos y no para cocinarlos, lo cual es más propio de otra clase de animales como el pollo, la ternera, etc.

En fin, la mayoría de las veces ocurre sin querer, pero es tan fácil que el machismo se deslice en lo que decímos cotidianamente que deberíamos estar un poco más preparados para evitarlo.

Saludos,



Antonio

Juan Hernández dijo...

Joder, cuanto maricomplejillo tocapelotas con tiempo libre...
Ánimo, tú ni caso!
Un abrazo

Anónimo dijo...

Seria interesante que publicaras un post para que podamos instalar y monitorear nuestras redes de visitantes indeseables y auditarlas para tener herramientas contra ellos y de paso entrenar.

Agustín Hernández dijo...

Magnífico artículo en cuanto al contenido y forma de relatarlo. Enhorabuena.

Anónimo dijo...

A mí no me importa mucho que me chuleen Internet (que yo sepa nunca lo han hecho, pero bueno) si es alguien que sólo necesita mirar su correo un par de veces al día, y navegar un ratito. Entiendo que hay gente que lo está pasando muy mal (no vivo en un barrio precisamente pudiente). La jodienda es si se ponen a bajarse pelis y cosas así, y me dejan con el ancho de banda tiritando de forma que acabo navegando a tirones y haciendo todo lo que qeuiro hacer en la red, a pedales. Si a eso le sumas que uno no sabe si le chulean Internet porque están tiesos, o si lo hacen porque quieren hacerte un allanamiento de ordenador en toda regla, pues la verdad es que entiendo perfectamente tu respuesta.

Pero hay algo que no entiendo: mencionas la idea de pillarle la contraseña del «Caralibro». La web de Facebook está cifrada. ¿Quieres decir que aunque esté cifrada, si alguien está en tu misma red puedes leer su tráfico con ese sitio web? Pensaba que el cifrado se establecía entre el servidor y el equipo que realizaba la petición, y que nadie más en la red podía leer el tráfico por mucho que capturase paquetes ya que no dispondría de la clave de cifrado. ¿No es así? ¿Cada vez que entro en mi FB, en mi Gmail, en mi banco, etc, cualquiera que esté conectado a mi red, aunque sea legítimamente, como mis compañeros de piso, podrían leer ese tráfico supuestamente cifrado? ¡porque entonces menuda mierda de protocolo https «seguro»!

Anger dijo...

De momento sentí que estaba dando lectura a un libro titulado #La Sombra del Hacker#... Muy bueno la Primera y Segunda Parte.

Anónimo dijo...

Yo estoy seguro de que te lo has inventado todo. sin ninguna duda.
Una historieta entretenida.

Anónimo dijo...

Muy interesante el asunto. Quería saber si me podéis decir cómo se puede ver no ya el DHCP con las IP conectadas en ese momento, sino un historial con todas las que se han conectado en los últios días? Gracias y saludos,
AdrianoSP

leon dijo...

Buenas tardes, leyendo por la web es la enesima vez que caigo en tu blog buscando info de redes, me ha gustado mucho este articulo y lo he tomado como practica.

Hago la captura con el Commview, saca unos 200mb en el archivo cap, algo asi como unos 200,000 paquetes, pero no he podido descifrar de manera exitosa el contenido de dicho archivo, alguien me orienta plz??

Gracias

Anónimo dijo...

Cuando no tenia plata usaba las wep de los vecinos pero solo para entretenimiento, nunca para tramites oficiales, pues sabia que si se lo proponian, tambien podian interceptarla. Ahora que tengo mi propia conexion es WPA y ademas pongo otras herramientas de seguridad....En tu juego del Gato y el raton, ya se que el raton va a salir ganando.

pingoleon108 dijo...

Inspirado en Jaime?
http://campuse.ro/social/resource/33141/view.cp

Anónimo dijo...

A mi me ha gustado el entretenimiento, aunque por no ser del ramo he entendido lo justo. ¿Y qué pasó desdee abril?

Anónimo dijo...

A "Anónimo" que plantea la ilegalidad de "robar credenciales" para verificar la identidad de alguien que se conecta a una wifi de manera ilegal.
Una cosa es robar credenciales y otra intentar verificar la identidad de alguien por el trafico de una red a la que esta conectada de manera ilegal. Ejemplo: hacer foto contra un ladron que roba no es un delito contra la intimidad del ladron.

Tenma Uni dijo...

waooo!! si que estuvo algo conflictivo eso.. y como dices, es malo estar robando wifi de las demás personas. Me gusto mucho que publicaste una de las experiencias que has tenido, y me pareció muy interesante :)!!
Gracias por compartirlo con nosotros n.n!!

Tenma Uni dijo...
Este comentario ha sido eliminado por el autor.
Anónimo dijo...

Hasta ahora no doy con "airdecrypt", quizás te has confundido de nombre, te agradecería que me dijeras cual es la tool que usaste para capturar el trafico.

Ana Romero dijo...

Hola, yo tengo un problema con mi wifi, no soy nada experta pero se metieron en mi wifi (teniendo wpa/wpa2) asi que cambie la contraseña de mi wifi y el nombre. Volvieron a entrar y hice filtrado de macs, asiq m dejaron en paz durante un tiempo...pero hoy se han vuelto a meter y no se como lo hacen...estoy desesperada ya T.T me tienen las bolas hinchadas!! :< a saber lo q estan haciendo en mi ordenador si tan insistentes son...(salia que mi vecino tenia un 86% de mi señal wifi..asiq cerca esta cosa q m da aun mas miedo xD)

Ana Romero dijo...

Hola, yo tengo un problema con mi wifi, no soy nada experta pero se metieron en mi wifi (teniendo wpa/wpa2) asi que cambie la contraseña de mi wifi y el nombre. Volvieron a entrar y hice filtrado de macs, asiq m dejaron en paz durante un tiempo...pero hoy se han vuelto a meter y no se como lo hacen...estoy desesperada ya T.T me tienen las bolas hinchadas!! :< a saber lo q estan haciendo en mi ordenador si tan insistentes son...(salia que mi vecino tenia un 86% de mi señal wifi..asiq cerca esta cosa q m da aun mas miedo xD)

Marieta dijo...

Uff, pues conmigo mi vecino/a lo tiene fácil. No sé de nada de lo que estás hablando. Estoy muy pegada en todo lo relacionado a las tecnologías. El caso es que mi vecino/a no se conforma con robarme internet sino que me cambia la clave y me deja días sin acceso y hasta que no viene el técnico de Vodafone no vuelvo a tener internet. ¿QUÉ PODRÍA HACER? ¡QUÉ PENA NO TENER UN AMIGO O FAMILIAR COMO TÚ!

Anónimo dijo...

Es mucho más fácil que todo lo que cuenta aquí...

kino ochoa edeel dijo...

Yo e usado backtrack y algunas veces,me aparece un mensaje de windows informándome que otro dispositivo tiene mi misma ip

Anónimo dijo...

No puedes luchar contra un delito cometiendo otro delito, es contradictorio. Si consideramos que la privacidad es el bien mas importante que puede tener una persona, mas importante que una coneccion de internet, entonces tu acto de espiar es mas grave que el acto de robar internet de la otra persona. Es como mandar a la guillotina a una persona por robar un cerdo. es como lichar a una persona por robar algo, existe una evidente desproporcion entre el mal cometido y la supuesta autodefensa.

Anónimo dijo...

yo a mi vecino me hizo eso y le meti un monton de virus y mierdas asta aviso como deja mi puto wifi o tu pc caera si apartir de mañana veo movimiento tuyo en mi wifi tendre permiso de ataque y el muy idiota siguio y como es obio le revente el pc a virus y cosas nunca supo quien fue ya que oculte ip y ect me ice anonymo para el quien sera mi siguiente victima? EL QUE ENTRE!

Entradas populares