Sigue El lado del mal en Telegram
Chema Alonso en Threads
Chema Alonso en Mastodon
Chema Alonso 3DAIS
Chema Alonso en BSKY
Chema Alonso en Linkedin
DragonJAR
8.8 Chile
Ekoparty
e-Hack MX 
AREA 51 
Comunidad Dojo Panamá 
ARPAHE SOLUTIONS 
El ordenador plataformado del teletrabajo a la WiFi de Invitados, con la webcam tapada y sin micrófono.
Hace unos días me toco investigar un asunto un poco "crappy". Las luces de casa de una persona se encendían y apagaban. Algo no iba bien, y claro, la presencia de alguien no deseado en la red podría ser una realidad. Os cuento el escenario, completo.
Figura 1: El ordenador plataformado del teletrabajo a la WiFi
de Invitados, con la webcam tapada y sin micrófono.
Un router de fibra con UPNP y un red WiFi a la que se conectan todos los equipos, unas bombillas Smart-Bulb con WiFi que se conectan a la WiFi, y un Alexa con las que se controlan dichas bombillas. Recordando mis años de consultoría, la idea es hacer una lista de todas la posibilidades y luego ir descartándolas una a una hasta que quede la más posible. Esta es la lista que hizo mi cabeza:
- Crack de WiFi: Parece lo más sencillo, así que había que revisar el protocolo de seguridad de la red, y ver la robustez que tenía. En este caso era un WPA2/PSK, así que la robustez depende de la contraseña. De todo esto, hemos publicado un libro fantástico que lo explica en detalle.
Figura 2: Libro de "Hacking redes WiFi: Tecnología, Auditorías y Fortificación".
de Ferran Verdés Castelló en 0xWord
- Exploit para Router: Esta posibilidad podría darse si hay un 0day de explotación remota para el router, pero eso significaría que tenía abierto el panel de administración a Intenet.
- Default User: Otra posibilidad muy típica. Dejar el router con el usuario por defecto y que alguien desde Internet lo usara para conectarse al panel, ver la clave, y conectarse a la red. De esto sabe mucho Gerard Fuguet que se lo encuentra a su alrededor en los dispositivos del hogar muy amenudo.
Escrito por Gerard Fuguet.
- Hack de Alexa: Otra de las posibilidades que pasó por mi cabeza fue que alguien estuviera jugando con los utlrasonidos y Alexa, pero para ello Alexa debía reaccionar, y no estaba reaccionando, así que esta posiblidad se quedó fuera.
- Hack de las bombillas: Las SmartBulbs tienen un back-end en Singapur, otro en USA y otro en China, así que podría ser que alguien hubiera vulnerado el panel y la cuenta del panel de las bombillas. Ya que estas bombillas se controlan también vía Internet con una app. Podrían haber hecho un password spraying o algo así. Había que revisar esa cuenta.
- Insider en un equipo de la red: Esta era la última posibilidad, y consistía en un posible equipo infectado controlado por un atacante..
Así que había que revisar todo. Paso a paso. Descartado el posible hack de Alexa - aún así se desconecto para probar -, tocó cambiar la contraseña de la WiFi a una más robusta aún (just in case), revisar a ver si el panel estaba en Internet - nop - se desactivó el UPNP por si algún software se abría un puerto raro y tiraba alguna conexión no deseada, se revisó a ver si había exploits del Router WiFi, y nada. Todo eso estaba ok. Eso sí, contraseñas por defecto en el router, pero no accesible a Internet, solo en local.
Todo eso apuntaba a que el atacante podría estar dentro. Y en ese momento hablamos de los equipos, uno de ellos, de teletrabajo administrado remotamente por el equipo IT de la empresa que, además, se puede conectar sin pedir permiso al usuario, porque el software que tienen les permite hacer eso. Y saltaron todas las alarmas.
 |
| Figura 5: Hacking Windows: "Ataques a sistemas y redes Microsoft" de Pablo González, Carlos García y Valentín Martín. |
Por supuesto, no se tenía historial de conexiones, ni se sabía quién se había conectado, así que hubo que tomar las medidas pertinentes. Eliminar cualquier rastro de identidades personales, tales como cuentas de Gmail, WhatsApp, Telegram, Instagram en el navegador local - muy común si usas Google Chrome y sincronizas el Password Manager de Google -, y lo más importante, aislar ese equipo a la red de invitados.
Lógicamente como es un equipo Windows, tapar la Webcam y el micrófono del PC, para solo usar el micrófono de unos auriculares inalámbricos que tengan bloqueo físico, porque si no, alguien con acceso a ese PC podría arrancar software de grabación de Webcam o de Audio, y adiós a tu intimidad.
 |
| Figura 6: Libro de Ataques en redes de datos IPv4 & IPv6 3ª Edición de Juan Luis Rambla, Chema Alonso y Pablo González |
No hay certeza - aún -, de que alguien se haya conectado al equipo remoto y haya hecho esa acción maliciosa, y podría ser también un error puntual de la bombilla, o un bug en el panel remoto de estas Smart-Bulbs, pero como protección por si el problema está en ese equipo, se ha "aislado" del audio, el vídeo y la red de la casa donde está situado. Y también cambiadas las credenciales por defecto del router y configurar actualizaciones automáticas de firmware, que desde dentro de la red se tiene acceso al panel de administración del router - que no tiene un 2FA en este caso -.
Figura 7: Activación de WiFi de Invitados en la Living App de SmartWifi
Si estas teletrabajando, recuerda que ese equipo está administrado remotamente, así que aíslalo de la red. Exige que haya un seguimiento de quién se conecta a ese equipo - que está en tu casa - y que la empresa guarde un registro de los comandos que ejecuta con software de gestión de cuentas privilegiadas, porque podría grabar audio o vídeo remotamente, o hacer cosas en la red de tu hogar sin que tú lo sepas, así que cuanto más aislado de tu entorno lo tengas, mejor que mejor.
¡Saludos Malignos!
Autor: Chema Alonso (Contactar con Chema Alonso)
No hay comentarios:
Publicar un comentario