Entre Marilyn & Manson: Vulnerando IPv6 con Man-in-the-middle usando NDP en la red de tu casa con Kali Linux

IPv6 es un acrónimo alfanumérico de cuatro caracteres de longitud que, a su “descompresión” viene a decir/representar: Internet Protocol version 6 ¿Se puede “comprimir”/acortar más? Esa es la idea… El objetivo es lograr una reducción a su mitad, tal que: IP. Dejando a un lado (u obviando) su versionado.

Figura 1: Entre Marilyn & Manson - Vulnerando IPv6 con Man-in-the-middle

usando NDP en la red de tu casa (atacando con Kali Linux)

Podría describirse la palabra versión como sustantivo femenino que se refiere a la forma o variante particular de algo, especialmente cuando existen varias alternativas o modificaciones de un mismo objeto, texto, idea o producto. En un contexto tecnológico, puede haber un par de motivos para destacar/resaltar una versión frente a un protocolo;

• Mismo protocolo pero con grandes diferencias en funcionalidades y capacidades (nuevas y/o mejoradas).

• Convertirse en deprecado debido a un agujero, fallo de seguridad lo suficientemente grave como para hacerse hincapié sobre ello y movilizar a los recursos necesarios para erradicarse o ser cambiado mediante una actualización, etc.

En este caso, el motivo en IPv6 es el primero descrito. Todavía a día de hoy, no hemos podido hacernos con la misión, no hemos sido capaces de resolver el problema y quedarnos con la versión actual. Según calendario, llevamos con “el pez que se muerde la cola” desde 2010 aproximadamente a un modo de alerta recurrente. Tal vez sea lo más parecido a la escasez del petróleo en este actual siglo ¿Y... cómo ponemos solución al remedio?

IPv6 Council al Rescate

La IPv6 Council es una asociación, grupo de interés sin ánimo de lucro con espíritu muy colaborativo, portadora de ideas, ganas de promocionar, dar soporte... con el afán de “apadrinar” a la “sexta elementa” para poner a España a la vanguardia tecnológica haciendo uso de la versión “moderna” del protocolo IP.

Figura 2: Contactar con Carlos Ralli Ucendo

Liderado por Carlos Ralli, Fran Gómez y Rafa Sánchez, se mira de hacer todo lo posible para hacer llegar preocupaciones, tácticas de encaje con dinamismo y posturas flexibles al extenso ámbito tecnológico, ya que, la IP es un pilar básico de cualquier dispositivo digital (como toda la “cacharrería” de los IoT).

Figura 3: Foto de la ponencia IPv6 Council llamada “Firechat - Coloquio: entendiendo Shadow-IPv6 como viento a favor” en MTW/OpenExpo con Tony de la Fuente, Carlos Ralli, Federico Teti, Chema Alonso, Fran Gómez y Rafa Sánchez

Sin ir más lejos, en este mismo mes de Mayo han estado presencialmente en el congreso MetaWorld Congress [MTW]/OpenExpo celebrado en la La Nave de Madrid.

Escasa Documentación

Lamentablemente, no se dispone de mucha documentación al respecto a día de hoy. La IPv6 Council toma como referencia el libro Ataques en redes de datos IPv4 e IPv6 publicado por 0xWord y escrito por Juan Luis García Rambla, Chema Alonso y Pablo González. 

Figura 4: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

Al tratarse de ataques tanto en IP “clásica” como en IPv6, tienen que explicar sus bases de raíz para tener un mínimo contexto. Si le echáis un vistazo al índice podréis ver los conceptos en su capítulo V, apartado 5.1, “Conceptos básicos sobre IPv6”.

Figura 5: Índice del libro "Ataques en redes de datos IPv4&IPv6 (4ª Edición)" 

En la charla impartida en MTW/OpenExpo (en la sala Microsoft Room) Chema Alonso estuvo comentando acerca de la preocupación por no disponerse de mucha materia sobre el tema. Mencionó uno de los últimos libros escritos por la editorial: “Hacking Home Devices I: PoCs & Hacks Just for Fun” & “Hacking Home Devices II: PoCs & Hacks Just for Fun” escritos por Gerard Fuguet (escritos por mí ;) ) y antes de que siguiera hablando, yo, levanté la mano… “Ah que estás aquí” dijo el Dr. dr. Maligno. 

Figura 6: Hacking Home Devices I: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

Sí, efectivamente, comenté que en este par de libros, como una de la tareas principales era analizar el tráfico que fluía por los dispositivos que tienes en tu hogar, primero debes de conocerlos bien, hacer un “PreCheckeo: I&I, Identificación e Inventariado” (apartado 2 del capítulo III del primer libro de Hacking Home Devices), tal y como puedes ver en el índice que te dejo a continuación.

Figura 7: Índice del libro Hacking Home Devices I: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

Y te vas dando cuenta que IPv6 es también una protagonista notoria que se aposenta en tu red como telarañas discretas en un hogar. Sobretodo la presencia automática e obligatoria de Link-Local (sí, aquella que empieza con el prefijo fe80::…) Si ejecutas un ipconfig en el “ventanal negro” y la ves, es señal de que tienes en activo IPv6 (by default es así).

Primero aprende la primera versión de la IP (IPv4)

Cualquier docente mínimamente cualificado te dirá que antes de aventurarte con IPv6, primero debes entender bien su funcionamiento estudiando su hermana menor, la IPv4. Podríamos explicarlo en este artículo, pero se haría muy largo… por eso, me siento en la obligación de recomendar un libro realmente bueno para aprender de IP y de otros conceptos informáticos elementales (y no tan elementales). El libro de David Casas de Competencia Digital.

Figura 8: ¿Quieres aprender informática desde cero? De David Casas M.

Te bastará solo con su lectura para entender bien su composición, tipos de IP, rango, subredes… ¿Y no habla luego de IPv6? Sí, por supuesto, pero no se potencia en detalle como IPv4 porque su interés es primero en entender bien las bases de una IP. A pesar de sus diferencias respecto a la clásica IP, la construcción de la versión 6 se hace de manera similar, pero éstas son mas bien un “choricillo” (como bien menciona David Casas) de longitud, precisamente para abarcar con muchísimas más IP’s disponibles que con IPv4 (pasando de 32 a 128 bit en la sexta versión). 

- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (1)
- Hacking en redes de datos IPv6: Conceptos básicos IPv6 (2)
- Hacking en redes de datos IPv6: Te hackearán por IPv6 por creer que no lo usas
- Hacking en redes de datos IPv6: Neighbor Spoofing
- Hacking en redes de datos IPv6: Captura de SMB con Neighbor Spoofing
- Hacking en redes de datos IPv6: FC00::1 (Algunos) Ataques en redes de datos
- Hacking en redes de datos IPv6: Man in the middle en redes IPv4 usando IPv6
- Hacking en redes de datos IPv6: Desactivar IPv6 para evitar D.O.S. SLAAC
- Hacking en redes de datos IPv6: Topera - Scanner de puertos sobre IPv6
- Hacking en redes de datos IPv6: Predecir direcciones IPv6 Local-Link de OS X
- Hacking en redes de datos IPv6: Ataques en redes de datos IPv 4 e IPv6
- Hacking en redes de datos IPv6: Evil FOCA: Ataque SLAAC
- Hacking en redes de datos IPv6: Evil FOCA: Bridging HTTP(IPv6) - HTTPs (IPv4)
- Hacking en redes de datos IPv6: Pasar de IPv4 a IPv6 con una respuesta DNS
- Hacking en redes de datos IPv6: Cómo activar IPv6 en Google Chrome
- Hacking en redes de datos IPv4: Ataque DHCP ACK Injector

No obstante, si quieres aprender todos los conceptos de IPv6, en este blog tienes esta serie de artículos que hizo Chema Alonso durante tiempo preparando su charla de Defcon 21 de "Fear the Evil FOCA: Attacking Internet connection with IPv6" que podéis ver también en Español cuando la impartió en Ekoparty.

Figura 9: "Fear the Evil FOCA: Attacking Internet connection with IPv6"

Aún así,  estoy bastante convencido, que si llega el día de la extinción al completo de IPv4, todavía perdurará en los libros y documentación en Internet para facilitar su enseñanza, aunque existen grandes diferencias de funcionamiento después con IPv6 que debes aprender.

Las IPv6 de tu casa

Como se ha descrito antes, puedes saber si tu sistema operativo como Windows usa IPv6 y qué dirección toma. Si sabes como van las IPv4, las direcciones IPv6 de Link-Local (con prefijo fe80::/10) se asignan automáticamente a toda interfaz de red con IPv6 habilitado, son obligatorias y sólo funcionan dentro del segmento de red local. 

Figura 10: Hacking Home Devices II: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet.

Se utilizan para funciones esenciales como la auto-configuración, el descubrimiento de vecinos (NDP) y la comunicación local entre dispositivos. Aunque tradicionalmente la parte identificadora podía derivarse de la MAC (EUI-64), hoy en día muchos sistemas operativos emplean métodos aleatorios para mayor privacidad.

Figura 11: Índice del libro Hacking Home Devices II: PoCs & Hack Just for Fun!

Escrito por Gerard Fuguet

La unicidad de la dirección se verifica mediante NDP, y no son enrutables fuera del enlace local, igual que las direcciones APIPA en IPv4, aunque en IPv6 su presencia es universal y no sólo ante fallos de DHCP. Supongamos que tu equipo toma esta dirección IPv6:

fe80::9a94:43a9:9ff4:6981

Como se expresa en hexadecimal, las letras-números válidos son de 0-9 y A-F. Cada casillon de la IPv6 se compone de 4 dígitos hexadecimales y cada carácter hexadecimal representa 4 bit. Por lo tanto, cada casillón obtiene 16 bit en grupos de 8 casillones. Pero espera… ¿por qué yo aquí sólo veo 5 grupos? Cuando los grupos están a “0” se suele expresar/interpretar con doble -dos puntos- “::”. Esta IPv6 se expresaría así;

fe80:0000:0000:0000:9a94:43a9:9ff4:6981

Vale entiendo… pero y esto de la /10? Al igual que IPv4 con sus máscaras, el estándar dice que las Link-Local, pueden ir de la fe80:: a la febf:: . Esto es simple cuando descomponemos a binario (de hexadecimal a binario).

fe80:: seria 1111 1110 1000 0000
febf:: seria 1111 1110 1011 1111

La parte subrayada es la que contempla/hace referencia a la red y es intocable. El resto pertenece a la parte de host (recuerda entender bien IPv4 para saber como va el “rollete” ;) ). En la practica (por el momento) se utiliza la notación de máscara /64 por lo que el prefijo fe80:: siempre será impuesto en toda Link-Local. Es decir, en el ejemplo de la IPv6 Link-Local:

fe80:0000:0000:0000:9a94:43a9:9ff4:6981

Será inmóvil sus 4 primeros grupos. Una de mis reglas mnemotécnicas preferidas es hacer uso de la calculadora de Windows, sobretodo para esclarecer la parte de net y la de host.

Figura 12: Rango de IPv6 Link-Local haciendo

uso de la Calculadora de Windows

Se estipula en modo programador, en notación hexadecimal y teclado numérico de alternancia de bits. La parte roja hace referencia a la parte de red, que son sus primeros 10 bit inmóviles (/10) y la parte verde la de host, donde se conmutan todos los bits a “1” para saber su rango máximo en su primer casillón de 16 bits. Lo bueno de la calculadora, es que te permite conmutar cada bit a clic de ratón (parece una tontería, pero refuerza el entendimiento para su comprensión). Nota: Cómo se muestra en la figura, puedes también ejecutar más de una instancia de calculadora al mismo tiempo.

¿Y que más tipos IPv6 prefijadas puedo ver en casa?

Aquí te dejo este “chuletón” de llamadas/peticiones multicast interesantes:

• ff02::1: Es la dirección multicast de todos los nodos en el segmento local. Todo dispositivo IPv6 la escucha.

• ff02::1:2: Es la dirección multicast para todos los servidores DHCPv6 en el segmento local.

• ff02::1:3: Es la dirección multicast usada por LLMNR (Link-Local Multicast Name Resolution) en IPv6, en el puerto 5355.

• ff02::1:ffxx:xxxx (Solicited-Node Multicast): Es la dirección multicast generada automáticamente por cada host IPv6 para facilitar la resolución de direcciones (Neighbor Discovery Protocol, NDP), similar al ARP en IPv4, pero usando ICMPv6. El rango es ff02::1:ff00:0/104, y los últimos 24 bits corresponden a los últimos 24 bits de la dirección IPv6 del host.

• ff02::2: Es la dirección multicast de todos los routers IPv6 en el segmento local.

• ff02::c: Se utiliza para el descubrimiento de servicios SSDP (Simple Service Discovery Protocol), típicamente en el puerto 1900.

• ff02::16: Es la dirección multicast para MLDv2 (Multicast Listener Discovery versión 2), usada por routers para saber qué dispositivos escuchan tráfico multicast.

• ff02::fb: Es la dirección multicast utilizada por mDNS (Multicast DNS) en IPv6, puerto 5353.

Un Vídeo MitM como excusa para dar bombo a IPv6

La verdad es que esto del vídeo ha sido una “alineación de astros y planetas” en toda regla y salió en un momento bastante oportuno. Os explico a modo resumen como se gestó esto.Yo participo en el chat público de El lado del mal en MyPublicInbox. Marta Tobarias me comentó que tenía un blog de ciberseguridad y me dijo que si pudiese darle un poco de “feedback” estaría genial. Me llamó la atención uno sobre Neighbor Spoofing en IPv6. Y buscando en YouTube a mí no me acababan de llenar los vídeos sobre este tema concreto (que igual no busqué en profundidad…). 

Figura 13: Darse de alta en la conversación Pública de El lado del mal

Yo sabía bien de su funcionamiento, por. las charlas y artículos de Chema Alonso y la Evil Foca. Y le dije a Marta que le haría un vídeo intentándolo explicar bien y hacerlo un poco divertido. A este proyecto se sumó Maria Gomez Prieto que quería meterle mano, un lavado digital para romper la aburrida barrera informática de comandos y paquetes, locos protocolos… que seria OK para los más entendidos pero no tan bien para quien está aprendiendo seguridad informática (ya sabéis que este tipo de videos suelen ser en su mayoría “feos”, poco estéticos y aburridos ¡Para que engañarnos!).

Figura 14: Los culpables de que se haya hecho este artículo y vídeo. 

Maria Gomez Prieto, Marta Tobarias, Chema Alonso y Gerard Fuguet

Yo a María la conocí en su pedazo de artículo sobre "Cómo recuperar juegos creados en Flash usando Ruffle", me sorprendió mucho su manejo en la edición de vídeos y la destreza en barajar los bits como pelar patatas para freírlas, o para acabar haciendo tortilla a la española… es decir, fue como recuperar una receta perdida y modificarla para reemplazar con ingredientes que no se tienen (o que son más fáciles de encontrar). Me contentó mucho cuando la vi por el chat, y me convertí en una especie de fan (admiro mucho su trabajo). Tal es así que nos conocimos en persona en la MTW/OpenExpo junto a otro miembro del chat, a Mikeldi.

Figura 15: Posando frente a un Delorean de Bit2Me. Gerard Fuguet (izquierda)

con Maria Gomez Prieto y Mikeldi en la MTW/OpenExpo 2025

María me bautizó en el chat como Mr. Fuguet, yo a ella como Lady Maria y María a Marta como Miss Marta. Con Lady Maria tengo muy buena afinidad, similar humor, etcétera. De igual modo con Mikeldi, persona espectacular y bondadosa. Me sentí muy bien y querido, estoy muy contento por hacer amistad con gente con la que tienes mucho de lo que compartir, todo gracias a ELDM y el chat que ha sido el punto de unión.

¡Y volviendo al vídeo! No es nada nuevo pero creo que ha quedado una obra maestra la cual todo el mérito, para nada es mío… Como os he dicho, la colaboración ha generado un producto que creo que es de muy buena calidad. Os presento, en esta foto, a los actores que participan y hablamos de sus roles ;)

Figura 16: Los actores del vídeo IPv6 con MitM con NDP

• Izquierda-arriba: Tenemos a Manson quien actúa de mero servidor FTP (sí, sin “s” ¡OJO!) bajo Windows 10. Se va a quedar todo el tiempo calladito :D

• Abajo-izquierda-derecha: La dulce y atractiva Marilyn, es la víctima en este escenario de juego. Quien se comunica con el FTP de Manson.

• En el centro (¡y pa dentro!): Tenemos a Kalimera. Que le encanta el Kalimocho y cuando bebe se pone a “ciberdelinquir” un rato :P Le encanta disfrazarse para pasar desapercibida (arriba-derecha en la foto).

Las características del laboratorio son simples. Todo se corre en VirtualBox. La red usada (donde se unen todas las máquinas) es de tipo interna. Se estipula la IPv4 a modo estático en cada una de las máquinas. Tanto Marilyn como Manson usan Windows 10 de 32 bit (el motivo es para no consumir muchos recursos) que están actualizadas al máximo con su Win Update a FULL y firewall activo “By Default”, únicamente se le ha permitido la regla de FTP de entrada en la máquina de Manson. 

Figura 17: Pentesting con Kali Silver Edition

Y como no, una Kali versión 2022.3 (no muy actual pero suficiente). Las herramientas de ataque usadas vienen incluidas en Kali, son atk6-parasite6 (para verlo pasivamente) y atk6-fake_advertise6 (modo activo). No tiene sentido que os describa todo el vídeo aquí en este post, ya que “habla” por sí solo (incluida la descripción del mismo, que he agotado al máximo los 5000 caracteres que permite YouTube). Pero sí me parece interesante contarte algo que no se diga en él.

La intención de esta figura es mostrar las relaciones de IPv6 y partes de ella con la zona prefijada de MAC’s que surgen en el momento de acogerse a una IPv6 Link-Local por la “inocente” Marilyn y el rellenado de su tabla caché (relación IPv6 y MAC) cuando necesita, además, obtener la MAC de un host destino (y lo pide muy amablemente la señorita).

Figura 18: Solicited-node Multicast Address. Vista de Wireshark

y tabla de cache de los vecinos en cmd de la víctima

Antes se ha mencionado que cada host crea obligatoriamente una dirección Solicited-node Multicast. En la figura, primero se ha generado la Solicited-node Multicast - última línea en cmd - del propio host. Como se observa, los últimos 6 caracteres hexadecimales concuerdan con los últimos 6 de la MAC (lo cuál no indica su MAC real de host, se estipula para consultar sí coincide con la solicitud del contrario que intenta comunicarse con Marilyn en dicho mecanismo).

Figura 19: Escenario del ataque que vas a ver a continuación.

El primer paquete que aparece en la figura, el número 14, se hace uso de este mismo sistema, en su capa de datos se puede ver cómo se pide la IPv6 - Target Address - de Manson. Luego, en la ventana cmd, se genera una segunda línea por encima de su propia generada al crearse su Link-Local, Solicited-node Multicast para “dejarlo por escrito” (como un log/registro) ¿Se esclarece el enigma mejor viendo los paquetes de red?

Figura 20: Entre Marilyn & Manson: Vulnerando IPv6 conMan-in-the-middle usando NDP en la red de tu casa con Kali Linux

Y llegó el momento de ver el vídeo de todo este embrollo… Puedes hacerte unas palomitas si lo deseas porque te prometo, que en estos casi treinta minutos, se te pasarán rápidos, como ver una película en tu mejor cine - en tu propia casa, a tus anchas, a tus comodidades y tus reglas -.  ¡¿Preparad@?! LET’S GO!!!

And Remember… Be Good. Be Hackers!!!

Autor: Gerard Fuguet (Contactar con Gerard Fuguet) Escrito de los libros “Hacking Home Devices I: PoCs & Hacks Just for Fun” & “Hacking Home Devices II: PoCs & Hacks Just for Fun”

MetaWorld Congress 2025 & OpenExpo Europe 2025: Mi agenda para el 7 y 8 de Mayo

Los días 7 y 8 de Mayo tiene lugar en Madrid (La Nave) Metaworld Congress 2025, donde va a tener lugar OpenExpo Europe 2025 , y donde también estará la gente del IPv6 Spain Council. Además de una cantidad enorme de ponentes, actividades, demos, expositores, etcétera... donde compartiremos cartel Iker Jiménez, Pablo Gil Trader y yo. 

Figura 1: MetaWorld Congress 2025 & OpenExpo Europe 2025

Mi agenda para el 7 y 8 de Mayo

Yo estaré el día 7 de Mayo por la tarde con el equipo del IPv6 Security Council Spain, así que estaré con ellos en dos ratitos que me ha invitado el gran Carlos Ralli Ucendo. Ellos están trabajando en un paper de Seguridad IPv6 para CISOs que merece la pena que conozcáis.

15:30-16:15  Firechat “Un paper para unirnos a todos”  

Será una sesión en la que hablaremos de la propuesta que les hice el año pasado de trabajar en un paper sobre Ciberseguridad e IPv6 - aunque yo les propuse un libro -, pero en esta sesión vamos a contaros qué se está haciendo, cómo podéis colaborar, y los beneficios de este trabajo.

Figura 2: El paper del que se hablará en el IPv6 Security Council Madrid

16:15-17:00 Firechat-Coloquio “Entendiendo Shadow-IPv6 como viento a favor”

En esta sesión, cuatro ponentes hablaremos del Shadow IPv6 donde se hablará de la problemática de tener servicios, maquinas, empleados etcétera, que ya tienen IPv6 y no están coordinados, auditados a nivel corporativo, ni tan siquiera formados.  Estaré con Tony de la Fuente, que está centrado en su herramienta de OpenCloud Security Prowler y Federico Teti  que es arquitecto/CxO advisor de Zscaler en España. 

Luego tendré una sesión que daremos el gran Iker Jiménez y yo a medias, como la que he hicimos en otro OpenExpo Europe juntos. En este caso para hablar de la Inteligencia Artificial en el mundo Audiovisual, donde os contaremos cómo se está trabajando en el mundo de la producción televisiva con estas tecnologías.

Figura 3: Iker Jiménez y yo a la dubis en una charla

en Metaworld Congress 2025

Será el día 7 de Mayo a las 18:30 por la tarde, y por supuesto será el gran Iker Jiménez quién lleve la voz cantante y yo solo será su ayudante, como siempre, que el maestro de la IA en la creación audiovisual es él, y yo solo un aprendiz.

Figura 4: Reserva tu entrada para Open Expo Europe 2025

7 y 8 de Mayo dentro de Metaworld Congress 2025

 Códigos por 300 TEmpos para Pase General de OpenExpo 2025

Códigos por 2500 Tempos para Pase VIP de OpenExpo 2025

Ya el día 8 de Mayo de 10:00 a 10:30 tendrá lugar mi charla dentro de OpenExpo Europe en la sesión de la mañana, así que yo estaré en la Keynote de apertura, hablando de Inteligencia Artificial y Hacking. Daré una charla que intentará explicar por qué estamos teniendo tantos problemas de seguridad, y por qué tenemos que acelerar la seguridad de estas tecnologías.

Figura 5: Códigos para Pase General de OpenExpo 2025

Después, estaré acompañando al resto de ponentes, y me pasaré por el stand de 0xWord a firmar libros, que tendremos nuevos libros allí disponibles para todos, y donde si quieres verme, me podrás ver. Después, ya me escaparé para ir al cocktail VIP, que tendremos a las 13:00 horas y donde nos veremos si tienes la entrada VIP de OpenExpo.  Para ello solo debes ir a la sección de Mis Tempos -> Canjear-> Vales para tiendas dentro de MyPublicInbox, y encontrarás los Códigos de OpenExpo Europe 2025. 

Figura 7: Códigos para Pase VIP de OpenExpo 2025

El precio de las entradas con esta promoción está ahora en 60 € el pase general y 300 € el pase VIP, así que si canjeas tus códigos ahora, ya te garantizas que tienes reservada la entrada. Ya por la tarde estaré libre, que tengo un compromiso en otro lugar, así que si no has venido a verme en alguno de los puntos que te he marcado el día 7 y el día 8, no esperes encontrarme por allí más. Nos vemos en OpenExpo Europe 2025 y Metaworld Congress 2025... así que hazte con tu entrada.

Figura 8: Reuniones por Internet con Chema Alonso

PD: Si quieres una reunión privada conmigo de 20 minutos en persona en el evento uno de estos dos días, pídemela por mi perfil de MyPublicInbox e intento hacerte un hueco allí, y nos tomamos un café juntos.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

IPv6 Council Madrid 2024: Una charla sobre despliegue, seguridad y hacking en redes IPv6

Durante la pasada OpenExpo Europe 2024, donde cómo podéis ver sucedieron muchas cosas, como la presentación del libro de Hacking Web3: [New] Challenge Acepted! o la mesa de debate con INCIBE sobre el programa de capacitación en ciberseguridad para empresas, también participé en el IPv6 Council MeetUp que este año se realizó dentro de OpenExpo Europe 2024, y donde estuve con Carlos Ralli, Fran Gómez, o Rafa Sánchez, entre otros ponentes.

Figura 1: IPv6 Council Madrid 2024 - Una charla sobre

despliegue, seguridad y hacking en redes IPv6

La verdad es que estuvo todo superbien organizado y he de felicitar a estos tres compañeros de muchas batallas por su trabajo en empujar IPv6 en el mundo de la empresa, donde además ellos en primera persona llevan muchos años trabajando.

Figura 2: Contactar con Carlos Ralli Ucendo

Si quieres colaborar con ellos, puedes contactar con Carlos Ralli, Fran Gómez, o Rafa Sánchez, que todos ellos tiene su buzón en MyPublicinbox, y así ser parte de este movimiento que intenta empujar el uso de IPv6 para mejorar la seguridad de las redes que tenemos hoy en día.

Figura 3: [2024] Chema Alonso en el IPV6 Council

La sesión de preguntas y respuestas no está grabada entera, pero uno de los asistentes la grabó, y la he subido a mi canal youtube en dos formatos. El que tienes arriba por si la quieres ver la televisión en un monitor "horizontal", y el que te dejo al final del artículo por si la quieres ver en "vertical".

Figura 4: Contactar con Fran Gómez

Como os podéis imaginar, hablamos de este libro que escribimos para los que se adentran en este mundo del hacking y auditoría de redes IPv4 e IPv6 - que a veces se hace menos común para muchos jóvenes pentesters - y que va ya por la 4ª Edición.

Figura 5: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

El libro lo lanzamos inicialmente en Informática 64, y lo hemos ido actualizando periódicamente en 0xWord. Tiene mucho de ataques en redes IPv4, pero explica también lardo y detallado el funcionamiento de IPv6, que sigue siendo uno de los talones de Aquiles de muchos jóvenes que vienen a entrevistas de trabajo. Cuando les pido que me expliquen cómo se hace un ataque de man in the middle en IPv6 no todos están sueltos para explicarme las diferentes alternativas.

Figura 6: Índice del libro "Ataques en redes de datos IPv4&IPv6 (4ª Edición)" 

Aquí tienes el índice del libro de Ataques en redes de datos IPv4&IPv6 (4ª Edición), que además tiene 100 Tempos gratuitos en todas las compras que puedes utilizar para consultar dudas a través de MyPublicInbox, donde estamos Pablo González y yo. En esta edición he hecho un pequeño prólogo, y lo mejor es que los ataques de man in the middle siguen estando tan de actualidad como siempre, que aún seguimos jugando con el Network Packet Manipulation en muchos entornos...

Figura 7: Contactar con Rafa Sánchez

Por último, os dejo la grabación original en vertical, por si quieres ver la en un terminal móvil, aunque esto no es muy Generación X, pero si eres de la siguiente, todo tuyo.

Figura 8: [2024] Chema Alonso en el IPV6 Council [vertical]

Y eso es todo por hoy domingo que, recordad, hay un partido esta noche entre España e Inglaterra que sólo puede acabar de una manera posible...(esperamos).

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

Un Junio "Movido" de Eventos ...¿y cuándo no?

Queda nada ya para que llegue el mes de Junio, yo haga "checkpoint!" una vez más y suba el contador de años en los que he logrado sobrevivir, y me pegue unos viajes por las tablas de muchos lugares. Hoy os voy a dejar una lista de los escenarios en los que voy a estar dando una charla. Esta vez estaré en Sevilla, Madrid, Cataluña, Berlín, París, Londres y alguna que no me sé aún. Os hago una lista, donde ya sabéis que el día más intenso para mí será OpenExpo Europe 2024 donde estaré haciendo de todo.

Figura 1: Un Junio "Movido" de Eventos ...¿y cuándo no?

Comenzaré el mes en Londres que tengo una tema por allí pendiente, pero bajaré el día 3 a Sevilla para dar una charla el día 4 con La Caixa. Este creo que es un acto por invitación, pero si has recibido invitación y te han dicho que yo voy a ser uno de los ponentes, es verdad. El día 4 estaré allí en Sevilla, espero que con aire acondicionado en la sala que si no me quitaré el gorro. Y de ahí, ese mimo día vuelo a Berlín.

4 a 7 de Junio - Berlín: TOA 24

Pues será el día 5 cuando yo esté en el evento. Será una entrevista sobre innovación en Telefónica, sobre Kernel, Ideas Locas, ElevenPaths, Living Apps, Telefónica Innovación Digital, Open Gateway, AutoVerifAI, Latch, Tu.com y esos proyectos que desde hace tantos años llevamos haciendo en las áreas de innovación de Telefónica.

Figura 2: Crazy to Innovate en Berlín el 5 de Junio

De ahí participaré en un acto en París - pero en remoto -, y luego algo que tengo más al sur, para regresar a Madrid la semana siguiente con varios eventos importantes.

11 de Junio - Madrid: Microsoft Envision AI Connection

En este evento participaré en dos momentos, pero seguramente me pase todo el día allí. Es en Kinépolis de la Ciudad de la Imagen de Madrid, y estaré en la sesión plenaria con Alberto Granados, robándole unos minutos, para luego irme a la sesión de ISV y Startups y dar una charla de GenAI & OpenGateway for Hacker & Developer, donde hablaré de GenAI, Drones, Mapas, Datos & Network APIs.

Figura 3: GenAI & OpenGateway for Hacker & Developer

13 de Junio - Madrid: OpenExpo Europe 2024 "The Power of GenAI"

Este día, será un día grande porque estaré dando charla con un gran elenco de ponentes entre los que estarán Carlos Santana "DotCSV", Carlos Azaustre, Brais Moure, Rames Sawart de la empresa BeHumans que crea Humanos Digitales para hacer trabajos en las organizaciones, Miguel Ángel Durán, José Antonio Martín de Repsol, Frank Moreno, Fran Rodriguez del equipo de Ideas Locas de Telefónica Innovación Digital o Alberto Granados de Microsoft, entre otros. 

Figura 4: Ponentes y Programa de OpenExpo Europe 2024

Para asistir tienes opción de registrarte en la web de OpenExpo Europe: The Power of GenAI, donde vas a tener 2x1 si vienes con un acompañante hasta mañana viernes último día de Mayo, pero además, si tienes 500 Tempos de MyPublicInbox, también tienes una entrada para OpenExpo que puedes canjear en MyPublicInbox.

Figura 5: Consigue tu ticket de OpenExpo Europe con Tempos

En el evento, ese día, además, de dar mi charla, de firmar libros de 0xWord en el stand, y de participar en el cokctail VIP, también participaré en el IPv6 Council MeetUp que este año se va a realizar dentro de OpenExpo Europe 2024, y donde estaré con Carlos Ralli, Fran Gómez, o Rafa Sánchez, entre otros ponentes.

Figura 6: IPv6 Council MeetUP en Madrid

Y de ahí, rumbo a Cataluña, que el día 14 toca hablar de Innovación, Wayra, Inteligencia Artificial, y por supuesto de transformación con la tecnología.

14 de Junio - La Seu d'Urgell en Lleida: La Trobada

Pues me subo a los Pirineos de Lleida para participar en este evento en el que daré una charla, y luego tendré un ratito de preguntas con los asistentes para hablar de IA, GenAI, Ciberseguridad, transformación digital de las empresas y emprendimiento. Podéis ver todos los ponentes y el programa en la web:

Figura 7: 14 de Junio - La Seu d'Urgell en Lleida "La Trobada"

Y hasta aquí sólo nos hemos gastado medio mes, y los últimos días antes de mi cumpleaños, que seguramente nada más venir de este evento comience a celebrar domo debe de hacerse.

20 de Junio - Gijón: Congreso Ciberseguridad

Ya cumplidos los años, me subiré a Gijón para participar en una acción del Kit Digital para PyMES donde hablaré de Ciberseguridad para las PyMEs, de IA y de cómo sacarle partido al nuevo mundo de forma segura.

Figura 8: Congreso de Concienciación en Ciberseguridad

20 y 21 de Junio - Madrid: Telefónica Fest

Dos días de tecnología, hackathones, demos, charlas, y gente haciendo cosas. Es una jornada de puertas abiertas para todo el mundo en el Distrito Telefónica para que vengas a ver qué hacemos allí. Yo seré el responsable de dar una charla el día 21, que espero que os guste.

Figura 9: 20 y 21 de Junio - Madrid: Telefónica Fest

De ahí, ya a la última semana del mes, donde aún tengo más cosas metidas ya en mi calendario, os las dejo por aquí.

25 de Junio - Madrid: DotNET 2024

Un año más estaré en la DotNET Conference de Madrid que organizan los amigos de PlainConcepts, y donde entre un plantel de ponentes espectacular, estará el siempre entretenido Carlos Mendible, que no te puedes peder.

Figura 10: 25 de Junio - Madrid: DotNET 2024

Y ya para terminar, el día 26 estaré con mis compañeros de Telefónica de España en una charla interna para el equipo, y el día 28 de Junio, y ahí si que doy el cierre al mes, en una conversación en la Universidad Rey Juan Carlos. 

Por supuesto, además de todo esto intentaré no falta a la cita diaria con vosotros en este vuestro espacio "El lado del mal", seguro que iré algún día a Horizonte con Iker Jiménez y Carmen Porter, y tengo pendiente una entrevista en RNE que le prometí al periodista, así que si os encontráis conmigo por ahí, que no os sorprenda. Ya sabéis, abrirás una revista...

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)  

On-The-Fly: Cómo hackear MQTT con Network Packet Manipulation en 1 minuto

La pasada MorterueloCON participé junto con Pablo González en las jornadas donde presentamos un nuevo módulo para nuestra herramienta 'on-the-fly' en el que habíamos estado trabajando días atrás.

Figura 1: On-The-Fly - Cómo hackear MQTT con Network Packet Manipulation en 1 minuto

'on-the-fly' es una proyecto del equipo de Ideas Locas que ofrece capacidades para realizar pruebas de pentesting en varios dominios (IoT, ICS & TI). Se trata de una herramienta innovadora al unir diferentes mundos que comparten un factor común: la red. Es Open Source, por lo que te animamos a participar activamente en el proyecto que puedes encontrar en su GitHub.

Figura 2: GitHub de OnTheFly

Si revisas el blog y has trabajado con la herramienta, habrás visto que hay un módulo para ‘on-the-fly’ para hacer Network Packet Manipulation, concretamente para manipular paquetes de MySQL al vuelo. En esta ocasión quisimos hacer lo mismo pero para manipular paquetes del protocolo MQTT, y así ampliar las capacidades que tienes para los proyectos de Ethical Hacking.

Figura 3: Libro de Ethical Hacking 2ª Edición
de Pablo González en 0xWord

Ahora hemos publicado este nuevo módulo y te explico como puedes ponerlo a prueba. El escenario es el siguiente:

• Un broker MQTT que se encargue de hacer llegar los mensajes entre los diferentes clientes.

• Dos clientes MQTT, uno que publicará el mensaje (que se manipulará en el aire) y otro cliente que esté suscrito al topic que recibirá el mensaje.

• Una máquina con Kali Linux y herramienta ‘on-the-fly’ preparada.

• El módulo de manipulación MQTT preparado y lanzado.

Debes saber que este tipo de módulos necesitan de otro módulo para que proporcione el tráfico, en este caso haciendo uso del módulo arp_spoof.

Montaje del broker

Para poner en marcha el broker de manera rápida puedes hacer uso de Docker con una imagen de mosquitto (puedes encontrarla en el Docker Hub):

$ docker run -it -p 1883:1883 -p 9001:9001 

-v mosquitto.conf:/mosquitto/config/mosquitto.conf eclipse-mosquitto

Debes tener en cuenta que tienes que tener un fichero de configuración. En el ejemplo, mosquitto.conf se encuentra en local y se montará sobre la ruta /mosquitto/config/mosquitto.conf del contenedor. En el repositorio de GitHub de mosquitto puedes encontrar un ejemplo de configuración, además de tener la documentación oficial en el sitio web de mosquitto donde se explica con detalle cada uno de los parámetros de configuración posibles.

Figura 4: Libro de Docker:SecDevOps en 0xWord de

Fran Ramírez, Elías Grande y Rafael Troncoso

Para este caso, vamos a habilitar el puerto de escucha 1883 (por defecto para conexiones sin cifrar y sin autenticar) y el puerto 9001 (este se usará para una conexión a través de Web Socket, sin cifrar y sin autenticar). Esto se resume en un archivo de configuración que contenga las siguientes lineas:

listener 1883

listener 9001

protocol websockets

Ahora podemos lanzar el contenedor y hacer una prueba de conexión con el broker. Para ello necesitaremos un cliente, por ejemplo MQTTX. MQTTX es un cliente gráfico MQTT, es Open Source bajo una licencia Apache 2.0, y es multiplataforma, por lo que podemos usarlo con los principales sistemas operativos.

Figura 5: Nueva conexión en MQTTX

Al abrirlo tendremos que configurar una nueva conexión, indicando un nombre con el que se guardará en el listado de conexiones, un ID de cliente (que se auto-genera directamente en el cliente), y la dirección y puerto del host. Como nota, para la realización de la prueba de manipulación de paquetes debemos trabajar con la versión 3.1.1 del protocolo MQTT, que se puede indicar en las opciones avanzadas.

Ahora podemos crear una nueva suscripción para estar pendientes de todos los mensajes que se mandan a dicho "topic". Para este ejemplo vamos a suponer que hay una bombilla a la que se le puede cambiar el color cuando se publica sobre el topic ‘bulb/color’.

Figura 6: Suscripción al topic ‘bulb/color’

Con la suscripción creada, vamos a mandar un mensaje con un color, por ejemplo, blue, suponiendo que el dispositivo que estamos ejemplificando espera recibir este mensaje para cambiar su color.

Figura 7: Publicación de mensaje en el topic ‘bulb/color’

Al mandar y recibir el mensaje en el mismo cliente lo vemos como si fuera una conversación: a la derecha los mensajes enviados y a la izquierda los mensajes que se reciben. En ambos casos aparece el topic donde se ha mandado/recibido.

Figura 8: Ataques en redes de datos IPv4&IPv6 (4ª Edición) de

JL. Rambla, ampliado y revisado por Pablo González y Chema Alonso

Como ves, hacer uso del protocolo MQTT para intercambiar mensajes entre dispositivos es algo muy sencillo. Únicamente se debe disponer de un broker y de uno o varios clientes para realizar el intercambio.

MQTT Packet Manipulation PoC

Ahora que ya sabemos como funciona el protocolo MQTT, vamos a hacer uso del nuevo módulo de 'on-the-fly' para manipular estos paquetes en el aire.

Figura 9: Esquema manipulación de paquetes MQTT

Para empezar necesitamos hacer que el tráfico de una máquina víctima pase a través de nosotros, por lo que comenzamos haciendo uso del módulo arp_spoof, o cualquiera de las técnicas que se explican en el libro de Ataques en redes de datos IPv4&IPv6 (4ª Edición).

load modules/spoof/arp_spoof

En el ejemplo, conocemos la dirección IP de la víctima y del su puerta de enlace - "gateway" -, por lo que lo configuramos con el uso del comando set y lo ejecutamos con run.

Figura 10: Ejecución del módulo arp_spoof en Kali Linux

Con el ARP Spoofing en ejecución, cargamos el módulo de manipulación MQTT:

load modules/manipulation/mqtt_manipulation

Para este módulo hay que configurar dos parámetros:

• mqtt_topic_modify: este valor indica el topic que se quiere escuchar para manipular su mensaje.

• msg_spoof: este valor representa el nuevo mensaje que se quiere asignar.

De esta manera, en el ejemplo se ha indicado que se quiere escuchar el topic bulb/color y vamos a reemplazar cualquier mensaje por lime, por lo que vamos a cambiar cualquier color a éste.

Figura 11: Ejecución del módulo mqtt_manipulation en Kali Linux 

Por último, realizamos la prueba de funcionamiento. Nos dirigimos a la máquina víctima y realizamos la publicación de un nuevo color.

Figura 12: Manipulación en tiempo real de los paquetes MQTT

Si todo ha ido bien podremos observar que, aunque el mensaje que ha salido del cliente es correcto, la recepción que llega a la suscripción es el modificado por 'on-the-fly', por lo que hemos conseguido manipular el tráfico MQTT en tiempo real. En el siguiente video puedes ver la demostración completa del ejemplo.

Figura 13: PoC de Network Manipulación MQTT con 'on-the-fly'

Como ves, este módulo de manipulación de paquetes MQTT hace muy sencillo poder jugar con este protocolo, y propone otro caso de uso para un entorno IoT donde 'on-the-fly' tiene ya varios módulos disponibles.

Figura 14: Pentesting con Kali Silver Edition

 Esperamos que os haya gustado este artículo, y esperamos que lo utilicéis y nos aportéis ideas de mejoras, o que ayudéis a mejorar nuestro 'on-the-fly' con nuevos módulos.

Happy hacking!

Autor: Álvaro Núñez-Romero, investigador en el equipo de Ideas Locas. Autor del libro "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun" y del VBOOK de "Arduino para Hackers (& Makers): PoCs and Hacks Just for Fun"

Contactar con Álvaro Núñez-Romero