fbpx
Saltar al contenido

El gemelo malvado

Porque los accidentes de transporte ocurren…

Introducción

Este es el tercero de una serie de publicaciones de blog que se centran en la seguridad y la tecnología inalámbrica.

La mayoría de los dispositivos que usamos todos los días, como teléfonos inteligentes, computadoras portátiles y tabletas, usan LAN inalámbrica como su modo predeterminado de conectividad. WLAN también proporciona conectividad para la próxima generación de dispositivos de Internet de las cosas (IoT), como cámaras de seguridad, concentradores domésticos inteligentes y altavoces conectados. Esto significa que los datos confidenciales que otros deseen acceder se transmiten por el aire.

Esta publicación detallará cómo una organización podría ser objetivo y qué pueden hacer para combatir este tipo de amenazas.

¬ŅQu√© es un gemelo malvado?

En sus t√©rminos m√°s simples, un “gemelo malvado” es un punto de acceso no autorizado que se hace pasar por un punto de acceso que forma parte de su infraestructura corporativa. Esto a veces tambi√©n se conoce como “honeypot”. Hay varias formas en que un dispositivo puede actuar como un gemelo malvado:

  • Suplantaci√≥n de identidad: Cuando un punto de acceso (o, m√°s generalmente, una estaci√≥n inal√°mbrica) que no forma parte de su infraestructura corporativa se disfraza como un punto de acceso que forma parte de su infraestructura corporativa. Esto puede hacerse “falsificando” la direcci√≥n MAC (BSSID) de los SSID anunciados en su red inal√°mbrica (como discutimos aqu√≠).
  • Honeypot: Cuando una estaci√≥n inal√°mbrica escucha tramas de baliza de clientes inal√°mbricos en su vecindad y luego falsifica el SSID que esos clientes est√°n buscando. Esto aprovecha el hecho de que los clientes 802.11 con sus adaptadores WLAN habilitados, pero no conectados a una red inal√°mbrica, recibir√°n peri√≥dicamente balizas para todos los SSID a los que se han conectado previamente y que recuerdan. Esto significa que incluso si est√° en un vuelo de crucero a 35,000 pies, si ha dejado su radio WLAN encendida, su tel√©fono inteligente o tableta le preguntar√° peri√≥dicamente si su red corporativa o dom√©stica est√° all√≠. Un dispositivo inal√°mbrico honeypot responder√° a estas tramas simulando ser el SSID que est√° solicitando. Dependiendo de la configuraci√≥n del dispositivo honeypot y su cliente inal√°mbrico, su cliente inal√°mbrico podr√≠a autorizar esta red e intentar obtener acceso a los servicios de datos.

¬ŅDeber√≠as estar preocupado?

¬°Bueno, s√≠! Estos modos de operaci√≥n son, en su mayor parte, de naturaleza maliciosa e incre√≠blemente perjudiciales para los negocios. Existen m√ļltiples herramientas inal√°mbricas de pirateo / descifrado que funcionan en los modos descritos anteriormente. Por lo general, existen con el √ļnico prop√≥sito de capturar / filtrar datos, ya sea en texto sin cifrar o en formato cifrado (para trabajar en otro momento).

A continuaci√≥n, lo guiar√© a trav√©s del funcionamiento de dicha herramienta, espec√≠ficamente la “Pi√Īa WiFi” de HakShop, una empresa con sede en California que ofrece herramientas y t√©cnicas de prueba de penetraci√≥n.

¬ŅQu√© es una pi√Īa WiFi?

Una WiFi Pineapple es una herramienta com√ļn y f√°cil de usar manejada por probadores de penetraci√≥n inal√°mbricos. Aprovecha los paquetes de software de c√≥digo abierto y se ejecuta utilizando una versi√≥n personalizada del sistema operativo Linux de c√≥digo abierto, al igual que Cisco Meraki. Sin embargo, una WiFi Pineapple los re√ļne en un paquete intuitivo e incluye una interfaz gr√°fica de usuario para que sean f√°ciles de configurar, algo as√≠ como lo hace Meraki Dashboard para redes inal√°mbricas, lo que significa que no tiene que ser un experto en seguridad para usarlo.

Para que la pi√Īa WiFi act√ļe como un Honeypot, todo lo que necesita hacer es seguir estos pasos:

  1. Conecte la pi√Īa a una red: Suponiendo que desea poder ofrecer servicios de datos a los clientes que enga√Īa para que se conecten a su pi√Īa, primero debe darles una forma de acceder a esos servicios de datos. Con la pi√Īa tienes tres opciones:

A) Red inal√°mbrica: Como la pi√Īa en la imagen a continuaci√≥n tiene dos radios inal√°mbricas, en realidad puedo conectarla a una red inal√°mbrica, como una p√ļblica en una cafeter√≠a.

B) Red cableada: La pi√Īa tiene un conector Ethernet con cable, lo que significa que esto podr√≠a conectarse directamente a su conmutador u otra infraestructura de conmutador.

C) Red celular: La pi√Īa tiene un puerto USB que se puede usar para m√≥dems USB 3G / 4G celulares, similar a un dispositivo de seguridad Meraki. La pi√Īa puede “conectar” estas conexiones inal√°mbricas de clientes desprevenidos a ese SSID. Esto es muy importante, ya que su dispositivo inal√°mbrico (por ejemplo, su tel√©fono inteligente) puede conectarse a lo que cree que son redes inal√°mbricas conocidas mientras todav√≠a est√° en su bolsillo. El dispositivo podr√≠a acceder a las aplicaciones que ha habilitado en su dispositivo, como el correo electr√≥nico y las redes sociales, todo sin su conocimiento.

2. Configure el comportamiento del marco de baliza: La pi√Īa se puede configurar para buscar y responder a todos los marcos de baliza, que pueden ser miles y miles, o simplemente puede responder a marcos de baliza SSID espec√≠ficos si el ataque es m√°s espec√≠fico.

3. Decida qu√© desea hacer con los datos que recibe: Finalmente, la pi√Īa se puede configurar para unir estos datos con la duplicaci√≥n si est√° probando pasivamente una red, o se puede configurar para desviar el flujo cifrado de datos a un archivo o ubicaci√≥n de red, utilizando la arquitectura tcpdump que est√° presente en todos los dispositivos de red Meraki:

Que deberías hacer?

Suena mal, ¬Ņno? Lo anterior detalla la naturaleza de confianza de los dispositivos de red y el protocolo 802.11 en general. Pero no todo es pesimismo: el servicio WIPS de Air Marshal de Meraki que hemos discutido le dice cu√°ndo ve que suceden cosas como esta en o cerca de su entorno corporativo.

¬ŅPor qu√© Air Marshal no puede simplemente bloquearlos?

Si Air Marshal bloqueó los SSID anunciados por este tipo de dispositivos, entonces también podríamos bloquear puntos de acceso corporativo legítimos que están bajo el control administrativo de otra persona. Air Marshal le muestra qué puntos de acceso en su infraestructura están siendo falsificados:

La mejor solución desde aquí es usar dispositivos móviles y usar una aplicación de escaneo WiFi en una computadora portátil o en un teléfono inteligente / tableta Android, para determinar dónde está el dispositivo ofensivo.

Es probable que esto tome varios pases antes de que pueda decir con autoridad cu√°l es la fuente de esta amenaza. Una vez que haya identificado la amenaza, puede elegir el curso de acci√≥n apropiado para tomar. Para la mayor√≠a de las organizaciones, eso significa “eliminar” la amenaza. Por lo tanto, si se trata de un dispositivo desatendido desconectado de su red y alimentaci√≥n, o si se trata de una persona que se encuentra en el edificio o cerca de √©l, escoltelos desde las instalaciones o comun√≠quese con las autoridades.

Conclusión

La mala noticia es que no hay una bala de plata que solucione este problema. Por lo tanto, el consejo probado y confiable es estar alerta y aprovechar las técnicas y herramientas que hemos destacado en esta publicación. El dashboard de Meraki también le permite configurar alertas, por lo que si su correo electrónico comienza a verse así…

…entonces, o bien se está sometiendo a una prueba de penetración inalámbrica o necesita investigar un poco.

Abrir chat
Hola ūüĎčūüŹĽ
¬ŅTienes alguna consulta?