El gemelo malvado

Porque los accidentes de transporte ocurren…

Introducción

Este es el tercero de una serie de publicaciones de blog que se centran en la seguridad y la tecnología inalámbrica.

La mayoría de los dispositivos que usamos todos los días, como teléfonos inteligentes, computadoras portátiles y tabletas, usan LAN inalámbrica como su modo predeterminado de conectividad. WLAN también proporciona conectividad para la próxima generación de dispositivos de Internet de las cosas (IoT), como cámaras de seguridad, concentradores domésticos inteligentes y altavoces conectados. Esto significa que los datos confidenciales que otros deseen acceder se transmiten por el aire.

Esta publicación detallará cómo una organización podría ser objetivo y qué pueden hacer para combatir este tipo de amenazas.

¿Qué es un gemelo malvado?

En sus términos más simples, un «gemelo malvado» es un punto de acceso no autorizado que se hace pasar por un punto de acceso que forma parte de su infraestructura corporativa. Esto a veces también se conoce como «honeypot». Hay varias formas en que un dispositivo puede actuar como un gemelo malvado:

  • Suplantación de identidad: Cuando un punto de acceso (o, más generalmente, una estación inalámbrica) que no forma parte de su infraestructura corporativa se disfraza como un punto de acceso que forma parte de su infraestructura corporativa. Esto puede hacerse «falsificando» la dirección MAC (BSSID) de los SSID anunciados en su red inalámbrica (como discutimos aquí).
  • Honeypot: Cuando una estación inalámbrica escucha tramas de baliza de clientes inalámbricos en su vecindad y luego falsifica el SSID que esos clientes están buscando. Esto aprovecha el hecho de que los clientes 802.11 con sus adaptadores WLAN habilitados, pero no conectados a una red inalámbrica, recibirán periódicamente balizas para todos los SSID a los que se han conectado previamente y que recuerdan. Esto significa que incluso si está en un vuelo de crucero a 35,000 pies, si ha dejado su radio WLAN encendida, su teléfono inteligente o tableta le preguntará periódicamente si su red corporativa o doméstica está allí. Un dispositivo inalámbrico honeypot responderá a estas tramas simulando ser el SSID que está solicitando. Dependiendo de la configuración del dispositivo honeypot y su cliente inalámbrico, su cliente inalámbrico podría autorizar esta red e intentar obtener acceso a los servicios de datos.

¿Deberías estar preocupado?

¡Bueno, sí! Estos modos de operación son, en su mayor parte, de naturaleza maliciosa e increíblemente perjudiciales para los negocios. Existen múltiples herramientas inalámbricas de pirateo / descifrado que funcionan en los modos descritos anteriormente. Por lo general, existen con el único propósito de capturar / filtrar datos, ya sea en texto sin cifrar o en formato cifrado (para trabajar en otro momento).

A continuación, lo guiaré a través del funcionamiento de dicha herramienta, específicamente la «Piña WiFi» de HakShop, una empresa con sede en California que ofrece herramientas y técnicas de prueba de penetración.

¿Qué es una piña WiFi?

Una WiFi Pineapple es una herramienta común y fácil de usar manejada por probadores de penetración inalámbricos. Aprovecha los paquetes de software de código abierto y se ejecuta utilizando una versión personalizada del sistema operativo Linux de código abierto, al igual que Cisco Meraki. Sin embargo, una WiFi Pineapple los reúne en un paquete intuitivo e incluye una interfaz gráfica de usuario para que sean fáciles de configurar, algo así como lo hace Meraki Dashboard para redes inalámbricas, lo que significa que no tiene que ser un experto en seguridad para usarlo.

Para que la piña WiFi actúe como un Honeypot, todo lo que necesita hacer es seguir estos pasos:

  1. Conecte la piña a una red: Suponiendo que desea poder ofrecer servicios de datos a los clientes que engaña para que se conecten a su piña, primero debe darles una forma de acceder a esos servicios de datos. Con la piña tienes tres opciones:

A) Red inalámbrica: Como la piña en la imagen a continuación tiene dos radios inalámbricas, en realidad puedo conectarla a una red inalámbrica, como una pública en una cafetería.

B) Red cableada: La piña tiene un conector Ethernet con cable, lo que significa que esto podría conectarse directamente a su conmutador u otra infraestructura de conmutador.

C) Red celular: La piña tiene un puerto USB que se puede usar para módems USB 3G / 4G celulares, similar a un dispositivo de seguridad Meraki. La piña puede «conectar» estas conexiones inalámbricas de clientes desprevenidos a ese SSID. Esto es muy importante, ya que su dispositivo inalámbrico (por ejemplo, su teléfono inteligente) puede conectarse a lo que cree que son redes inalámbricas conocidas mientras todavía está en su bolsillo. El dispositivo podría acceder a las aplicaciones que ha habilitado en su dispositivo, como el correo electrónico y las redes sociales, todo sin su conocimiento.

2. Configure el comportamiento del marco de baliza: La piña se puede configurar para buscar y responder a todos los marcos de baliza, que pueden ser miles y miles, o simplemente puede responder a marcos de baliza SSID específicos si el ataque es más específico.

3. Decida qué desea hacer con los datos que recibe: Finalmente, la piña se puede configurar para unir estos datos con la duplicación si está probando pasivamente una red, o se puede configurar para desviar el flujo cifrado de datos a un archivo o ubicación de red, utilizando la arquitectura tcpdump que está presente en todos los dispositivos de red Meraki:

Que deberías hacer?

Suena mal, ¿no? Lo anterior detalla la naturaleza de confianza de los dispositivos de red y el protocolo 802.11 en general. Pero no todo es pesimismo: el servicio WIPS de Air Marshal de Meraki que hemos discutido le dice cuándo ve que suceden cosas como esta en o cerca de su entorno corporativo.

¿Por qué Air Marshal no puede simplemente bloquearlos?

Si Air Marshal bloqueó los SSID anunciados por este tipo de dispositivos, entonces también podríamos bloquear puntos de acceso corporativo legítimos que están bajo el control administrativo de otra persona. Air Marshal le muestra qué puntos de acceso en su infraestructura están siendo falsificados:

La mejor solución desde aquí es usar dispositivos móviles y usar una aplicación de escaneo WiFi en una computadora portátil o en un teléfono inteligente / tableta Android, para determinar dónde está el dispositivo ofensivo.

Es probable que esto tome varios pases antes de que pueda decir con autoridad cuál es la fuente de esta amenaza. Una vez que haya identificado la amenaza, puede elegir el curso de acción apropiado para tomar. Para la mayoría de las organizaciones, eso significa «eliminar» la amenaza. Por lo tanto, si se trata de un dispositivo desatendido desconectado de su red y alimentación, o si se trata de una persona que se encuentra en el edificio o cerca de él, escoltelos desde las instalaciones o comuníquese con las autoridades.

Conclusión

La mala noticia es que no hay una bala de plata que solucione este problema. Por lo tanto, el consejo probado y confiable es estar alerta y aprovechar las técnicas y herramientas que hemos destacado en esta publicación. El dashboard de Meraki también le permite configurar alertas, por lo que si su correo electrónico comienza a verse así…

…entonces, o bien se está sometiendo a una prueba de penetración inalámbrica o necesita investigar un poco.