El ladrón en casa me están robando mi conexión wi fi f

El ladrón en casa. ¿Me

están robando mi conexión

Wi-Fi?Clase 5 F

21/03/2013

El ladrón en casa. ¿Me están robando

mi conexión Wi-Fi?

El caso es que a veces esto nos pasa y puede ser

alguien que haya crackeado nuestra conexión WiFi y

esté utilizándola. Esto es bastante fácil de hacer,

especialmente si dejas la coniguración por defecto del

router, que suele ser una clave WEP (fácil de crackear).


mi conexión Wi-Fi?

Además han descubierto que ciertos fabricantes usan

un algoritmo bastante simple para ponerle un ESSID y

una clave WEP al router, de modo que conociendo el

ESSID podemos saber la contraseña. Por eso

recomiendo cambiar la contraseña por una WPA2-PSK,

y poner un filtrado MAC para hacer nuestra red más

segura.


mi conexión Wi-Fi?

Pues aquí voy como puedes aplicar maliciosamente a

robar todo tipo de tráfico en nuestra red, o a saber si

alguien nos está robando a nosotros.


mi conexión Wi-Fi?

Herramientas:

Voy a explicar todo esto desde Linux, yo uso el Ubuntu

12.10 y recomiendo a todo el mundo que se lo instale

en una partición junto a Windows para tener un equipo

completito: seguridad y compatibilidad.

Vamos a necesitar también las herramientas que yo he

usado, una es dsniff, y la otra, la que uso para escanear

la red, es el ettercap, que también hace lo mismo que

el dsniff pero este último tiene las herramientasseparadas y me gusta más así, para escanear puedes

usar el nmap, que es más sencillo.


mi conexión Wi-Fi?

Vamos a instalarlas, ettercap y nmap se pueden instalar

desde repositorios, así que corre a una terminal y

escribe:

sudo apt-get install nmap

sudo apt-get install ettercap


mi conexión Wi-Fi? El dsniff me parece que también está en repositorios así

que lo puedes instalar igual. Si no, descargamos el

código de aquí, va en un paquete .tar.gz vamos a

donde lo hemos descargado, y hacemos make, make

install.

piou@laptop:~$ cd Descargas

piou@laptop:~/Descargas$ tar xzvf dsniff-2.3.tar.gz

piou@laptop:~/Descargas$ cd dsniff-2.3/

piou@laptop:~/Descargas/dsniff-2.3$ sudo ./configure

piou@laptop:~/Descargas/dsniff-2.3$ sudo make

piou@laptop:~/Descargas/dsniff-2.3$ sudo make install


mi conexión Wi-Fi? Ya tenemos instaladas todas las herramientas.

Vamos a organizar una situación, si tienes en casa dos

ordenadores conectados a la misma red mejor que

mejor, también se puede hacer con máquinas virtuales.

Supongamos que el router será 192.168.1.1, la ip de la

máquina atacante será 192.168.1.30 y la víctima

192.168.1.60


mi conexión Wi-Fi? Lo primero que haremos será engañar a la máquina

víctima para que piense que nosotros somos el router y

nos mande los paquetes a nosotros en vez de al router.

¿Y eso cómo lo hacemos?

Antes de explicarlo, hay que decir un poco con qué

criterio se mandan los paquetes en una red, aunque

parto de que algo sobre redes sabes.


mi conexión Wi-Fi?

Como sabes la IP es una dirección de direccionamiento

lógico, es decir, del nivel de red del Protocolo TCP/IP, el

que usa internet y la mayoría de redes. Con la IP se

haya el camino hacia la máquina destino, por medio

de encaminadores (routers).

La dirección MAC es una dirección única para cada

máquina del mundo (se supone, luego se pueden

cambiar de manera virtual), y la pone el fabricante,

esta dirección se encarga del direccionamiento físico,

que los datos lleguen al destino, que no haya errores,

etc.


mi conexión Wi-Fi?

Se usa en una capa inferior, la capa de enlace.

Básicamente el computadora crea un paquete con

una cabecera IP que permite saber la IP de destino, el

nivel inferior (nivel de enlace), le mete una cabecera

MAC para poder direccionarlo al destino.


mi conexión Wi-Fi?

Cuando mandamos un paquete necesitamos ambas

direcciones IP y MAC, de forma que cada vez que

enviamos un paquete el router, cuando es un switch

(ahora todos los son), determina a quién está dirigido y

lo manda. Los antiguos HUBs enviaban los paquetes a

todas las máquinas y eran estas quien debían mirar la

cabecera para ver si les pertenecía. Con poner la

tarjeta en modo promiscuo (coge todos los paquetes)

podíamos ver el tráfico dentro de la red.


mi conexión Wi-Fi?

Pero ¿cómo sabe una computadora que dirección MAC

poner? Cada computadora tiene una tabla ARP

(Address Resolution Protocol) en la que guarda las

direcciones IP-MAC de todas las máquinas de la red.

Esta tabla se rellena enviando mensajes ARP request, a

los que se contesta con un ARP reply en el que envía la

dirección MAC de modo que la otra máquina la

conozca.


mi conexión Wi-Fi?

El envenenamiento de ARP (ARP poisoning o ARP

spoofing) consiste en enviar mensajes ARP reply a una

máquina diciendo que el la dirección MAC del router es

la nuestra, de ese modo cuando el paquete llegue del

nivel de red con la IP del router en la cabecera, el nivel

de enlace mirará en la tabla y verá que la MAC de esa

IP es la nuestra, de modo que le pondrá nuestra MAC y

el paquete nos llegará, así conseguiremos capturar el

tráfico que va a nuestra máquina.


mi conexión Wi-Fi?

Esto plantea un problema: es muy probable que la

víctima sospeche si ve que envía paquetes y no le llega

nada, si pone http://www.google.com en la barra de

direcciones no se le abrirá nada. Esto lo arreglamos

activando el IP_forwarding. Nuestro ordenador abrirá el

paquete y lo reenviará a la IP especificada en la

cabecera IP, que es la del router, esta vez con la MAC

verdadera.


mi conexión Wi-Fi?

Empecemos:

Antes de empezar: todo lo que hagamos lo tendremos

que hacer como usuario root.

Lo primero que haremos será buscar hosts (máquinas)

en nuestra red, que es la razón de este tutorial, ya

tenemos descargado el ettercap, que es el que usaré,

lo ejecutamos en modo semi-gráfico, sigue siendo

modo texto, pero mas sencillo.

piou@laptop:~$ sudo ettercap -C


mi conexión Wi-Fi?

Cuando se abra vemos arriba el menú con cuatro

opciones, yo solo voy a usar una para buscar hosts,

pero es un programa bastante completo y te

recomiendo que busques sobre él para saber usarlo.

Podemos navegar por los menús con las teclas de

dirección (lo recomiendo), o con el ratón (no lo

recomiendo).

Vamos a “Sniff” y entramos en “Unified sniffing”. Ahora

nos pedirá la interfaz de red.


mi conexión Wi-Fi?

NOTA: Cada tarjeta de red tiene una interfaz, la interfaz

de mi tarjeta WiFi es wlan0, para saber las interfaces de

nuestras tarjetas abrimos una terminal y ejecutamos:

ifconfig


mi conexión Wi-Fi?

NOTA 2: Por alguna razón, cuando empecé a usar el

programa a veces no me pedía la interfaz y cogía una

por defecto, en mi caso cogía eth0, pero esta no era la

que yo quería. Si te pasa eso, en vez de empezar el

programa como antes empiézalo así:

sudo ettercap -C -i interfaz

Y funcionará con la interfaz que le pongas ahí


mi conexión Wi-Fi?

Una vez hayamos pulsado Unified sniffing y hayamos

puesto la interfaz, nos pondrá en otro menú con más

opciones arriba. Aquí podemos buscar hosts, mandar

ataques ARP, esnifar paquetes aplicando filtros, y un

montón de cosas más, pero a lo que nos interesa,

buscar hosts.


mi conexión Wi-Fi?

En el menú superior vamos a “Hosts” y pulsamos “Scan

for hosts” o pulsamos directamente Ctrl+S

Una vez haya terminado de buscar máquinas en la caja

de texto inferior podremos ver algo como lo siguiente:

Scanning the whole network for 255 hosts…

2 hosts added to the host list…


mi conexión Wi-Fi?

En mi caso el las ips internas de la red están en el rango

192.168.1.x, que es bastante común, y por eso busca

255. Me ha encontrado 2 hosts. Para ver la lista de hosts

podemos pulsar “Hosts” en el menú superior y luego

“Hosts list” o pulsar la tecla h.

Veremos cada una de las direcciones IP y MAC de

cada máquina de la red, router incluido.

Los hosts que veremos son el 192.168.1.1 (router) y

192.168.1.60 (víctima), usa los tuyos porque yo estoy

usando estos para el tutorial.


mi conexión Wi-Fi?

Vamos a activar el ip_forwarding para que la víctima

pueda navegar sin darse cuenta. Escribimos en una

consola como root:

echo 1 > /proc/sys/net/ipv4/ip_forward

Si no recibimos nada es que se ha hecho bien,

podemos comprobarlo con el comando cat

(concatenate)

cat /proc/sys/net/ipv4/ip_forward

1


mi conexión Wi-Fi?

Ahora en esta misma consola realizaremos el

envenamiento de ARP en el sentido de víctima->router.

También podríamos engañar el router para que piense

que la víctima es nuestra computadora e interceptar

también los paquetes que el router manda a la víctima.Usaremos la herramienta arpspoof, que está en el

paquete dsniff.


mi conexión Wi-Fi?

Escribimos en la misma consola:

arpspoof -i wlan0 -t 192.168.1.60 192.168.1.1

El uso es el siguiente:

-i: con esto especificamos la interfaz.

-t: con esto especificamos el objetivo (target) al que

queremos enviar los mensajes “ARP reply”.


mi conexión Wi-Fi?

El último parámetro es la IP que queremos falsear, lo

mensajes serán del modo:

La máquina con la IP 192.168.1.1 está en la MAC

ff:ff:ff:ff:ff:ff esa MAC será la de tu ordenador.

Se envía un mensaje cada pocos segundos de modo

que no haya riesgo de que la víctima consiga las

direcciones legítimas al pedir ella misma las MACs de la

red.

Dejamos al programa trabajar y abrimos otra terminal.


mi conexión Wi-Fi?

En este momento ya tenemos todos los paquetes que

van de la víctima al router pasando por nuestra

computadora. ¿Cómo podemos verlos?

Vamos a hacer uso de las demás herramientas del

paquete dsniff.


mi conexión Wi-Fi?

dsniff

Este es un esniffer normal, intercepta contraseñas entexto plano (ahora no se ven muchas) y otras cosas.

Lo podemos ejecutar (como root):

dsniff -i wlan0 -dd

Ahora veremos todo el tráfico, si ponemos una sola -d

nos dará menos información, y si no ponemos ninguna

solo nos dará contraseñas en texto plano


mi conexión Wi-Fi?

webspy

Este programa es bastante sencillo de utilizar, sirve para

ver en nuestro navegador y en tiempo real las páginas

que visita la víctima.

Lo ejecutamos así:

webspy -i interfaz host

host es la IP de la máquina que deseamos espiar (previo

envenenamiento de ARP para que funcione).


mi conexión Wi-Fi?

Ahora abrimos el navegador, dicen que solo funciona

con Chrome, pero a mi me va bien con el Firefox, y

veremos las páginas que la víctima vaya visitando


mi conexión Wi-Fi?

dnsspoof

Con esto podemos hacer que la víctima reciba

respuestas de consultas DNS de la manera que

queramos.

Las consultas DNS consisten en que cuando escribimos

en el navegador una web http://www.google.com, el

navegador envía una consulta DNS al servidor DNS que

nos diga nuestro ISP, y este nos responde con la IP que

corresponde a esa dirección. El dnsspoof nos permite

decirle que ciertas webs están en nuestra máquina.

dnsspoof -i interfaz -f hostsfile


mi conexión Wi-Fi?

En el archivo hostsfile especificamos que direcciones

queremos falsificar. Un ejemplo podría ser:

192.168.1.30 *.hotmail.com

192.168.1.30 *.live.com


mi conexión Wi-Fi?

Primero la ip que queramos que “corresponda” a esa

dirección y luego la dirección.

Esas son algunas de las herramientas del paquete dsniff.

Tiene muchas más, por ejemplo el webmitm, que es

básicamente un proxy en nuestro ordenador y que

podemos usar para esnifar contraseñas encriptadas enSSL usando un certificado falso. No me voy a alargar

más pero recomiendo que busques sobre el tema si te

interesa.


mi conexión Wi-Fi?

¿Cómo defendernos de estos ataques?

Sobre el hecho de colarse en una red WiFi, lo mejor es

activar un filtro MAC y poner una contraseña WPA-PSK2,

que me parece que a día de hoy no se han podido

crackear. Para hacer esto nos vamos a la configuración

del router. En una consola ponemos ifconfig si estamos

en Linux o ipconfig si estamos en Windows. Vemos la

dirección que pone como puerta de enlace. Suele ser

192.168.1.1.


mi conexión Wi-Fi?

Vamos a un navegador y la ponemos, nos pedirá user y

pass. Si nunca las has cambiado suelen ser:

user: 1234 pass: 1234

user: admin pass: admin

user: admin pass: 1234


mi conexión Wi-Fi?

Si no son estas busca en google la marca de tu router y

cuál es su contraseña de fábrica.

Una vez dentro nos iremos al menú que diga

configuración de seguridad o algo así, cambia según la

marca así que no puedo decir uno concreto.

Sobre el ataque que hemos realizado nosotros, suele ser

eficaz crear entradas estáticas en la tabla ARP.


mi conexión Wi-Fi?

Podemos ver esta tabla si escribimos en consola:

arp a

Tanto Linux como Windows

Para crear la entrada estática, esto es una entrada que

no cambiará de modo que ignorará los mensajes ARP

reply, aunque en Windows me parece que se pueden

pisar las entradas estáticas, haremos esto:

arp -s IP MAC


mi conexión Wi-Fi?

Para ver si nos están haciendo una falsificación de

consultas DNS, podemos usar el comando nslookup, por

ejemplo, para hotmail.com

nslookup www.hotmail.com

Deberíamos obtener la IP del servidor, si no, es que

estamos sufriendo algún tipo de ataque.

El ladrón en casa me están robando mi conexión wi fi f

Documents

Transcript of El ladrón en casa me están robando mi conexión wi fi f