Hackeando al vecino hax0r que me roba la WiFi (2 de 2)

Hackeando al vecino hax0r que me roba la WiFi (2 de 2)
Paralelamente a estos intentos, siempre mantenía mi equipo capturando tráficoWiFi en modo monitor, y analizaba las capturas, además de las que obtenía con Cain + Wireshark. En estas nuevas capturas, obtuve información interesante para el análisis.

Mi vecino/a se conectaba dos o tres veces al día, alrededor de 15 minutos cada sesión. Las páginas webs más visitadas seguían siendo de marujeo, como las comentadas en los párrafos anteriores, pero además habían accesos a las siguientes páginas:

http://elimperiodelaley.blogspot.com
http://quieroserjuez.blogspot.com
http://vidadeunaopositora.blogspot.com
http://sufridroaenejercicio.blogspot.com
http://quenovoyaserlasecretariadeunjuez.blogspot.com
Figura 4: Peticiones de DNS a blogs relacionados con oposiciones a judicatura

Analizando el nombre de los sitios web, así como el contenido que había en los mismos, me quedó claro que se trataba de una mujer, que estaba estudiando para oposiciones a judicatura. Es decir, que hablamos de una aspirante a juez robandoWiFi. ¡Así va este país!. Por otro lado, entre todas estas sesiones de navegación, en las que los sitios webs visitados eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los sitios visitados eran:

http://www.sport.es (Además leía la sección “El balón Rosa” ;) )
http://www.marca.com
http://tenerifedeportivo.com
Estas sesiones, en principio parecía que correspondían más a “Rober1”, leyendo periódicos deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas sesiones, concretamente un domingo, Rober1 consultó también la página de Yelmo Cines, pero al final parece que no se decidió a ir, porque más tarde presuntamente su pareja se volvió a conectar a ver vídeos de bebés, y leer un poco de prensa rosa, supongo que para desconectar de las arduas sesiones de estudio para la oposición.

Por la información de la que disponía hasta el momento, se trataba de una pareja de vecinos que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r con muchos conocimientos. Esto último me quedó más claro, cuando en una de las capturas recogidas escuchando en modo monitor, pude ver accesos a páginas de banca electrónica, algo que alguien con conocimientos de seguridad informática jamás haría desde una WiFi ajena.

Figura 5: Imágenes correspondientes a portal de banca electrónica

Afortunadamente para los vecinos, dieron con alguien que no tenía malas intenciones, y en esta ocasión, incluso de haberlas tenido, no podría haber hecho ningún destrozo, ya que al tratarse de tráfico SSL las credenciales no habrían sido capturadas sin romper el cifrado.

En este punto ya tenía claro el perfil de los “atacantes”, así como su nivel de conocimientos, pero aún no los había identificado. Los ataques man in the middleno funcionaban siempre, así que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyano haciendo DNS spooffing con alguna de las direcciones de los sitios webs más visitados. Pero en lugar de eso, decidí implementar un esquema “machine in the middle”, colocando una máquina a modo de router, para asegurar que todo el tráfico que generaban pasaba por la misma.

Para ello, habilité una máquina virtual Backtrack, a modo de puente con dos interfaces de red. Una de ellas conectada a la red en cuestión, 192.186.1.0, y la otra en una nueva red 192.168.2.0, con la dirección IP 192.168.2.1. Además de eso, deshabilité el servidor DCHP del router al que se conectaban los vecinos, y arranqué un servidor DHCP en la máquina virtual, que repartiera direcciones en la nueva red, especificando como puerta de enlace la dirección de esta máquina en la nueva red, la 192.168.2.1. El tráfico generado era redirigido de una interfaz a otra, en aras de poder llevar el tráfico hacia y desde Internet a través del router principal.

Por otra parte, también arranqué la herramienta SSLstrip, redirigiendo el tráficoSSL al puerto 10.000, para poder así interceptar sesiones de autenticación en algún sitio web que permitiese obtener alguna información para identificar a los malhechores. En este script de shell se puede observar la configuración final.

Figura 6: Configuración que arranca el esquema bridge en el mitm

Con este nuevo esquema, los vecinos se conectaban a mi router vía WiFi, pero era la nueva máquina puente la que hacía de router para ellos, dándoles una nueva dirección IP en el rango 192.168.2.0 y ofreciéndoles salida a Internet. Bastaba con arrancar tcpdumpdsniff, y visualizar el log de sslstrip para poder controlar todo el tráfico generado por los vecinos.

El esquema no tardó en funcionar. La siguiente vez que se conectaron, todos los paquetes pasaban por la nueva máquina puente, y tras una o dos sesiones de navegación, el log de SSLstrip reveló su dirección de correo electrónico y su cuenta de Facebook:

Figura 7: Datos de cuenta Facebook capturados con SSLStrip

En este punto había completado mi análisis, y con un poco de Google Hacking a partir de su dirección de correo pude averiguar quiénes eran los vecinos, y confirmar que en efecto, se trataba de una pareja de abogados, ella estudiando para presentarse a una oposición de juez. Podría haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el estilo, pero simplemente me limité a enviarles un correo informándoles de que estaba al corriente de lo que habían hecho, dándoles algunos detalles que les mostraran que efectivamente tenía conocimiento de sus sesiones de navegación, y advertirle de los peligros que corrían realizando este tipo de prácticas.

Me contestaron ofreciendo sus disculpas, comentándome que estaban avergonzados de su comportamiento y que no tenían mucha idea de lo que estaban haciendo, ya que fue “un amigo informático” el que les consiguió la conexión a Internet gratis.

Como ya todos sabemos, es impresionante toda la información que se puede obtener de una persona simplemente echando un vistazo a los sitios que visita en Internet, pero si además resulta que no sólo navega por páginas de información, sino que utiliza servicios de correo electrónico, redes sociales, o banca electrónica desde una conexión “robada”, el destrozo podría ser de dimensiones considerables.

Por motivos de protección de datos se ha sustituido el nombre real del equipo vecino por “Rober1”, pero el host original sigue la misma nomenclatura. Por otro lado quiero deciros que este artículo está hecho por si alguno de los lectores de este blog tiene una pareja de amigos que un día le piden que le robe la WiFi a algún vecino para conectarse gratis a Internet. Tened cuidado que, como decía Chemala víctima del robo puede que también tenga también un amigo informático y les metas en un verdadero problema a tus amigos.

Deepak Daswani
(dipu.daswani@gmail.com)
(http://twitter.com/dipudaswani)

Comentarios

Entradas populares