PDF de programación - (IN)SEGURIDAD EN REDES WI-FI

IV Jornada STIC CCN-CERT

(IN)SEGURIDAD EN REDES WI-FI

Madrid, 14 de diciembre de 2010

IV Jornada STIC CCN-CERT

FORO: IV Jornada STIC CCN-CERT
SESIÓN: (In)Seguridad en redes Wi-Fi
OBJETIVO:
¿Cuál es el estado real de la seguridad de las redes Wi-Fi al
finalizar el año 2010?
“Desde hace tiempo ya se dispone de seguridad mediante
WPA2, así que son seguras, ¿no?”
PONENTE:

- Sr. Raúl Siles (Taddong – www.taddong.com)

FECHA: 14 de diciembre de 2010

Página: 2

IV Jornada STIC CCN-CERT

Titulo Transparencia

“¡Nosotros no tenemos wireless!”

• ¿Cómo son las redes Wi-Fi para los usuarios… y para los técnicos?
•
• ¿Dónde llega la señal de mi red Wi-Fi?
• Hotspots Wi-Fi
• Tecnlogías de seguridad Wi-Fi

- WEP, WPA(2)-PSK, WPA(2)-Enterprise & el futuro de las redes Wi-Fi

• Clientes Wi-Fi

- Deficiencias, ataques contra la PNL, TAD-2010-003 y ¿dónde está mi PNL?

• Defensas
• Referencias

Página: 3

IV Jornada STIC CCN-CERT

Wi-Fi para los usuarios

Página: 4

IV Jornada STIC CCN-CERT

Wi-Fi para los técnicos

RC4
MIC

PTK
AES

PSK

802.11
EAP-
FAST
802.11n

MSCHAPv2

PEAPv0

WPA2

802.11w

RADIUS

802.1x
CBC-MAC

PEAPv2

802.11a

CRC32

TKIP

GTK

RADIUS

PNL

WPA

LDAP

WEP+

LEAP

NAS

EAP/TLS
EAP-MD5

RSN

PMK

802.11g

TTLS

WEP

AAA

WMM

PEAPv1

CCMP

802.11i

802.11b

PEAP-EAP/TLS

Página: 5

IV Jornada STIC CCN-CERT

“¡Nosotros no tenemos wireless!”

“¿Estas seguro?”

•
• Política de seguridad vs realidad
• Dispositivos “autorizados”

- Equipos de escritorio, portátiles, dispositivos móbiles
- Puntos de acceso y controladores mal configurados

• Auditorías de seguridad y señales Wi-Fi
- PCI DSS Wireless Guidelines (trimestral)

• Clientes Wi-Fi actuando como APs

- Windows 7: Wireless Hosted Net (WPA2-PSK/AES)

netsh wlan set hostednetwork mode=allow ssid=linksys key=…

- Nueva percepción de seguridad

Mismo escenario: “No te preocupes, sólo tenemos WPA2-Enterprise…”
Mismo escenario: “No te preocupes, sólo tenemos WPA2-Enterprise…”

Página: 6

IV Jornada STIC CCN-CERT

¿Dónde llega la señal de mi red Wi-Fi?

• ¿Desde dónde podría un atacante conectarse a la red Wi-Fi, inyectar

tráfico o capturar el tráfico?
- “Desde el aparcamiento cercano”

• Edificios de oficinas compartidos en el centro de la ciudad
• Ajustar la potencia de transmisión y las antenas
• ¿Cuál es la máxima distancia de conexión de una red Wi-Fi?

- Record mundial (nuevos records posteriores en 2007+)
- Defcon 13:WiFi Shootout 2005: www.wifi-shootout.com
- 200,96 Km
- ¿Problema?
- La curbatura de la tierra

Página: 7

IV Jornada STIC CCN-CERT

HotSpots Wi-Fi

• No podemos vivir sin conexión a Internet
• Aunque no se dispone de una red Wi-Fi abierta y sin seguridad en la

organización… ¿qué ocurre con los usuarios?
- ¿Red de invitados?

• Ataques:

- Captura de tráfico (confidencialidad)

 “Sólo accedo a información pública…”

- Manipulación del tráfico

• VPNs

game over!

- En manos del usuario (establecimiento, DoS…)
- ¿Protección a nivel 2?
- HotSpots: portal cautivo vía web ☺

• HotSpots en el futuro: WPA2-Enterprise (== ó != usuarios)

Página: 8

IV Jornada STIC CCN-CERT

Firesheep

• Secuestro de sesiones web
• Add-on para Firefox + Winpcap

- Eric Butler & Ian Gallagher en octubre de 2010 - ToorCon 12

• No es un ataque nuevo, pero ahora cualquiera puede ejecutarlo
• Cifrado en sesiones web: autentificación vs sesión completa

http://codebutler.com/firesheep & Airpwn-MSF
http://codebutler.com/firesheep & Airpwn-MSF

Página: 9

IV Jornada STIC CCN-CERT

Tecnologías de seguridad Wi-Fi

WEP

WPA(2)-PSK

WPA(2)-Enterprise

El futuro de las redes Wi-Fi

DoS & Capacidades de detección (WIDS)
DoS & Capacidades de detección (WIDS)

Página: 10

IV Jornada STIC CCN-CERT

WEP

• Wired Equivalent Privacy (WEP): no en la organización pero…

http://www.radajo.com/2007/04/what-else-do-you-need-not-to-use-wep.html
http://www.radajo.com/2007/04/what-else-do-you-need-not-to-use-wep.html

Página: 11

IV Jornada STIC CCN-CERT

WPA(2)-PSK

• Clave pre-compartida

- Cualquier usuario puede capurar el tráfico de otros usuarios

• Longitud de la clave

- Mínimo de 8 caracteres, recomendado 20 caracteres, máximo de 64

• Debilidades en la asignación de la clave: proveedores de telco
• Ataques de rainbowtables

- Múltiples rainbowtables disponibles (diccionario con 1 millón de palabras)
- Ataques mediante las GPUs de las tarjetas gráficas (x 10K)
- Ataques “en la nube” (diccionario con 284 millones de palabras)

 Captura de tráfico (4 tramas)
 SSID (nombre de la red Wi-Fi)
 E-mail

•Tienes un
•Tienes un
e-mail ! ☺
e-mail ! ☺

Algo compartido… ¡no es secreto!
Algo compartido… ¡no es secreto!

Página: 12

IV Jornada STIC CCN-CERT

WPA(2)-Enterprise

• TKIP es una solución temporal: se debe usar AES

- DoS en el diseño (WMM) y ataque chop-chop

• WPA2/AES-CCMP + 802.1x/EAP

- Autentificación fuerte mediante credenciales de usuario y certificados digitales
- Validación de los certificados digitales incorrecta

 CA
 Servidor de autentificación (RADIUS)
 Acceso a las credenciales del usuario

• Hole 196

- Clave de grupo (GTK)
- Ataques internos menos detectables

• 802.11n: ¿Listo para detectar los ataques?

Algo compartido… ¡no es secreto!
Algo compartido… ¡no es secreto!

Página: 13

IV Jornada STIC CCN-CERT

El futuro de las redes Wi-Fi

• Historia de las tecnologías Wi-Fi:

- WEP desde 1999 & TKIP desde 2003

• 2011: TKIP no permitido en APs sólo (…+AES) y WPA2/AES por defecto

(vs. abierto)

• 2012: TKIP no permitido en STAs
• 2013: WEP no permitido en APs (… todavía PoS)
• 2014: TKIP+AES no permitido en APs (sólo WPA2/AES) y WEP no

permitido en STAs

• En 2014 tendremos dos mundos Wi-Fi: seguro e inseguro

- WPA2/AES por defecto: ¿Cuál es la clave? (WPS)
- Redes Wi-Fi abiertas: ¡Todavía permitidas!

Página: 14

IV Jornada STIC CCN-CERT

Clientes Wi-Fi

Deficiencias

Ataques contra la PNL

TAD-2010-003

¿Dónde está mi PNL?

Página: 15

IV Jornada STIC CCN-CERT

Deficiencias en los clientes Wi-Fi
• ¿A qué tipo de red te estás conectando

con tu dispositivo móvil?
- iPhone, Windows Mobile, etc
- Tiene un candado, así que debe ser muy

segura ☺

- Imposibilidad de deshabilitar la conexión

automática a redes Wi-Fi conocidas

- Solución: Configurar la red Wi-Fi

manualmente

Página: 16

IV Jornada STIC CCN-CERT

Ataques contra los clientes Wi-Fi (PNL)

• Ataques dirigidos y contra la privacidad de los clientes Wi-Fi
• ¿Cómo funcionan los clientes Wi-Fi?

- PNL: Preferred Network List
- Búsquedas periódicas por nombre: revelando información y detalles
- Un atacante puede capturar el tráfico y ver los nombres de las redes

• Los sistemas operativos “de verdad” evitan este comportamiento en la

actualidad (!redes ocultas), pero… ¿y los dispositivos móviles?

• Vulnerabilidad TAD-2010-003

- Windows Mobile 6.5 & PNL (redes ocultas y visibles)
- Conocido desde 2005, corregido en Windows XP desde 2007
- SSID (o conjuntos) únicos: identificación del usuario (privacidad)
- El atacante “ayuda” al dispositivo a conectarse a su red (dirigido)

http://blog.taddong.com/2010/09/vulnerability-in-indiscreet-wi-fi.html
http://blog.taddong.com/2010/09/vulnerability-in-indiscreet-wi-fi.html

Página: 17

IV Jornada STIC CCN-CERT

TAD-2010-003: Descubrimiento

•Redes Wi-Fi

visibles

Página: 18

IV Jornada STIC CCN-CERT

TAD-2010-003: Ataques

• Ataques tipo “Karma”

- Los clientes Wi-Fi comprueban la presencia de sus redes preferidas
- “¿Está mi <SSID> aquí?”…. ¡Por supuesto! ☺
- Asociación y conexión automática desde los dispositivos móviles
- El atacante ofrece todo: red Wi-Fi, servidores DHCP/DNS/correo & Internet

• Herramientas

- Karma: http://theta44.org/karma/index.html
- Airbase-ng (aircrack-ng.org) & Karmetasploit (MSF + Karma/Airbase)
- Ataques sobre la contraseña WEP y WPA(2)-PSK

• Microsoft & TAD-2010-003: ¿baja severidad?, ¿forzar: ya lo hace el sólo?

- “However, because of the low severity impact of the information disclosed

combined with the fact that the attack would be untargeted (i.e. the attacker
cannot force the mobile device to disclose the PNL), Microsoft would not issue
a public security update to address this issue.”

- Windows Phone 7

Página: 19

IV Jornada STIC CCN-CERT

TAD-2010-003: Ataques dirigidos
• Tráfico capturado “durante un vuelo a Holanda” (HTC HD2, WM6.5):

Página: 20

IV Jornada STIC CCN-CERT

TAD-2010-003: Geolocalización (Wigle & Google Street View)

• SSID: “SX551D84D20”

• Wigle: : http://wigle.net
• Google Geolocation API: HTTPS + JSON

Página: 21

IV Jornada STIC CCN-CERT

TAD-2010-003: Geolocalización en el mapa (Wigle)
• ¿Dónde vives, trabajas, o quedas con los amigos…?

Página: 22

Traceback (most recent call last):
File "/usr/local/bin/pdf2txt.py", line 115, in <module>
if __name__ == '__main__': sys.exit(main(sys.argv))
File "/usr/local/bin/pdf2txt.py", line 109, in main
interpreter.process_page(page)
File "/usr/local/lib/python2.7/dist-packages/pdfminer/pdfinterp.py", line 832, in process_page
self.render_contents(page.resources, page.contents, ctm=ctm)
File "/usr/local/lib/python2.7/dist-packages/pdfminer/pdfinterp.py", line 845, in render_contents
self.execute(list_value(streams))
File "/usr/local/lib/python2.7/dist-packages/pdfminer/pdfinterp.py", line 856, in execute
(_, obj) = parser.nextobject()
File "/usr/local/lib/python2.7/dist-packages/pdfminer/psparser.py", line 557, in nextobject
(pos, token) = self.nexttoken()
File "/usr/local/lib/python2.7/dist-packages/pdfminer/psparser.py", line 483, in nexttoken
self.charpos = self._parse1(self.buf, self.charpos)
File "/usr/local/lib/python2.7/dist-packages/pdfminer/psparser.py", line 441, in _parse_string_1
self._curtoken += chr(int(self.oct, 8))
ValueError: chr() arg not in range(256)