Você está na página 1de 42

Vulnerabilidades de segurança nos modems/ routers ADSL

Daniel Teixeira

danieljcrteixeira@gmail.com

Índice

Introdução

3

Configuração padrão

4

Nome de utilizador e password padrão

5

Acesso à página de administração

6

Atributos HTML

7

D-Link DVA-G3170i/PT

10

Montando o Palco

11

Cenário 1 - Email Phishing

12

Cenário 2 - DNS Phishing

21

Cenário 3 - Roubo de identidade

34

Cenário 4 - Acesso à Intranet

38

Conclusão

42

Referências

42

Introdução

Com o crescente número de sistemas embebidos, também designados por sistemas embutidos presentes nas redes empresariais e redes domesticas, surgem duvidas quanto à segurança desses dispositivos e à forma como estes estão configurados. Em particular os Modems/Routers ADSL instalados na periferia das redes ligados a internet.

O propósito deste relatório é delinear as medidas de segurança tomadas pelos ISPs e fabricantes de forma

a prevenir ataques nos seus produtos, que medidas de segurança estão presentes e quais falham o seu

propósito. Para tal usamos ferramentas de rede existentes para analisar vulnerabilidades numa variedade de dispositivos comuns e demonstrar fraquezas na segurança desses dispositivos. Além disso, vamos examinar as tendências comuns em matéria de segurança que se repetem entre diversos ISPs e fabricantes. Como forma de representar os riscos dessas mesmas vulnerabilidades, as mesmas serão aplicadas em possíveis cenários de forma a representar ataques reais por parte de criminosos.

Na elaboração deste documento foram testados os seguintes routers adsl, alguns dos mais comuns entre os quais os fornecidos pelos ISPs, (no entanto é de realçar que o número de equipamentos vulneráveis expendem-se para além do grupo aqui testado):

Modelo

Versão de Firmware

AirLive ARM-204

2.7.0.28

AirLive WT-2000ARM

2.7.0.28

D-Link DVA-G3170i/PT

1.20

Edimax AR-7084ga

2.9.8.1

Epygi 2xi Quadro2xi

4.1.33

Huawei Aolynk DR814Q

200DD001EX

Vigor2700 series

2.6.3.1

ZyXEL P-660RU-T1v3

3.40

Configuração padrão

Uma vulnerabilidade comum a todos os equipamentos abordados está presente na configuração padrão (por defeito) dos mesmos, todos disponibilizam formas administração ou gestão através da internet. Formas de administração como telnet pelo porto 23 (Figura 1) ou pelo porto 80 através da página de administração no browser (Figura 2), que apenas deviam de estar disponíveis para a rede de área local ou LAN.

de estar disponíveis para a rede de área local ou LAN. Figura 1 Pedido de autenticação

Figura 1 Pedido de autenticação para o site de administração do router Edimax

AR-7084ga.

para o site de administração do router Edimax AR-7084ga. Figura 2 Pedido de autenticação telnet para

Figura 2 Pedido de autenticação telnet para a administração do router D-Link DVA-

G3170i/PT

Nome de utilizador e password padrão

O segundo ponto sobre o qual nos vamos focar prende-se ao facto de a grande maioria dos equipamentos estarem configurados de fabrica com dados de autenticação padrão e publicamente disponíveis, quer nos próprios manuais, nos guias de instalação dos ISPs e mesmo em sites como http://

constante estes tendem a não ser alterados pelos utilizadores, por lapso, desconhecimento, dado que nem sempre está explicito nos manuais, pelo facto dos ISPs não reforçarem o conceito de segurança e a importância da alteração dos dados de autenticação nos seus guias de instalação. Com o acesso ao nome de utilizador, password e à página de administração publicamente disponível na internet, temos um ponto de acesso ao router e como vamos ver de seguida aos dados do utilizador e a própria rede de área local ou intranet.

forma

ou

(Figura

3).

E

de

uma

Modelo

Nome de Utilizador (Username)

Password

AirLive ARM-204

admin

admin

AirLive WT-2000ARM

admin

airlive

D-Link DVA-G3170i/PT

admin

admin

Edimax AR-7084ga

admin

admin

Epygi 2xi Quadro2xi

admin

19

Huawei Aolynk DR814Q

user

user

Vigor2700 series

admin

admin

ZyXEL P-660RU-T1v3

admin

1234

Figura 3 Nomes de utilizadores e passwords referentes aos modelos testados.

Acesso à página de administração

Combinando a informação reunida nos tópicos anteriores torna-se possível aceder à página de administração do router ADSL (Figura 4 e 5).

à página de administração do router ADSL (Figura 4 e 5). Figura 4 Pedido de autenticação

Figura 4 Pedido de autenticação à página de administração do router AirLive

WT-2000ARM

à página de administração do router AirLive WT-2000ARM Figura 5 Página de administração do router AirLive

Figura 5 Página de administração do router AirLive WT-2000ARM.

Atributos HTML

Assim que se obtém acesso à página de administração do router, obtém-se acesso a todos os recursos neste presentes, contudo por agora vamo-nos focar no nome de utilizador da conta de acesso à internet e na respectiva password (Figura 6). De uma forma geral a maioria dos modens tem um servidor de HTTP embebido (Embedded HTTP server), o qual permite gerar a página de administração, através do uso de scripts CGI (Common Gateway Interface) (RFC 3875), ou implementações semelhantes que permitem a interacção entre os dados introduzidos no browser e o router. Devido a uma falha na implementação nos scripts CGI que geram o código HTML (HyperText Markup Language) torna-se possível revelar a password de acesso a conta de internet.

possível revelar a password de acesso a conta de internet. Figura 6 Nome de utilizador e

Figura 6 Nome de utilizador e password Edimax AR-7084ga.

De forma a tirarmos partido da vulnerabilidade presente na implementação da página de administração dos routers ADSL, que permite a divulgação da password de acesso inspeccionamos o campo de Input do código HTML gerado usando ferramentas de desenvolvimento que nos permitem editar, depurar e monitorar CSS, HTML e JavaScript em qualquer página da web, como o Safari Web Inspector ou o Firebug (http://getfirebug.com/).

Para usarmos o firebug basta clicar no campo de input, neste caso Password e inspeccionar o elemento (Figura 7).

campo de input, neste caso Password e inspeccionar o elemento (Figura 7). Figura 7 Inspeccionar elemento

Figura 7 Inspeccionar elemento com o Firebug.

Assim que recebemos o resultado do Firebug torna-se perceptível que estamos perante a password sob a forma de texto simples (Figura 9).

perante a password sob a forma de texto simples (Figura 9). Figura 8 Resultado do Firebug.

Figura 8 Resultado do Firebug.

de texto simples (Figura 9). Figura 8 Resultado do Firebug. Figura 9 Password em texto simples.
de texto simples (Figura 9). Figura 8 Resultado do Firebug. Figura 9 Password em texto simples.

Figura 9 Password em texto simples.

Caso pretendido é possível manipular o atributo TYPE no campo de <INPUT> tornando a password visível na caixa de <INPUT> para tal basta altera o atributo de PASSWORD para outro valor como por exemplo TEXT (Figura 10).

Figura 10 Atributo TYPE no campo de <INPUT>. Figura 12 Mudando o atributo TYPE de

Figura 10 Atributo TYPE no campo de <INPUT>.

Figura 10 Atributo TYPE no campo de <INPUT>. Figura 12 Mudando o atributo TYPE de PASSWORD

Figura 12 Mudando o atributo TYPE de PASSWORD para TEXT no campo de <INPUT>.

Apartir deste momento temos todos dados de acesso a conta de internet do proprietário do router Edimax

AR-7084ga.

D-Link DVA-G3170i/PT

No caso específico do D-Link DVA-G3170i/PT não somos imediatamente presenteados com uma página de administração pela internet, contudo temos acesso a administração por telnet (Figura 13) e como de seguida demonstrado é mais que suficiente para obtermos acesso ao router e aos dados de acesso a internet. Sabendo que o nome de utilizador para aceder a administração do D-Link DVA-G3170i/PT por defeito é admin e a password é admin. Facilmente acedemos aos serviços do router (Figura 14).

. Facilmente acedemos aos serviços do router (Figura 14). Figura 13 Pedido de autenticação telnet para

Figura 13 Pedido de autenticação telnet para a administração do router D-Link

DVA-G3170i/PT

telnet para a administração do router D-Link DVA-G3170i/PT Figura 14 Autenticação a administração do router D-Link

Figura 14 Autenticação a administração do router D-Link DVA-G3170i/PT.

Assim que obtemos acesso ao router, tendo em conta que tal como a maioria dos modens se trata de um modelo com base em Unix/Linux, ao fim de alguns minutos torna-se evidente onde encontrar os dados da ligação à internet, no entanto a surpresa está no facto desta informação não se encontrar encriptada. Tornando possível aceder aos dados de acesso simplesmente lendo o ficheiro pap-secrets, introduzindo para tal o seguinte comando:

pap-secrets, introduzindo para tal o seguinte comando: Como constatado inicialmente, fracas implementações de

Como constatado inicialmente, fracas implementações de segurança e falta de cuidado com a informação dos clientes começam a ser uma constante (Figura 15).

dos clientes começam a ser uma constante (Figura 15). Figura 15 Nome de utilizador e password

Figura 15 Nome de utilizador e password de acesso à internet no router D-Link

DVA-G3170i/PT.

Montando o Palco

Munidos com toda a informação obtida, temos todos os dados para simular um ataque de um criminoso.

Sumário da informação obtida:

Configuração padrão dos modens - Acesso à página de administração pela internet e/ou por telnet.

Nome de utilizador e password padrão - Acesso publico aos dados de autenticação.

Vulnerabilidade no código da página de administração que permite acesso ao nome de utilizador e password de acesso a internet.

Vulnerabilidade resultante da fraca aplicação de medidas de segurança no router D-Link DVA-G3170i/PT, que permitem o acesso ao nome de utilizador e password de acesso à internet.

Como forma de clarificar o verdadeiro risco criado por estas vulnerabilidades e demonstrar a forma como tornam alguns ataques possíveis vamos avaliar alguns cenários simulando a extensão a que podem ser levadas.

Cenário 1 - Email Phishing

De uma forma concreta assim que temos acesso aos dados da conta do utilizador, o único limite é a imaginação, contudo de forma a quantificar o valor dos dados de acesso vamos tentar aceder a alguma informação ou serviços.

O primeiro passo é obter o endereço IP (Internet Protocol) do router de forma a tentarmos entrar. Sem querer entrar em muitos detalhes neste aspecto em concreto, vamos abordar algumas formas de obter o endereço IP de um destes modens:

1. Umas das formas mais praticas é analisar os cabeçalhos de um email recebido:

praticas é analisar os cabeçalhos de um email recebido: 2. Outra forma é usar um scanner

2. Outra forma é usar um scanner tal como o nmap de forma a procurar ips com os portos 23 (Telnet) e 80 (HTTP):

forma a procurar ips com os portos 23 (Telnet) e 80 (HTTP): Assim que obtemos os

Assim que obtemos os dados de acesso o primeiro passo é entrarmos no portal do operador (ISPs) e acedermos a Área de Clientes. Como exemplo vamos usar os dados obtidos através do router D-Link DVA- G3170i/PT, como neste caso específico estamos perante um equipamento distribuído pela Sapo, dirigimo- nos ao portal do Sapo em http://www.sapo.pt (Figura 16).

nos ao portal do Sapo em http://www.sapo.pt (Figura 16). Figura 15 Banner da página inicial do

Figura 15 Banner da página inicial do sapo.pt.

No canto superior direito da figura 15 temos o que procuramos o link para a Área do Cliente SAPO (Figura

16).

Figura 16 Área de Cliente SAPO. Assim que entramos temos acesso a todas as informações

Figura 16 Área de Cliente SAPO.

Assim que entramos temos acesso a todas as informações do cliente e serviços como: Conta Sapo ADSL, Facturação, Voip, Email, Criar página pessoal, Criar/Gerir dynIP entre outros (Figura 17).

O primeiro elemento que nos chama a atenção são os dados pessoais do cliente:

Nome

Telefone

Email

Morada

Apartir deste momento podemos associar um nome ao nome de utilizador e password que conseguimos.

Figura 17 Área do Cliente SAPO. O próximo passo é verificar que dados podemos obter

Figura 17 Área do Cliente SAPO.

O próximo passo é verificar que dados podemos obter na opção de Facturação (Figura 18).

Como podemos observar temos no topo da consulta de facturação:

Nº de Conta de Cliente.

Modo de Pagamento.

Banco do Cliente.

Numa primeira aproximação, temos dados suficientes para um ataque de phishing, no qual podemos incluir os dados do banco do cliente, os dados do cliente de forma a tornar o email mais credível. Contudo ao analisarmos com mais atenção é possível verificar que temos a possibilidade de fazer download da factura electrónica com a qual obtemos dados como:

Nº Contribuinte.

Nº de Facturação.

Nº de Conta.

Figura 18 Área do Cliente SAPO, Facturação. Neste momento temos todos os dados necessários para

Figura 18 Área do Cliente SAPO, Facturação.

Neste momento temos todos os dados necessários para um ataque de phishing bem sucedo.

Apartir deste momento podíamos simplesmente enviar um ataque de phishing por email de forma a obtermos os dados de acesso à conta do banco do cliente.

Contudo vamos analisar um pouco mais as opções disponíveis na Área de Cliente SAPO.

Mais a baixo temos o serviço de Email (Figura 19).

Figura 19 Área do Cliente SAPO, Email. Quando pensávamos que as coisas não podiam ficar

Figura 19 Área do Cliente SAPO, Email.

Quando pensávamos que as coisas não podiam ficar melhores somos presenteados com o endereço da conta de email personalizado (o-meu-email@sapo.pt), em vez do endereço obtido inicialmente (as000000@sapo.pt). Isto torna a possibilidade de sucesso ainda maior, ao enviarmos o email de phishing para a conta de email personalizado e não para o endereço da conta do Sapo. Assim o cliente ao receber o email não vai achar estranho o endereço para o qual este foi enviado, dado que agora temos o endereço personalizado do cliente. De forma a aumentarmos as chances deste ataque podemos tentar aceder a conta de email do cliente e procurar por mais informações.

Para isso basta acedermos ao link (Figura 20) que nos da acesso a caixa de email do Sapo e tentarmos aceder a conta (Figura 21).

Figura 20 Banner da página inicial do Sapo, link para o Mail. Figura 21 Mail

Figura 20 Banner da página inicial do Sapo, link para o Mail.

20 Banner da página inicial do Sapo, link para o Mail. Figura 21 Mail Sapo. De

Figura 21 Mail Sapo.

De forma geral a password que é usada para aceder a internet é a mesma password usada para aceder a Área de Cliente e ao endereço de email associado a conta do cliente. Mais um ponto a nosso favor já que não se torna necessário usar outras formas de tentar descobrir a password para aceder a conta de email (Figura 22).

Com acesso a conta torna-se possível aceder a emails recebidos do próprio banco, pedidos de credito, informações nos itens enviados da conta, nos rascunhos e na pasta do lixo, o lixo de um homem é o tesouro de outro, sendo assim possível simplesmente alterar os emails recebidos e reenvia-los para o cliente com os links que quisermos de forma a obtermos os dados de autenticação da conta bancaria.

Figura 22 Caixa de email. Por fim resta apenas construir um email credível com as

Figura 22 Caixa de email.

Por fim resta apenas construir um email credível com as cores e o logo do banco do cliente como exemplo o email de phishing do Montepio tentando induzir Clientes Montepio a acederem a um link falsificado (Figura 23), contudo ao contrário deste tipo de emails genéricos, com os dados obtidos podemos criar um email personalizado, com dados reais do cliente de forma a torna-lo mais credível e dificilmente detectado. Ou no caso de obtivermos algum email relevante na caixa de email do cliente utilizar o layout do mesmo e altera-lo de forma a cumprir o seu objectivo.

Figura 23 Exemplo de email de phishing. Disponível em: http://www.montepio.pt/imagens/34/ExemplosFraudes.pdf De forma a

Figura 23 Exemplo de email de phishing. Disponível em: http://www.montepio.pt/imagens/34/ExemplosFraudes.pdf

De forma a mantermos acesso ao router para se tentar outro tipo de ataques podemos usar o serviço de Criar/Gerir dynIP (Figura 24), tendo que os clientes com este tipo de ligação tem IP dinâmico o que significa que em cada ligação efectuada é assignado um endereço IP diferente impossibilitando acesso fácil a um router de um cliente previamente comprometido, contudo com o serviço de dynIP permite a tradução entre o endereço IP e um nome de fácil memorização (Figura 25). Possibilitando voltar ao router sempre que for necessário usando o nome atribuído ao IP.

sempre que for necessário usando o nome atribuído ao IP. Figura 24 Serviço de dynIP do

Figura 24 Serviço de dynIP do Sapo na Área do Cliente.

Figura 26 Serviço de dynIP do Sapo na Área do Cliente. Figura 25 Serviço de

Figura 26 Serviço de dynIP do Sapo na Área do Cliente.

Figura 26 Serviço de dynIP do Sapo na Área do Cliente. Figura 25 Serviço de dynIP

Figura 25 Serviço de dynIP do Sapo na Área do Cliente.

Apartir do momento que concluímos a atribuição do nome de endereço para a ligação em questão, basta esperar cerca de 15 minutos após a activação do serviço para que possamos usar o nome escolhido sempre que quisermos voltar ao router comprometido.

Cenário 2 - DNS Phishing

Neste possível cenário voltamos as funcionalidades do router de forma a tentar usar algumas das suas propriedades para produzir um ataque bem sucedido.

O procedimento inicial para descobrir o IP do router vai ser o mesmo usado inicialmente, através dos

cabeçalhos de um email ou de uma ferramenta como o nmap para procurar uma lista de IPs com serviços

de autenticação a área de gestão do router.

Neste exemplo encontramos o router AirLive WT-2000ARM (Figura 27), usando o nome de utilizador admin e a password airlive obtemos acesso à página de administração do router (Figura 28).

acesso à página de administração do router (Figura 28). Figura 27 Autenticação para o site de

Figura 27 Autenticação para o site de administração do router AirLive WT-2000ARM.

para o site de administração do router AirLive WT-2000ARM. Figura 28 Página de administração do router

Figura 28 Página de administração do router AirLive WT-2000ARM.

Usando a vulnerabilidade na implementação da página de administração do router AirLive WT-2000ARM podemos obter a password da ligação a internet usando o Firebug (Figura 29)

da ligação a internet usando o Firebug (Figura 29) Figura 29 Inspeccionar elemento com o Firebug,

Figura 29 Inspeccionar elemento com o Firebug, router AirLive WT-2000ARM.

elemento com o Firebug, router AirLive WT-2000ARM. Figura 30 Resultado do Firebug, router AirLive WT-2000ARM.

Figura 30 Resultado do Firebug, router AirLive WT-2000ARM.

Figura 30 Mudando o atributo TYPE de PASSWORD para TEXT no campo de <INPUT>, router

Figura 30 Mudando o atributo TYPE de PASSWORD para TEXT no campo de <INPUT>, router AirLive WT-2000ARM.

Com os dados obtidos concluímos que possivelmente se trata de uma conta empresarial, em especifico um conta da operadora Optimus.

Munidos com essa informação podemos tentar aceder à área reservada a clientes que se encontra em https://clientes.novis.pt (Figura 31)

Figura 31 Área reservada a clientes Optimus. Figura 31 Área reservada a clientes Optimus. 24

Figura 31 Área reservada a clientes Optimus.

Figura 31 Área reservada a clientes Optimus. Figura 31 Área reservada a clientes Optimus. 24

Figura 31 Área reservada a clientes Optimus.

Assim que entramos confirmamos que se trata de uma conta Novis Advance+ADSL, contudo os dados obtidos na área reservada a clientes não são tão relevantes quanto os encontrados no Cenário 1, no entanto ainda tínhamos a possibilidade de tentar ler os emails associados a conta de internet.

Contudo dado que temos acesso ao router, temos diversas possibilidades de criar um ataque bem sucedido. Vamos analisar algumas opções deste router em especial a opção de escolher o servidor de DNS (Domain Name System).

DNS (Domain Name System) é um mecanismo de resolução de nomes em endereços IP. Na prática, o mecanismo DNS não é mas do que uma grande base de dados distribuída com a correspondência entre endereços lógicos e nomes de domínio. Com isto em mente sabemos que podemos alterar os servidores de DNS do router para o nosso próprio servidor de DNS, desta forma podemos controlar a resolução dos nomes para o endereço IP. Com isto podemos criar um clone de um site e prepara-lo de forma a direccionar os utilizadores deste router para esse mesmo site afim de obtermos credenciais de acesso.

esse mesmo site afim de obtermos credenciais de acesso. Figura 32 Página de administração do router

Figura 32 Página de administração do router AirLive WT-2000ARM, servidores de DNS.

Em primeiro lugar vamos configurar o nosso servidor de DNS, para isso vamos usar uma maquina virtual com o Windows Server 2008 instalado.

Para configurar o servidor de DNS acedemos a Start, Administrative Tools, DNS (Figura 33).

DNS acedemos a Start, Administrative Tools, DNS (Figura 33). Figura 33 Windows Server 2008 configuração de

Figura 33 Windows Server 2008 configuração de DNS.

De seguida cliclamos com o botão do rato direito sobre Forward Lookup Zone e seleccionamos uma nova zona (New Zone) (Figura 34).

Zone e seleccionamos uma nova zona (New Zone) (Figura 34). Figura 33 Windows Server 2008 configuração

Figura 33 Windows Server 2008 configuração de DNS.

Após seleccionarmos uma nova zona clicamos em Next no Creation Wizard (Figura 34) e de seguida introduzimos o nome da zona, para este exemplo vamos usar gmail.com (Figura 35), contudo podia ser um banco ou outro sitio a escolha.

35), contudo podia ser um banco ou outro sitio a escolha. Figura 34 Windows Server 2008

Figura 34 Windows Server 2008 Creation Wizard.

a escolha. Figura 34 Windows Server 2008 Creation Wizard. Figura 35 Windows Server 2008 nome de

Figura 35 Windows Server 2008 nome de zona.

O próximo passo é criar um registro A para www.gmail.com e o endereço IP do servidor que vai alojar o nosso site de phishing 1.2.3.3 (Figura 36). Para isso a partir da lista drop-down, seleccionamos New Host (A) Record.

Figura 36 Windows Server 2008 New Host (A) Record Agora precisamos configurar o servidor DNS

Figura 36 Windows Server 2008 New Host (A) Record

Agora precisamos configurar o servidor DNS para encaminhar todos os pedidos de URLs que não sabe para um servidor DNS real.

Para isso no painel de configuração de DNS, clicamos com botão direito no próprio servidor DNS e seleccionamos Propriedades (Figura 37). Em seguida, seleccionamos a Forwarders tab e introduzimos os endereços IP de um servidor de DNS real (Figura 38).

os endereços IP de um servidor de DNS real (Figura 38). Figura 36 Windows Server 2008

Figura 36 Windows Server 2008 Propriedades servidor DNS.

Figura 36 Windows Server 2008 IP do servidor de DNS real. Para alojarmos o nosso

Figura 36 Windows Server 2008 IP do servidor de DNS real.

Para alojarmos o nosso site de phishing vamos usar uma maquina virtual com o BackTrack 4 R1 e correr o Social Engineer Toolkit (SET), no menu do SET escolhemos a opção 2. Website Attack Vectors (Figura 37), de seguida escolhemos 3. Credential Harvester Attack Method (Figura 38) dado que queremos obter as credenciais dos utilizadores do router. Como pretendemos usar página do Gmail como página de phishing escolhemos a opção 2. Site Cloner do menu (Figura 39).

Preenchemos os dados do SET (Figura 40):

Enter the IP address for the payload (reverse) or for your POST back (harvester): 1.2.3.3

Enter your interface IP address: 1.2.3.3

Enter the url to clone: http://gmail.com

Aceitamos os dados introduzidos no SET (Figura 41) e estamos prontos para mudar o servidor de DNS no router AirLive WT-2000ARM (Figura 42). Agora quando um dos utilizadores tentar aceder à página do Gmail vai ser direcionado para a página de phishing do Gmail clonada pelo Social Engineer Toolkit (SET) na maquina virtual a correr o BackTrack 4 R1 (Figura 43). Para obter as credenciais que o utilizador introduzir na phishing do Gmail basta aceder a maquina virtual e visualizar os dados no SET (Figura 44).

Figura 37 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 38 Social Engineer Toolkit

Figura 37 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 37 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 38 Social Engineer Toolkit (SET)

Figura 38 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 39 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 40 Social Engineer Toolkit

Figura 39 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 39 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 40 Social Engineer Toolkit (SET)

Figura 40 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 41 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 42 Página de administração

Figura 41 Social Engineer Toolkit (SET) no BackTrack 4 R1

Figura 41 Social Engineer Toolkit (SET) no BackTrack 4 R1 Figura 42 Página de administração do

Figura 42 Página de administração do router AirLive WT-2000ARM, servidores de DNS.

Figura 43 Página de phishing do gmail. Figura 44 Nome de utilizador e password capturadas

Figura 43 Página de phishing do gmail.

Figura 43 Página de phishing do gmail. Figura 44 Nome de utilizador e password capturadas pelo

Figura 44 Nome de utilizador e password capturadas pelo SET com a página de phishing do gmail.

Tornando-se claro que com acesso a administração do router torna-se simples obter dados confidenciais dos utilizadores dessa rede. Mostrando o quanto vulneráveis estão os utilizadores que usam este tipo de equipamento. Contudo as possibilidades de ataques são vastas e neste cenário abordamos apenas uma delas.

Cenário 3 - Roubo de identidade

Neste possível cenário o objectivo é aceder a extensa informação pessoal dos utilizadores. Começamos como nos passados cenários com o número de IP de um router, mais precisamente um Huawei Aolynk DR814Q, contudo podia ser qualquer um dos mencionados inicialmente. Assim que acedemos à página de administração do Huawei Aolynk DR814Q usando credenciais padrão publicamente disponíveis (nome de utilizador: user e password: user) notamos que se trata de uma conta da operadora Clix (Figura 45).

que se trata de uma conta da operadora Clix (Figura 45). Figura 45 Nome de utilizador

Figura 45 Nome de utilizador que indica a operadora.

Mais uma vez usamos o Firebug de forma a obtermos a password (neste exemplo “simples”) do cliente e tentamos aceder a Área de Clientes da Clix em www.clix.pt com essas credenciais (Figura 46).

Figura 46 Área de Clientes da Clix em www.clix.pt Assim que carregamos em enter somos

Figura 46 Área de Clientes da Clix em www.clix.pt

Assim que carregamos em enter somos levados para Homepage Área de Clientes (Figura 47), onde temos ao nosso dispor uma grande variedade de informações e serviços, começando com “Olá “ seguido pelo nome do cliente, apatir deste momento temos um nome para associar as credencias obtidas. De seguida vamos tentar obter mais informações sobre o cliente no separador Gerir Conta e no link Dados pessoais (Figura 48).

no separador Gerir Conta e no link Dados pessoais (Figura 48). Figura 47 Área de Clientes

Figura 47 Área de Clientes da Clix em www.clix.pt

Figura 48 Dados pessoais na Área de Clientes da Clix. Como podemos verificar agora temos

Figura 48 Dados pessoais na Área de Clientes da Clix.

Como podemos verificar agora temos acesso a diversos dado pessoais:

Nº de Contribuinte

Morada

Código Postal

Localidade

Email

Telemóvel

Com estes dados podemos começar a criar um perfil do cliente de forma a podermos assumir a sua identidade. Um aspecto particular a estes dados é que ao contrario das Áreas de Clientes de outras operadoras nesta temos acesso a uma conta de email que não a usada para aceder a Área de Clientes e que neste caso em particular não é da operadora em questão “Email: email@homail.com”.

O seguinte passo é tentar obter alguns emails deste cliente, para isso vamos começar pela conta de email associada a Área de Clientes, para isso basta clicar no icon webmail no canto superior direito da Área de Clientes e somos levados para a Caixa de Entrada da conta (Figura 49).

Assim que entramos basta procurar um pouco na Caixa de Entrada para encontrarmos credenciais de acesso a outras páginas, algumas redes sociais e outros serviços como Twitter e o MSN. Como a nossa intenção neste cenário é obter o maior número de dados sobre o cliente um óptimo sitio é a pasta de emails enviados (Figura 50) onde se torna possível encontrar diversos documentos e fotografias enviadas em anexo, este caso não é excepção. Com acesso a pasta de mensagens enviadas torna-se possível angariar copias de documentos importantes como o Cartão de Cidadão, pedidos de credito, documentos com informação sensível que podem ser usados para chantagem, entre muitos outros.

Figura 49 Caixa de Entrada Webmail da Clix. Figura 50 Enviadas Webmail da Clix. Com

Figura 49 Caixa de Entrada Webmail da Clix.

Figura 49 Caixa de Entrada Webmail da Clix. Figura 50 Enviadas Webmail da Clix. Com acesso

Figura 50 Enviadas Webmail da Clix.

Com acesso a este tipo de informação torna-se possível reunir alguns dados sobre a postura de segurança do cliente, a grande maioria das contas encontradas possuem a mesma password “simples” a mesma usada para aceder a internet. O que permite escalar desta conta de email talvez para a conta do Hotmail encontrada na Área de Clientes nos Dados Pessoais - email@homail.com. Sem querer entrar em detalhes de como escalar o roubo de identidade, para áreas que estão para além do âmbito deste cenário, como “social engineering” podemos concluir que é extremamente simples obter tudo o tipo de informação sobre um cliente que possua um router com este tipo de vulnerabilidades.

Cenário 4 - Acesso à Intranet

Uma das funções esperadas nos modens que analisamos é criar um separação da rede de área local ou LAN da internet, seja pelo uso de uma firewall, access control list (ACL), network address translation (NAT) entre outros. Contudo apartir do momento que controlamos o router controlamos todos os mecanismos de protecção. De forma a exemplificar como se torna possível aceder aos recursos da intranet pela internet com recurso ao router, vamos usar o mecanismo de tradução de endereços lógicos (NAT) de forma a permitir que dispositivos com endereço privado (os que estão presentes na intranet) comuniquem através da internet. Neste cenário começamos com o endereço IP de um router ZyXEL P-660RU-T1v3.

Assim que inserimos o IP do router no browser tal como nos modelos vistos anteriormente, temos a nossa frente uma caixa que pede para nos autenticarmos de forma a acedermos a página de administração do router (Figura 51).

a página de administração do router (Figura 51). Figura 51 Autenticação ZyXEL P-660RU-T1v3. Dado que os

Figura 51 Autenticação ZyXEL P-660RU-T1v3.

Dado que os dados para nos autenticarmos estão disponíveis publicamente e que em princípio este router esta configurado com as credenciais padrão (nome de utilizador: user e password: 1234) avançamos para a página de administração (Figura 52).

) avançamos para a página de administração (Figura 52). Figura 52 Página de administração do router

Figura 52 Página de administração do router ZyXEL P-660RU-T1v3.

Na página de administração do router ZyXEL P-660RU-T1v3 podemos avaliar a opções disponíveis, tal como nos restantes modelos, é possível usar o Firebug de forma a obter o nome de utilizador e password de acesso a internet (Figura 53)

de utilizador e password de acesso a internet (Figura 53) Figura 52 Página de administração do

Figura 52 Página de administração do router ZyXEL P-660RU-T1v3.

Neste caso podemos concluir que se trata de uma ligação ADSL da operadora Telepac, no entanto neste cenário não vamos aceder a Área de Clientes nem a caixa do correio do mesmo, vamo-nos cingir ao acesso a intranet. De forma a acedermos aos dispositivos presentes na intranet temos que saber o seu endereço privado, para isso vamos as propriedades da rede de área local ou LAN do router (Figura 53).

Figura 52 Propriedades LAN do router ZyXEL P-660RU-T1v3. Nas propriedades LAN podemos ver o endereço

Figura 52 Propriedades LAN do router ZyXEL P-660RU-T1v3.

Nas propriedades LAN podemos ver o endereço IP do router/router 192.168.1.1, a máscara de sub-rede 255.255.255.0 e o endereço IP inicial 192.168.1.33. No entanto como temos acesso ao Current Pool Summary onde podemos ver os endereços IP distribuídos pelo servidor DHC (Figura 52).

endereços IP distribuídos pelo servidor DHC (Figura 52). Figura 52 Current Pool Summary do router ZyXEL

Figura 52 Current Pool Summary do router ZyXEL P-660RU-T1v3.

Para termos acesso aos dispositivos presentes na rede privada através da internet temos que tornar alguns dos seus serviços acessíveis, para tal basta alterar as propriedades do Virtual Server nas configurações de NAT (Figura 53) de forma a podermos aceder aos serviços apartir do mesmo endereço de IP do router, de uma forma simplista traduzimos o IP e porto do dispositivo privado para um porto no router (Figura 54).

Figura 53 Configurações de NAT do router ZyXEL P-660RU-T1v3. Figura 53 Configurações do Virtual Server

Figura 53 Configurações de NAT do router ZyXEL P-660RU-T1v3.

53 Configurações de NAT do router ZyXEL P-660RU-T1v3. Figura 53 Configurações do Virtual Server no router

Figura 53 Configurações do Virtual Server no router ZyXEL P-660RU-T1v3.

Após alterarmos as propriedades nas configurações NAT podemos aceder aos recursos disponibilizados por esse dispositivo na rede privada. Neste exemplo podemos tentar aceder a pastas e documentos partilhados, enumerar dispositivo, grupos de trabalho, utilizadores usando serviços como NetBIOS (Network Basic Input/Output System), tendo como meta final atacar esses mesmos dispositivos e obter controle sob a rede de área local pelo uso de ferramentas como sniffers e keyloggers.

Conclusão

Os fabricantes de modens/routers tem aumentado a segurança dos seus dispositivos, no entanto, a segurança dos equipamentos destinados as PMEs e redes domésticas onde se encontram os usados pelos IPSs ainda tem um longo caminho pela frente. Como forma de mitigar as falhas apresentadas neste relatório é proposto a todos os utilizadores alterar as configurações padrão dos seus equipamentos, os nomes de utilizadores usados para aceder à área de administração dos equipamentos, tomar uma postura de segurança adequada evitando o uso de palavras password que se encontrem em dicionários ou que possam ser facilmente descobertas e reduzir o número de servidos aos necessários.

Referências

Andrew Whitaker, Keatron Evans, Jack B. Voth. (2009). Chained Exploits: Advanced Hacking Attacks from Start to Finish. Addison-Wesley Professional.

Stuart McClure, Joel Scambray, George Kurtz. (2009). Hacking Exposed: Network Security Secrets and Solutions, Sixth Edition. McGraw-Hill Osborne Media.

Charles M. Kozierok. (2005). A Comprehensive, Illustrated Internet Protocols Reference. NoScratch.