PORTADA Hotspotter

Ataques a Clientes Inalmbricos

EN EL PUNTO DE MIRA

Los expertos en seguridad siempre estn preocupados por los puntos de acceso WLAN, pero a veces olvidan que los clientes tambin estn expuestos a los atacantes. Los puntos de acceso pblicos hacen que sea bastante fcil para los atacantes secuestrar conexiones, tal y como lo demuestra la herramienta Hotspotter. POR MAX MOSER

riales. Y para asegurarse, los puntos de racias a los complejos mecanisacceso estn equipados tambin con mos actuales de seguridad, las soporte VLAN, deteccin de intrusos y redes inalmbricas parecen que sistemas de cortafuegos todo esto con se vuelven ms seguras da a da. Los un coste considerablemente alto. mecanismos de autenticacin basados Pero los daos surgen ms all de los en el marco de trabajo EAP (Protocolo de confines de la red de la empresa. En nuesAutenticacin Extensible) prometen que tra actual y creciente era mvil, mucha mantendr a los indeseables en la calle. El Protocolo de Integridad de Claves Temporales (TKIP) [1], con su rpido intercambio de claves WEP, impide la repeticin de ataques y hace que sea ms compleja la vulneracin de la tecnologa de encriptacin, permitiendo que las claves sean ms duraderas. WPA/WPA2 [2] y la transicin a la encriptacin AES [3] parece que va a proporcionar Figura 1:Conexin a un punto de acceso. Las vulnerabilidades una solucin de seguridad casi afectan al cliente cuando an est buscando las redes disponiperfecta para las redes empresables en los pasos 1 y 2.

gente desea trabajar sin las ataduras de los cables. Actualmente, esto es una realidad. Gracias al incremento de la permisibilidad de las redes inalmbricas y a los buenos administradores, la gente puede trabajar en muchos lugares pblicos: aeropuertos, hoteles o salas de congresos. Si realmente se desea trabajar, apenas habr obstculos que nos detengan. Los ejecutivos que tienen que viajar alrededor del mundo pueden apreciar la nueva flexibilidad que se encuentran y, a menudo, deciden reproducir sus propios medios empresariales. Los departamentos de las tecnologas de la informacin se ven forzados con frecuencia a introducir complejas infraestructuras de seguridad que se encarguen del trfico sensible que viaja a travs del ter. Adems, los servicios inalmbricos de las empresas casi siempre deben estar restringidos a los usuarios autorizados.

Administradores Movimiento

en

Un ejecutivo tpico que viaja a lo ancho del pas con su porttil equipado con capacidad WLAN bajo su brazo normalmente tiene

14

Nmero 09

WWW.LINUX-MAGAZINE.ES

Hotspotter PORTADA

tes, por ejemplo, de datos, de control y paquetes de gestin. Los paquetes de gestin son particularmente interesantes en este caso, ya que manejan alertas de servicios, conexiones y desconexiones (vase el cuadro titulado Paquetes de Administracin Crticos).

En Claro
Los paquetes de administracin dentro de las redes inalmbricas son transmiFigura 2: Herramientas como Ethereal permiten analizar la tidos en claro (sin encripestructura de los paquetes IEEE 802. El ejemplo muestra un tar). Y por si esto no fuera paquete Probe Response como los usados por los atacantes poco, no hay nada que descritos en el artculo. verifique la integridad ni la validacin del emisor/receptor. Un segunal menos dos configuraciones inalmbrido punto de acceso podra transmitir cas o perfiles -una para trabajar en puntos paquetes Respuesta de Sondeo en respuesde acceso pblicos, ya sea en aeropuertos ta a un paquete Peticin de Sondeo de un u hoteles y otro para accesos seguros a la cliente y luego invitarlo a que se asocie. red protegida de la empresa. Internet proUn paquete Respuesta a Sondeo, como el porciona varias bases de datos que inforque se muestra en la Figura 2, se compone man sobre dnde se encuentra localizado de mltiples segmentos. el siguiente punto de acceso pblico [4]. Los ms importantes son: Una red inalmbrica se compone de ml Control de Cuadro (FC) especitiples elementos y para manejar la conefica el tipo del paquete (0 xin se transmiten una variedad de paquepara paquetes de gestin) y subtipo (5 para Probe ResCuadro 1: Paquetes de ponse), adems de flags que Administracin Crticos habitualmente estn a 0 para Beacons: Se envan por el punto de Probe Response. acceso para sincronizacin y para infor Direccin de destino es la direcmar de los parmetros de la red. cin de destino. Probe Request: Se envan por el cliente Direccin fuente es la direccin para buscar redes disponibles y contieMAC del cliente. nen parmetros tales como el SSID y la BSS Id es la direccin MAC del frecuencia. punto de acceso. Probe Response: El punto de acceso Parmetros fijos se componen responde a los paquetes Probe Request, de una marca de tiempo y de confirmando o rechazando las transacinformacin sobre las capacidaciones. des de la red. Association Request: El cliente anuncia Parmetros Etiquetadps inclusu intencin de unirse a una red especfiyen el SSID, su longitud y el
ca. Association Response: La contestacin del punto de acceso, diciendo si permitir al cliente unirse a la red. Disassociation: El punto de acceso le indica a los clientes que dejen su conexin actual. Authentication: La autenticacin del cliente para la conexin en la red. Desauthentication: Se enva por el punto de acceso para eliminar una autenticacin existente.

canal, adems de las velocidades de transmisin soportadas. La cuestin es, cmo se supone que los usuarios van a reconocer que realmente estn conectados a la red real con la que se quieren conectar y no a una red controlada por un atacante. De hecho, los usuarios no tienen forma de saberlo y es aqu precisamente donde surge el agujero de seguridad. En una inspeccin ms detallada, se observa que una red publica la siguiente informacin: El nombre lgico de la red (SSID) La direccin MAC del punto de acceso La configuracin del punto de acceso Cualquier punto de acceso puede usar cualquier SSID, ya que esto es el nombre lgico de la red actual, y es un valor libremente configurable que no se valida y no tiene porqu ser nico. La direccin MAC del punto de acceso podra ser fcilmente duplicada si un atacante usa un punto de acceso basado en software. Y una direccin MAC duplicada no tiene habitualmente impacto dentro de una red, al contrario de lo que sucede en las redes cableadas tradicionales. Un punto de acceso normalmente no verifica los paquetes entrantes para averiguar si fueron realmente enviados por l mismo. Algunos dispositivos incluyen ahora mdulos de Sistemas de Deteccin de Intrusos propietarios para comprobar si se est produciendo un ataque basado en infiltracin de paquetes. Pero la nica forma real de eliminar el peligro sera introducir un sistema de validacin emisor/ receptor como el que se implementa en el proyecto de cdigo abierto llamado Wlsec [6]. Desafortunadamente este proyecto ha tenido muy poca aceptacin por los fabricantes de dispositivos inalmbricos.

Cuadro 2: Modo Monitor

El modo monitor, tambin denominado modo RFMON, es un modo especial en el que el firmware de la tarjeta inalmbrica pasa cualquier paquete que reciba al controlador software, en vez de los paquetes que realmente estn destinados a ella -puede ser algo parecido a escuchar mltiples estaciones de radio al mismo tiempo.

Sin Autenticacin
Un punto de acceso no podr saltarse una configuracin de autenticacin y encriptacin, ya que esta informacin no se da a conocer. Sin embargo, los parmetros de configuracin de los puntos de accesos pblicos son diseados para ser anticipados, algo que no ocurre en los usados por las empresas privadas. Ambos esquemas de proteccin son deshabilitados, ya que los puntos de acceso

WWW.LINUX-MAGAZINE.ES

Nmero 09

15

PORTADA Hotspotter

pblicos no autentican a los usuarios ni encriptan los datos. Esto permite a un atacante suplantar una red; los clientes supondrn que se han conectado a la red real, aunque en realidad, se hayan conectado a la red del atacante. Los atacantes pueden incluso usar mltiples adaptadores para configurar un escenario del hombre en medio, donde el punto de acceso examina los datos del cliente antes de enviarlos a su destino. Esta vulnerabilidad se demostr por primera vez con Airjack [7]. El grupo Ssmo, que se hizo famoso con Airsnort, reconoci rpidamente el problema y desarroll la herramienta Airsnarf [8], que genera un punto de acceso basado en software con una pgina Web de conexin falsa. Si un cliente rechaza desconectarse de una sesin existente, la herramienta Void11 puede generar paquetes de desautenticacin y forzar al cliente a retroceder y empezar la bsqueda de redes de nuevo.

Hotspotter
Airsnarf no proporciona a los usuarios una herramienta totalmente automatizada, ya que supone que algunos parmetros de la red, como el SSID, son conocidos. La herramienta Hottspotter [9], del autor, utiliza una solucin similar a Airsnarf pero reacciona autnomamente frente a las bsquedas realizadas por los clientes de redes desprotegidas. El programa puede usar cualquier adaptador que pueda ser configurado usando iwconfig mode monitor y iwconfig mode master. Las tarjetas con los chipsets

Cuadro 3: Peligro Grave con Windows

Para mantener la administracin de los clientes lo ms sencilla posible y permitir a la gente usar ms o menos cualquier punto de acceso pblico sin tener que reconfigurar sus porttiles, los usuarios normalmente crean un perfil Mi red segura y otro Otras. Esta ltima es un caso especial e incluye cualquier red, independientemente del nombre de la red. Si un atacante intenta colarse en una red segura, el cliente no podr asociarse con la red, ya que la configuracin de autenticacin y encriptacin se lo impedir. Sin embargo, este no es siempre el caso de los usuarios Windows con la configuracin que se ha descrito ya que el perfil Otras est implcito.

Prism2 y Atheros nos proporcionaron buenos resultados en nuestro laboratorio. Hotspotter primero conmuta la tarjeta a RFMON o modo monitor (vase el cuadro titulado Modo Monitor). En este modo, el programa acepta cualquier paquete del rea de recepcin y evala cualFigura 3: Hotspotter en accin, cada punto indica un quier peticin probe. Los paquete recibido de la red. paquetes Probe Request incluyen los detalles de la red que el cliente espere a que la tarjeta inalmbrica del est actualmente buscando (vase el atacante sea configurada como punto de cuadro Paquetes de Gestin Crticos). acceso. Para buscar una red, el cliente enva Por supuesto que no hay lmites a lo paquetes Probe Request con el parmetro que un atacante pueda decirle a SSID de la red que se busca. De modo Hotspotter que haga dentro de los confims sencillo, el cliente de nuestro ejemnes de un script bash. Esto puede incluir plo grita: Hola, es sta la red asignaciones de direcciones IP basadas del_punto_de_acceso_pblico o en DHCP y resoluciones de nombres la_de_mi_empresa? Y si sucede esto, basadas en DNS para el cliente, escaneo el punto de acceso enva una respuesta y automtico de puertos, fisgoneo automla conexin puede ser establecida usantico de los datos de la comunicacin o do la configuracin definida por el perfil incluso hacerse con el sistema instalandel cliente. do otro exploit o algn troyano. El ataSi el cliente pierde la conexin, se cante podra presentarse al cliente con intenta de nuevo. Dependiendo de la una pgina de conexin falsa. configuracin, el cliente puede intentar Conclusin localizar las redes definidas en sus perfiles a intervalos regulares o esperar a que Si se piensa en la cantidad de porttiles el usuario le indique cuando hacerlo. que tienen integrados tarjetas inalmbriSi el cliente no encuentra la red que cas en la actualidad, no es de extraar est buscando, normalmente sigue con que las comunicaciones inalmbricas en la siguiente red que tenga definida en su trenes, aeropuertos o ferias sean un prolista de perfiles. Esto permite a un atablema de seguridad bastante serio. Es cante descubrir los perfiles que un clienimportante tomar medidas de seguridad te tiene definido. aunque sean caras y no facilitar a los ataHotspotter toma el SSID de la red solicantes nuevos vectores para atacar las citada y la compara con una lista de puntan seguras redes empresariales. s tos de accesos que no proporcionan encriptacin. Si Hotspotter encuentra RECURSOS alguna coincidencia, inmediatamente [1] TKIP: http://www.cisco.com desactiva el modo monitor y automtica[2] WPA: http://wwww.wi-fi.org mente configura la tarjeta como un punto de acceso software (vase la [3] AES: http://www.faqs.org/rfcs/rfc3565. html Figura 3). De modo ms simple: S! Aqu esta la red del_punto_de_acce[4] Directorio International de puntos de so_pblico; ya puedes conectarte a m. accesos: http://mobile.yahoo.com/wifi El cliente tan slo tiene que acceder. Esto [5] Cliente Odyssey para Windows: http:// hace que la conexin a la red est firmewww.funk.com/radius/wlan/ mente controlada por el atacante. lan_c_radius. asp

Exploit Automtico
Si se especifica la opcin -r o -e y se le pasa a Hotspotter un script bash todo esto ocurre automticamente. -r significa que se ejecute antes de conmutar al modo punto de acceso y -e significa que

[6] Proyecto WLSec: http://wlsec.net [7] Airjack: http://sourceforge.net/ projects/airjack [8] Airsnarf: http://airsnarf.shmoo.com [9] Hotspotter: http://wwww. remote-exploit.org

16

Nmero 09

WWW.LINUX-MAGAZINE.ES