Wifi Auditor con Ubuntu 15.10

1        Introducción

1.1    Objetivo

El objetico de este manual es el poder explicar a grandes rasgos el procedimiento y herramientas implementadas para poder utilizar un equipo de cómputo con facultades similares a las del sistema de auditabilidad de redes inalámbricas WiFi Pineapple de Hack5. Este sistema permite con base en diferentes herramientas “poder llevar acabo evaluaciones o auditorias de seguridad a redes inalámbricas.”

El concepto principal de wifi pineapple se funda en tres aristas:

Ilustración 1 Wifi PineApple

Para esta implementación seguiremos las mismas aristas de PineApple con algunas limitaciones en las herramientas instaladas pero igualmente funcionales. El concepto general a implementar es el siguiente:

[ISP Device] <----------> [WAN][Computer][AP]--> Ubuntu/Mac/Windows Clients

                         (Eth0)         (WLAN0)   \ -> MovilDevice

1.2    Alcance

•    El sistema está planeado únicamente para realizar auditorías a redes inalámbricas y confines de auto aprendizaje, ME DESLINDO DE CUALQUIER MAL USO QUE LOS LECTORES PUEDAN DAR LE.
•          En este documento no se detalla el proceso de instalación de cada componente.
•          Este documento no detalla el proceso de utilización de cada herramienta

1.3    Prerrequisitos

1.   Instalación de Ubuntu 15.10
2.   Instalación del controlador de la tarjeta de inyección de datos.
3.  Conocimientos en WEP, WPA y WPA2 así como sus algoritmos de autenticación y cifrado.
4.  Conocimiento en Puertos, Protocolos, TCP/IP, Switch and Router
5.  Conocimientos sobre HTTP y sus métodos.
6.  Verificar con el comando “iw list” que la tarjeta de inyección soporte el modo AP y Managed

2       WIFI AUDITOR

2.1    Pre requisitos de configuración:

2.1.1  Instalación y configuración de hostapd

Instalar el paquete hostapd a través del siguiente comando:

sudo apt-get -y install hostapd

Crear y configurar el archivo hostapd.conf de preferencia en la ruta /etc/hostapd, tomar como referencia la siguiente configuración:

sudo nano /etc/default/hostapd

auth_algs=1

beacon_int=50

channel=3

country_code=US

disassoc_low_ack=1

driver=nl80211

hw_mode=g

ht_capab=[HT40+][HT40-][SHORT-GI-40][RX-STBC1]

ieee80211d=1

ieee80211n=1

interface=wlan0

require_ht=0

rsn_pairwise=CCMP

ssid=YOURSSID

wmm_enabled=1

wpa=2

wpa_key_mgmt=WPA-PSK

wpa_passphrase=YOURPASSPHAS

  

2.1.2  instalación y configuración de port forwarding

El porforwarding permite que el equipo se comporte como un ruteador y permita el envío de tráfico de datos de una interfaz a otra. Seguir los siguientes pasos:

     

    1)      Abrir el archivo sysctl.conf

sudo nano /etc/sysctl.conf 

    2)      Después modificar la siguiente línea:

net.ipv4.ip_forward=1

    3)      Modificar el firewall personal de Linux (IPTABLES) para que el tráfico sea enrutado y NAT en la interfaz de salida:

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

iptables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -i wlan0 -o eth0 -j ACCEPT

2.1.3  Instalación y configuración de haveged

Heaveged permite enrutar más rápido el tráfico de red y eliminar los famosos cuellos de botella, para su instalación ejecutar el siguiente comando:

sudo apt-get -y install haveged

2.1.4  Instalación y configuración de Bind y dhcp

    1)      Instalamos BIND

sudo apt-get install bind9

   2)      Configuramos para que el ISP sea el forward

   

   3)      Instalamos DHCP

sudo apt-get install isc-dhcp-server

   4)      Configuramos DHCP tomar como referencia el siguiente ejemplo:

Nano /etc/dhcp3/dhcpd.conf

Subnet for DHCP Clients

subnet 10.1.1.0 netmask 255.255.255.0 {

        option domain-name-servers 10.1.1.1;

        max-lease-time 7200;

        default-lease-time 600;

        range 10.1.1.50 10.1.1.60;

        option subnet-mask 255.255.255.0;

        option broadcast-address 10.1.1.255;

        option routers 10.1.1.1;

        }

2.1.5  Instalación y configuración de airmon-ng y reaver

Para la instalación y configuración de airomon-ng y reaver se requiere ejecutar los siguientes comandos:

Airmong:

   1)      Instalamos las siguientes librerías:

apt-get install build-essential libssl-dev

   

   2)      Descargamos la version más reciente de airmong

wget http://download.aircrack-ng.org/aircrack-ng-1.1.tar.gz

   3)      Extraemos:

tar -zxvf aircrack-ng-1.1.tar.gz

 cd aircrack-ng-1.1

   4)      Modificamos el archive common.mak eliminando la palabra “Werror” y quedano de la siguiente manera:

"CFLAGS          ?= -g -W -Wall -O3"

   5)      Instalamos:

 ./configure

make

make install

Reaver:

    1)      Instalamos las dependencias necesarias:

sudo apt-get install libpcap-dev sqlite3 libsqlite3-dev libpcap0.8-dev

    

   2)      Descargamos reaver:

wget http://reaver-wps.googlecode.com/files/reaver-1.4.tar.gz

   3)      Compilamos e instalamos:

cd reaver-1.4

 cd src

./configure ; make

sudo make install

2.2    Arquitectura.

La infraestructura y sus componentes fueron dimensionados para trabajar bajo un sistema operativo con licencia GNU así mismo las herramientas instaladas son versiones gratuitas y en algunos casos su alcance es limitado.

A continuación el diagrama de red y su configuración de Wifi Auditor.

Ilustración 2 Diagrama Wifi Auditor.

2.3    Componentes  y herramientas de Wifi Auditor.

     Wifi Auditor: Sistema operativo base Ubuntu WorkStation versión 15.10 a 64bits, así mismo se requiere de una tarjeta de inyección de datos tipo TP Link u/o similar. Algunos otros paquetes que pueden ser de ayuda:

a.      Nodogsplash: Herramienta utilizada para la administración y restricción de acceso a Internet.

b.      Httrack: Mecanismo para el clonado de portales web.

c.        Wireshark: Aplicación utilizada para el análisis de raw data de red, a través de una captura pcap o en modo sniffer.

d.         Apache: Servicio para la publicación de portales web

e.         Sslstrip: Aplicación implementada para el sniffer de tráfico SSL

f.       Ettercap: Aplicación para la generación de ataques tipo Men In The Middle.

g.      Nmap y Nessus: Herramienta y aplicación utilizadas para la auditoria y análisis de vulnerabilidades.

h.      Metasploit: Herramienta utilizada para la explotación de una vulnerabilidad detectada a través de las herramientas de análisis de vulnerabilidades.

i.    arpspoof: Esto está en el paquete dsniff

2.4    Casos prácticos.

Con la paquetería instalada los casos prácticos de uso son variados así como las opciones que se pueden implementar con cada herramienta, para mayor conocimiento y aprendizaje de como utilizar las consultar las siguientes ligas y documentos:

·         https://www.wifipineapple.com/

·         http://hakshop.myshopify.com/products/wifi-pineapple

·         https://github.com/nodogsplash/nodogsplash

·         http://answertohow.blogspot.mx/2012/11/how-to-install-reaver-on-ubuntu.html

·         https://help.ubuntu.com/community/WifiDocs/WirelessAccessPoint

·         EC Council Computer Forensics Investigating Wireless Network and Devices.

·         Wireless Kung Fu Networking & Hacking

·         https://www.youtube.com/watch?v=H2wDRi1ox1o&list=PLZQVicpxhN9J6M8x3M0k1_pNV-w1--xsk

·         http://wiki.wifipineapple.com/#!index.md

·         https://forums.hak5.org/index.php?/forum/64-wifi-pineapple-jasager/

      https://thacid.wordpress.com/2012/03/02/man-in-the-middle-con-arpspoof-sslstrip-wireshark-y-mucho-tiempo-libre/

Metodología Forense Digital

Después de realizar algunas investigaciones, revisión de documentación y también integrando un poco de conocimiento adquirido durante los años de experiencia en el campo de la seguridad informática, a continuación publico una propuesta metodológica para llevar acabo un proceso de análisis forense digital. Espero sea de su interés y pueda recibir criticas constructivas para poder mejor el proceso. 

Metodología para el análisis forense digital

El análisis forense digital permiten conocer y resolver las preguntas: ¿Quién? ¿Cómo? ¿Cuándo? ¿Dónde? ocurrió un evento o incidente de seguridad materializado.

Con base en mi experiencia y en la participación en proyectos relacionados tomo como referencias para la habilitación de un análisis forense digital diferentes: metodologías, estándares, recomendaciones y mejores prácticas internacionales sobre cibercrimen, análisis forense digital y respuesta a incidente tales como:

•      Publicaciones especiales:

a. NIST SP 800-86 Guide to Integrating Forensic Techniques into Incident Response

b.    NIST SP 800-44, Guidelines on Securing Public Web Servers

c.     NIST SP 800-45, Guidelines on Electronic Mail Security

d.    RFC 3227: Guidelines for Evidence Collection and Archiving

e.     NIST SP 800-101 Guidelines on Mobile Device Forensics

f.     NIST SP 800-83 Guide to Malware Incident Prevention and Handling

g.    Computer Forensics Tool Testing (CFTT) 

El resultado del estudio de estas metodologías y estándares es la adopción de una metodología propia la cual es adaptable al ambiente en que se implementa, tomando en consideración las necesidades del negocio o el tipo de adquisición, preservación, examinación y/o análisis a realizar. La siguiente ilustración permite visualizar de forma gráfica la metodología propuesta para la ejecución de un análisis forense digital.

              

Ilustración Metodología para la habilitación del Servicio de Análisis Forense.

Fase1: Planeación y preparación del servicio.

Es la fase de arranque del análisis forense digital en al cual los analistas en forenses digital definirán en conjunto con el personal que el INTERESADO asigne:

• Objetivo y alcance del servicio (redacción clara y precisa sobre el delito a perseguir o imputar).
• Identificación de los medios sujetos a investigación y presuntos involucrados en el delito a imputar. 
• Solicitud de Incautación de medios y/o Generación de acuse y/o solicitud de medios legales para la extracción de los activos o medios que contiene los datos a analizar. 
• Definición, aseguramiento y preservación de la escena o dispositivos sujetos a investigación. 
• Definición del alcance, objetivo(s) y limitaciones a las cuales está sujeta la investigación. 
• Definición del(os) cuestionario(s) y entrevistas adecuadas para conducir la investigación. 
• Establecer y definir los acuerdos de confidencialidad entre los ingenieros especialistas y EL INTERESADO
• Definición y entrega del plan de trabajo: serán definidos las tareas y procesos a ejecutar, su tiempo de ejecución, responsable de cada actividad así como la matriz de escalamiento.

Fase 2 Adquisición de medios.

Previa a realizar la etapa de colección de los medios el analista en forense digital procede a tomar fotografías y notas sobre el estado en que se encuentra el equipo en cuestión.

El primer paso y tarea principal para llevar a cabo una correcta investigación durante el proceso de análisis forense es la recolección de los datos. Los especialistas en análisis forense digital una vez obtenida la orden de incautación de los medios procederán a substraer la información relevante (CD, DVD, pent drive, USB, PCMCIA, Discos duros externos, Cámaras fotográficas, Teléfonos inteligentes, Impresoras, Equipos de cómputo personal, Servidores, Datos Volátiles y no volátiles, Equipos de telecomunicación y/o seguridad personal, bitácoras de los eventos etc) para su posterior preservación y análisis. De manera enunciativa más no limitativa la fase de recopilación de datos sobre los medios abarca alguna o varias de las siguientes etapas:

• Desarrollo de plan para colección de los datos incluidos en los medios. 
• Colección de datos en los medios. 
• Verificación de integridad de los datos. 
• Preservación de los datos. 
• Cadena de custodia

Una vez incautado los medios electrónicos a examinar estos deberán ser trasladados aun sitio con las capacidades adecuadas para su examinación como puede ser un laboratorio forense.

Algunos estándares importantes que debería cumplir un laboratorio forense adecuado son:

• Cumplimiento de la ISO17025
• System Safety según H SystSäkE
• Protección contra incendios EN 15004-1:2008
• Condiciones climáticas extremas STANAG 2895
• Filtración NRBQ (AEP-54)
• Compatibilidad electromagnéticaDEF STAN 59-411

Así como una arquitectura de seguridad que contemple al menos:

• Protección perimetral y red independiente.
• Segregación de actividades. RBAC
• Sistemas de seguridad física
• Sistemas de resguardo seguro

Fase3 Examinación

Después de realizar una copia o clonación lógica/física o bit a bit de los medios originales recabados, los analistas en forense digital procederán a examinar los datos con la finalidad de acotar la información a analizar. La examinación de los datos se realizará por medio de herramientas especializadas y siempre en un modo de solo lectura evitando de este modo la alteración o modificación de la información que contienen. 

Una vez examinados los datos el siguiente paso que realizan los analistas en forense digital es la extracción de la información para la cual el esfuerzo o tiempo dedicado puede variar dependiendo el estado en que se encuentre la información (e.g encriptación de la información o protección de documentos con credenciales). Alguno o varios de los puntos que los analistas en forense digital debemos de tomar en consideración al momento de la examinación de los datos son de manera enunciativa más no limitativa:

• Localización de la información. 
• Uso de visualizador de archivos. 
• Descomprimir archivos. 
• Identificar archivos conocidos. 
• Búsqueda de patrones y cadenas. 
• Metadatos de los archivos. 
• Tiempo de Modificación Acceso y Creación de los archivos (MAC). 
• Extracción de la información.

Para cada dato extraído es importante calcular su valor matemático (hash) para corroborar su autenticidad y validar su integridad antes de pasar a su análisis. Así mismo los procedimientos y métodos por los cuales fueron obtenida la información son registrados en la cadena de custodia para que en su momento un auditor externo o perito en la materia pueda llevar acabo la reconstrucción de los hechos y las evidencias puedan pasar los filtros de aceptabilidad estipulados por las leyes Mexicanas o dictados por profesionales en la materia.

Fase 4 Análisis

Una vez extraída la posible información se plantearan hipótesis sobre los hechos que ayuden a correlacionar los eventos contestando de esta forma a las preguntas planteadas ¿Quién? ¿Cuándo? ¿Cómo? Y ¿Por qué?, permitiendo nos concluir en las evidencias relacionadas con el caso o en su defecto sustentar la necesidad de mayor evidencia para poder ejercer un dictamen.

Fase 5 Reporte o Dictamen

Durante la última fase de análisis forense digital, los analistas en forense digital  en conjunto con el personal jurídico especializado revisarán los indicios y elaboraran un dictamen que aunque estén respaldados en procedimientos técnicos describan de forma clara y concisa los resultados, de tal forma que puedan ser comprendidos por aquellos que no conocen o dominen el lenguaje técnico de las Tecnologías de la Información. 

La finalidad es presentar dictámenes apoyados con indicios  que sean irrefutables al presentarlos ante una Corte Legal. De manera enunciativa más no limitativa este punto incluye:

• Generar dictámenes correspondientes a las investigaciones realizadas como producto de un Análisis Forense Digital, el cual toma en cuenta el tipo de persona al que debe ser entregado evitando de esta forma el contenido técnico, libre de la jerga propia de la disciplina, pedagógico y sobre manera, consistente con las evidencias y hechos recabados durante el análisis forense digital. 

• Un dictamen o Reporte técnico sobre un análisis forense debe incluir de manera enunciativa mas no limitativa los siguientes rubros:

o    Explicación clara del objetivo del Dictamen Pericial y el motivo por el cual se realizó el determinado estudio.

o    Antecedentes que originaron el análisis forense digital

o    Planteamiento del problema

o    Identificación del material objeto de estudio

o    Consideraciones técnicas

o    Establecimiento a detalle del desarrollo del análisis forense

o    Evidencias

o    Conclusión o conclusiones a las que se llegaron

o    Rúbrica del Autor del Dictamen Pericial

o    Secciones complementarias (glosario, apéndice y/o anexos)

A continuación enuncio algunos artículos del código penal federal Mexicano y de la ley de instituciones de crédito dirigidas a castigar los delitos informáticos:

• Código Penal Federal artículo 211 bis 1 al 7. Define las  sanciones a interponer en caso de un delito informático. 
• El Código Penal Federal en su artículo 201:  Delitos de pornografía infantil
• Ley de Instituciones de Crédito artículo 52. Fraudes electrónicos. 
• Ley Federal de Protección de Datos en Posesión de Particulares

"Hay algunos puntos que aun la ley mexicana no logra abarcar y en los cuales se encuentra muy ambigua y claro oscuro sin embargo esperamos que en un futuro muy cercano estas brechas puedan ser cerradas y clarificadas para que un proceso de esta magnitud sea lo más legible y transparente evitando presuntos culpables y violaciones a los derechos humanos de los individos."

Fase 6 Resguardo de activos y Borrado seguro

Una vez entregado el reporte o dictamen del análisis forense y firmado de conformidad por la persona a cargo del servicio asignado por el INTERESADO, los ingenieros especialista en análisis forense digital en conjunto con el personal asignado por el INTERESADO procederán a realizar la eliminación, depuración o resguardo de toda aquella evidencia y activos generados durante el proceso de análisis forense digital y al cual únicamente será permitido el acceso a personal autorizado.

Agradezco a la colaboración de colegas como Oscar Santoyo Ayala y Juan Isaias Calderón por sus comentarios y aportes ha este documento.

El ciberfraude (Phishing)

En nuestro día a día ha sido común el escuchar de: familiares, amigos,compañeros de trabajo, colegas etc. Sobre correos electrónicos que han recibido ofreciendo les:

• Jugosas remuneraciones económicas
• Retenciones monetarias en sus cuentas bancarias.
• Solicitudes sobre cambios de sus credenciales bancarias
• Herencias ofrecidas por desconocidos
• Atrasos en sus contribuciones al erario público.
• ETC 

 Sin embargo todas y cada una de estos correo electrónicos son herramientas utilizadas por personas mal intencionadas que buscan poder tener acceso a información sensible o personal (Personally identifiable information (PII), or Sensitive Personal Information (SPI) por sus siglas en inglés) de la víctima especialmente la de sus cuentas bancarias.

De acuerdo al informe de Kaspersky sobre Spam y Phishing. Durante el primer trimestre de 2015, los productos de Kaspersky Lab registraron 50.077.057 reacciones del sistema antiphishing, lo que supone un aumento de un millón con respecto al último trimestre de 2014, según el Informe de Spam y Phishing de Q1 de la compañía.*

Se desconoce el impacto monetario ocurrido en México durante el 2015, sin embargo en México durante el año 2013 la cifra en perdidas fue de 3000 millones de dollars.** ¡Alarmante no creen!

¿Qué es el phishing?

El phishing o señuelo no es considerado un malware aun que muchas veces nos dirigimos a él como tal. De acuerdo al NIST 800-83, el phishing es un método implementado por personas anómalas para redirigir la navegación de sus víctimas hacia sitios clonados o ficticios como por ejemplo: un portal bancario, un portal de una red social o de una institución gubernamental con el objetivo de robar su información personal y/o sensible.

El método más común implementado es el envío de correos electrónicos masivos por ejemplo:

Correo Buenos días muy costoso (e)

Correo de aviso de Whatsapp VoiceMail

¿Alguno de ustedes los abriría? Pues a quién no le caería bien recibir de una mujer "supuesta mente en su lecho de muerte" 850,000 Euros o quién hoy en día no es un obsesionado con la mensajería instantánea de WhastApp y le llamaría mucho la atención el saber ¿quién le dejo un buzón de voz?.

La disección a Phishing.

Primer caso: WhastApp voicemail.

Este caso lo vamos a matar muy rápido con el siguiente mensaje directamente del fabricante de la aplicación:

"Primero, es importante entender que no te enviamos mensajes por WhatsApp. Tampoco te enviamos correos electrónicos sobre los chats, los Mensajes de voz, el sistema de pago, los cambios en la aplicación, o multimedia como fotos y vídeos. Solo recibirás un correo de WhatsApp si nos enviaste un correo a uno de nuestras direcciones de correo electrónico, como las del Equipo de Soporte."***

Sin la necesidad de investigar más afondo el coreo podemos concluir entonces que se trata de un correo fraudulento y no es emitido por whastapp.

Segundo caso: Buenos días muy costoso (e)

 Antes de revisar los encabezados del correo podemos hacer las siguientes deducciones de acuerdo a la redacción:

1.  Fecha de nacimiento. La persona debe tener al rededor de 69 ya que su fecha de nacimiento es el  15 de Julio 1946 y la foto que nos muestran es de una persona de edad avanzada.
2. Es de nacionalidad francesa y su redacción en el correo esta muy revuelta o confusa pero es capas de sobresaltar la cantidad ofrecida, su correo electrónico y sobre todo sus agradecimientos al termino de su mensaje.
3. Hay que poner nos a pensar un poco: "En verdad tendré tanta suerte para que una mujer de 69 años me quiera heredar 850,000 euros (14,968,500 de pesos mexicanos). ¡Es mejor que sacar se la lotería!" 

Poniéndonos un poco más técnicos y revisando el código fuente del correo encontramos los siguiente:

• smtp server IP is 195.238.20.111

·         mtp.mailfrom=mb580177@skynet.be

·         header.id=mb580177@skynet.be

·         Received: from mailsec115.isp.belgacom.be ([195.238.20.111])

·         From: URGENTE <mb580177@skynet.be>

·         To: irenelangley@talktalk.net

·         Message-ID: <865594771.560733.1445970879209.open-xchange@webmail.nmp.proximus.

En ningún momento de la cabecera se ve que el correo provenga directamente de la cuenta de  hippolyte.perry@hotmail.com, el SMTP no es el de hotmail al contrario esta localizado en Bélgica y la cuenta origen es del sitio skynet.be.

No desestimo que al descargar las imágenes adjuntas en el correo tengan algún tipo de Virus ya que sus cabeceras indican los siguiente:

------=_Part_560731_1657796776.1445970879204
Content-Type: image/jpeg; name=12179944_1666066683637228_1639812940_n.jpg
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
 filename=12179944_1666066683637228_1639812940_n.jpg <--- Por que una imagen tiene un nombre tan extraño.

------=_Part_560731_1657796776.1445970879204
Content-Type: image/gif; name=image002.gif
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename=image002.gif 

En Conclusión el correo es una trampa para que la víctima caiga en un ciberfraude, envíe información relevante comprometiendo así la integridad y seguridad de sus datos.
 

Como evitar el phishing

1. Nunca abran correo electrónicos de personas desconocidas.
2.  Si te llego algún correo de instituciones bancarias o SAT no respondas inmediatamente, contacta al centro de atención y corrobora que sea legitimo. 
3. Cuenta con un sistema de Antivirus instalado y actualizado en tu ordenador por si de casualidad abriste el correo y descargaste algún objeto embebido.

* Dato obtenido de http://latam.kaspersky.com/mx/node/18463
** Dato obtenido de http://mexico.cnn.com/tecnologia/2014/06/03/mexico-entre-los-paises-latinoamericanos-mas-afectados-por-el-cibercrimen
***Dato tomado de https://www.whatsapp.com/faq/es/general/28030005