OSINT Parte III - La (in)seguridad del IoT

Buenas,

Esta entrada es la tercera y última para completar el capítulo de OSINT. En este post se va a comentar los buscadores de dispositivos conectados a Internet y cómo pueden ser accedidos de forma remota a través de Internet. Este auge de los dispositivos "inteligentes" es el llamado "Internet de las Cosas" (IoT), que está muy relacionado con los buscadores como Shodan o Censys.

Shodan es un buscador, pero no es un buscador como Google o Bing. Es un buscador diferente, está pensado para encontrar  dispositivos conectados a Internet. Descubre y obtiene información de unos 500 millones de dispositivos conectados a Internet cada mes. Desde cámaras de seguridad, aires acondicionados, frigoríficos, smartTV,... pasando por puertas de cocheras, sistemas VoIP, sistemas de calefacción,…

Simplemente por el hecho estar estos dispositivos conectados a Internet ya es un riesgo, pues pueden ser controlados mediante acceso remoto. Estas configuraciones erróneas pueden ser una null session, es decir, no requieren ninguna autenticación o a través de un nombre de usuario y una contraseña. Sin embargo, en la mayoría de casos dichas credenciales son la de por defecto, siendo fáciles de encontrar en el manual del fabricante.

Shodan permite realizar diferentes tipos de búsquedas en función de los inputs introducidos: IP, localización geográfica, puertos, contraseñas por defecto, protocolo,...

Probando por usuario y contraseña por defecto, se encuentran 13.121 resultados con:

Nombre de usuario: admin
Contraseña: 1234

En la parte izquierda se pueden ver los servicios y los países donde se han encontrados dispositivos, máquinas, cámara de vídeo-vigilancia sistemas de entornos industriales conectados a Internet que bien pueden ser consultados o ser controlados por acceso remoto.

En este ejemplo, en el primer puesto está el servicio HTTP y el país top es Taiwan con 1.974 dispositivos.

Si se prueba el acceso a uno de los dispositivos encontrados:

Por lo que introduciendo los credenciales por defecto que se han visto, se podría obtener acceso.

Es importante resaltar que está información es pública y conocida, sin embargo, si se considera un delito acceder a dichos servicios si para ello se requiere saltarse una medida de protección, como puede ser un panel de login.

Del mismo Shodan también permite búsquedas de cámaras de video-vigilancia desde las típicas de un aparcamiento de un centro comercial hasta las de las tiendas de alimentación. Sin embargo, la mayoría si requieren de username y password.

Por ejemplo para buscar cámaras de vídeo en España sería:

Server: SQ-WEBCAM country:es

Permitir el acceso remotamente es una ventaja para la persona encargada de su funcionamiento. Sin embargo, esta ventaja es peligrosa debido al uso de una autenticación por defecto que bien se puede sacar del manual del fabricante o son las típicas de “admin” “admin” o “admin”1234. 

Es necesario revisar estos procedimientos de autenticación para evitar un acceso no permitido, en especial cambiar las contraseñas por defecto.

Además de Shodan, también existe Censys. Censys recopila data en los servidores y sitios web diariamente, escaneando todo el espectro de direcciones IPv4 y cada vez más IPv6.

Normalmente una búsqueda muy recurrida son los servidores FTP. Es un problema conocido la existencia de servidores FTP en los que no es necesario loguearse, por lo tanto, introduciendo las keywords: FTP "anonymous access allowed" se tiene:

Haciendo clic en él incluso se puede obtener su localización geográfica:

El propio banner nos indica que se encuentra activo en este momento.

Otras búsquedas más modernas en relación al IoT son las casas domóticas, que posibilitan el acceso a los servidores de control de tal manera que se pueden controlar las luces, puerta del garaje, cortinas, cámaras, alarma,...Es realmente sencillo encontrar sus credenciales por defecto en el manual de usuario y por lo tanto, lograr su acceso si no se han cambiado.

En conclusión, hay que tener en cuenta que el acceso a los dispositivos, servidores, cámaras,...se implementa con objeto de proporcionar usabilidad a los usuarios, sin embargo, es necesario tener presente las amenazas que esto incorpora. 

No nos sirve de nada que un técnico desde su casa se conecte para controlar unos servicios si para ello, no necesita autenticación o si está es por defecto, empleando los credenciales que son fácilmente deducible. Por ejemplo, si un ciberdelincuente logra acceder a la cámara de vigilancia de una tienda y la puede girar apuntando la techo con objeto de realizar un robo físico y no sean grabados.

Hay que recordar que esta entrada sólo pretende, mediante fines educativos indicar los dispositivos que pueden ser accedidos remotamente, en muchos casos, gracias a la información pública, que se encuentra en Internet. Por lo tanto, se indica específicamente que no se debe acceder ( o intentar loguearse) contra dispositivos sin tener autorización.

Saludos.

NaxHack5

"La mejor defensa es un buen ataque"

Paranoicos (I) - VPN y Tor

Muchos lo suponíamos y, desde hace unos años con las filtraciones de Edward Snowden, sabemos del espionaje masivo de los gobiernos y empresas privadas. No vamos a ahondar si está bien o está mal, si es necesario o no, si está justificado, pero sí hablaremos de cómo defendernos y aumentar nuestra privacidad en la red.

"Privacidad no es tener algo que esconder, es tener algo que proteger" - Snowden

¿Cómo podemos evitar, evadir y protegernos de este espionaje?. No es sencillo, ya que intervienen muchos factores, muchisimos:

Conexión a Internet

Algo vital para protegernos en la red, y así ganar privacidad es proteger nuestro acceso a Internet. Desde hace años abundan en Internet herramientas de tracking, de rastreo, herramientas que estudian nuestro comportamiento, que almacenan nuestro origen y nuestra actividad en la red.

El uso de herramientas libres es casi indispensable para salvaguardar nuestra privacidad, en este caso el navegador Firefox puede ser un gran aliado, ya que, además de ser libre es altamente configurable y ampliable con extensiones y complementos, de los que hablaremos a continuación.

En este primer vídeo de la serie "Paranoicos" hablaremos de nuestra conexión a Internet, donde es fundamental para salvaguardar nuestra privacidad dos aspectos:

• Ocultar nuestra IP real, con el objetivo de que las páginas a las que accedemos no puedan rastrearnos, conocer nuestro origen o almacenar nuestra información personal. Además esto ayuda a evitar sitios censurados en determinados paises.
• Cifrar la información, de forma que ni un atacante ni, por ejemplo, nuestra operadora puedan hacer un seguimiento de nuestra actividad en la red.

Existen dos grandes herramientas que nos pueden garantizar ambos aspectos, y estas son las VPN y Tor.

VPN y Tor

VPN o Virtual Private Network es una tecnología que permite crear un túnel cifrado desde nuestro dispositivo a una red de área local (LAN), de esta forma estaremos conectada a la misma aún estando fuera de ella. Tiene grandes utilidades, por ejemplo empresariales (tener tu equipo conectado a la red LAN de la empresa estando en casa), pero el aspecto que nos interesa es, accediendo a Internet desde una VPN, garantizar nuestra privacidad:

• El tunelado de nuestra información desde nuestro dispositivo hasta el servidor VPN va cifrado, evitando el seguimiento de terceros. Además de aumentar la seguridad de nuestra conexión.
• Las web de destino verán como origen este servidor VPN, y no tu dispositivo.
• Evita redes restrictivas y/o censura.

Existen muchas VPN, pero recomendamos utilizar una de pago, ya que, como bien sabemos, si no pagamos por algo, no somos el cliente, sino el producto. Y que utilicen nuestros datos para lucrarse es precisamente contrario a la idea de este post.

Sobre Tor hemos hablado ya varias veces en Follow the White Rabbit, a grosso modo, Tor es parecido a una VPN,solo que el contenido y la información viajan por diferentes nodos situados por el globo.

Ambas tecnologías tienen el problema de que, al pasar la información por diferentes nodos y servidores para después llegar al destino, en vez de realizar una conexión "directa" sacrificamos velocidad a cambio de privacidad y seguridad.

Tanto la utilización de VPN y Tor no son complicadas en exceso, los proveedores de estos servicios suelen dar facilidades a los usuarios (excepto que estén orientados a usuarios avanzados, claro) y no es necesario ser informático para poder usarlas con facilidad. Además funcionan perfectamente de forma simultánea, es más, es bastante recomendable, aún notándose una bajada de velocidad considerable.

Por supuesto la utilización de estas herramientas no nos garantizan privacidad, si no las usamos con sentido común. Por ejemplo, si accedemos a Facebook con nuestro nombre real, y hacemos determinadas acciones, es obvio que no tendremos privacidad ni anonimato, simplemente ocultaremos el origen de dicha conexión.

Evil GO.ogle

Buenas hackers!
En esta prueba de concepto os explicare como una persona con fines mal intencionados puede obtener el correo electronico Gmail de los empleados de una organización a través de Twitter como medio de propagación.

A traves del bypass del hsts conocida por @ShargonXL, el link http://www.google.es/?gws_rd=ssl fuerza el http saltandote el https, capturando la cookie de sesión de la cuenta de Gmail si ese usario previamente esta logeado en el navegador. Es un fallo de seguridad ya que un usuario mal intencionado puede enviar ese link a traves de ingenieria social y con un ataque man-in-the-middle obtener la cookie y sesión de Gmail.
¿Se consideraria un fallo de seguridad el degradar de https a http? Si se da el caso o la opinión de que no lo es, ¿por qué se implementa el sistema de seguridad hsts? El hsts precisamente consiste en evitar que una pagina web nunca vaya por http, porque es un protocolo inseguro, entonces ¿por qué el hsts de Google no funciona con ese link?, si la medida de seguridad hsts no funciona un atacante mal intencionando mediante Man-In-The-Middle tiene una capacidad enorme para interceptar las peticiones y respuestas entre un usuario y un servidor de aplicaciones web, es decir, se manda el link,  se abre un esnifer para capturar el trafico, pincha la victima y se obtiene la cookie y el email, saltando el https de Google.

Proof of concept by naivenom,
El empleado con conocimientos de hacking y con sintomas de Burnout (esta quemado con su trabajo :S), realizará un ataque Man-In-The-Middle estando en medio de la comunicación interceptando la información entre el emisor y receptor. Para ello tendrá que estar en la misma red LAN, y utilizar el protocolo IPv4 para el intercambio de datos.
El ataque esta basado en ARP Spoofing, donde el atacante con malas intenciones se colocará entre el router y la victima. Cuando el router envie tráfico a la victima, este pasara primero por la maquina del atacante.
El protocolo ARP permite el conocimiento de la dirección física de otro dispositivo partiendo de la base que conoce una dirección IP.

El planeamiento del ataque deberá ser meticuloso y saber el medio de propagación del link. En este caso el atacante usará el Twitter y mediante ingenieria social convencera al personal de la empresa para seguir esa cuenta. Propagará el link con un mensaje privado a todo el personal diciendo que el lugar del restaurante donde van a cenar es este: http://www.google.es/?gws_rd=ssl

Una vez planeado el ataque, empieza el ataque Man-In-The-Middle:

PASO 1: 

Será necesario que el atacante tenga un portatil y acceso a la red. Cumple de sobra estos requisitos. Abrira el programa EvilFOCA para realizar el ataque Man-In-The-Middle.

Una vez envenenado la tabla ARP de la victima, todos los paquetes enviados entre router y victima pasarán por nosotros.

PASO 2: 

Ahora procedemos a abrir un esnifer de paquetes de red como por ejemplo Wireshark.
Quizas sea este el paso más delicado y dependemos de varios factores:

• Tiempo que haya de interacción entre victima y el software Twitter
• Si la victima pincha el enlace o no. Se presupone de nuestra previa habilidad en convencimiento y confianza que le ofrecemos a la victima. 

Una vez que la victima pincha el enlace desde su maquina, se le abrirá la pagina de google y si hay suerte de que tenga ya logeada la cuenta de Gmail, obtendremos la cookie y el correo.

Guardamos la captura en .pcap

PASO 3:

Analizaremos la captura hecha con el software Fiddler.
Podemos observar que a través de la petición GET, obtenemos el Gmail de la victima con tan solo estar logeada.

Con el correo electronico podemos realizar ataques de phishing o envio de malware, obteniendo una shell del sistema victima.

PASO 4: 

Al capturar el tráfico, obtenemos unas cookies. De un modo u otro instalando una extensión en chrome podemos replicar esas cookies y tener la sesión loegada del Gmail victima en nuestra maquina. También deberemos modificar el user-agent con otra extensión proporcionada por Chrome:

Replicamos las cookies que obtenemos en la captura de Wireshark o Fiddler y la añadimos o editamos en nuestro navegador:

Actualizamos con la replica de las cookies obtenidas mediante el esnifer y escribimos la URL del link:

Como pueden observar es fácil a traves de un ataque Man-in-the-middle y el bypass del hsts, obtener información sensible como puede ser el correo electronico o el nombre y apellidos.

P.D Esta prueba de concepto esta realizada con fines educativos siempre en un entorno de trabajo propio, usando la propia red LAN y cuenta de correo (en este caso) de Gmail. No nos hacemos responsables de su mal uso.