LUK
23-12-2011, 10:26
La disponibilidad de tecnologías WiFi “abiertas” cara al público que provén de Internet de forma gratuita, se ha convertido en una de las mayores facilidades que se le puede ofrecer a un usuario malintencionado para que lleve a cabo cualquier tipo de ataque sin dejar rastro de la identidad del mismo. Lugares como universidades, bibliotecas, restaurantes, bares, aeropuertos, etcétera, ofrecen conexión a los usuarios para que naveguen a sus anchas.
No hace mucho tiempo, volviendo en autobús de un viaje que tuve que realizar por motivos de trabajo, me dio por ojear el servicio WiFi que ofrecía la empresa para conectarse a Internet durante la duración del trayecto (que no era poco). Y como era de esperar existían multitud de direcciones IP (usuarios) que estaban utilizando dicho servicio.
Dejando de lado la multitud de ataques que se podrían realizar a los usuarios que están utilizando el servicio, ya que se supone que la WiFi precisamente se encuentra “abierta” para que todos los usuarios del autobús puedan conectarse y navegar sin ningún problema, decidí mirar qué “cacharro” era el que nos estaba ofreciendo el servicio y qué medidas de seguridad implementaba.
http://1.bp.blogspot.com/-07NGZQbKeTc/TvOcDId17mI/AAAAAAAAJH0/FOio0JNZ6F4/s640/WiFi_Bus_1.png (http://1.bp.blogspot.com/-07NGZQbKeTc/TvOcDId17mI/AAAAAAAAJH0/FOio0JNZ6F4/s1600/WiFi_Bus_1.png)
Figura 1: Portal del Router de Internet Móvil
Al primer intento de una de las contraseñas por defecto, ya me di cuenta que la respuesta se ofrecía por JavaScript y sin realizar ninguna petición a otra página, por lo que, la contraseña debería estar “incrustada” en el propio código de la página de acceso.
http://3.bp.blogspot.com/-QxWpdsAgkKc/TvOcUcf4RkI/AAAAAAAAJIo/uQj5yw4qvDc/s1600/WiFi_Bus_2.png (http://3.bp.blogspot.com/-QxWpdsAgkKc/TvOcUcf4RkI/AAAAAAAAJIo/uQj5yw4qvDc/s1600/WiFi_Bus_2.png)
Figura 2: Alerta de contraseña incorrecta por Javascript
Con la ayuda de Firebug y un par de búsquedas vamos a intentar localizar la cadena exacta que nos interesa. Identificamos cómo existen varios tags “iframe” que están apuntando a distintos portales, los cuales pueden contener la cadena que estamos buscando. Entre ellos existe el fichero “/en/logo_idx.asp” que es el que contiene toda la parte de login.
http://3.bp.blogspot.com/-utpMyucp_Hs/TvOcf1QLWaI/AAAAAAAAJI0/900uBBLuy5U/s640/WiFi_Bus_3.png (http://3.bp.blogspot.com/-utpMyucp_Hs/TvOcf1QLWaI/AAAAAAAAJI0/900uBBLuy5U/s1600/WiFi_Bus_3.png)
Figura 3: Inclusión del iframe de autenticación
Cargamos el portal “/en/logo_idx.asp” dentro de nuestro navegador y visualizamos dónde se encuentra la cadena “Introduce tu contra..”, ya que se encontrará cerca de la zona del botón de submit, del que nos interesa saber qué función está realizando con la contraseña que introducimos nosotros en el “textbox”.
http://3.bp.blogspot.com/-m01HauHlVDk/TvOcvvl_PyI/AAAAAAAAJJA/tyDY8YSdXuk/s640/WiFi_Bus_4.png (http://3.bp.blogspot.com/-m01HauHlVDk/TvOcvvl_PyI/AAAAAAAAJJA/tyDY8YSdXuk/s1600/WiFi_Bus_4.png)
Figura 4: Función que se ejecuta cuando se envía la contraseña
Como se puede observar en la imagen anterior, al realizar el evento “onclick” del botón “Entrar” se está ejecutando a una función JavaScript llamada “LoginForm()”. Si buscamos dicha función en la pestaña de Scripts de Firebug, nos encontraremos con el siguiente código.
http://2.bp.blogspot.com/-200yHFRxoGc/TvOc9XzLK-I/AAAAAAAAJJM/Q1nfDjPnBNE/s640/WiFi_Bus_5.png (http://2.bp.blogspot.com/-200yHFRxoGc/TvOc9XzLK-I/AAAAAAAAJJM/Q1nfDjPnBNE/s1600/WiFi_Bus_5.png)
Figura 5: Contenido de la función JavaScript "LoginForm()"
Vemos que se está validando mediante la función “IF” el valor del elemento “password” con una variable llamada “admin_passwd”, la cual se encontrará inicializada en alguna parte del código. Mediante una simple búsqueda del nombre de la variable, damos con el valor que se inicializa la misma y con el correspondiente password del router.
http://1.bp.blogspot.com/-kf6lAa2IsUo/TvOdLmgGckI/AAAAAAAAJJY/iApN66zG0yQ/s640/WiFi_Bus_6.png (http://1.bp.blogspot.com/-kf6lAa2IsUo/TvOdLmgGckI/AAAAAAAAJJY/iApN66zG0yQ/s1600/WiFi_Bus_6.png)
Figura 6: Inicialización de la variable "admin_passwd"
A partir de aquí ya podemos acceder al portal del router y visualizar y/o modificar los parámetros de configuración.
http://4.bp.blogspot.com/-_CrSCRmRNs8/TvOeEyPyafI/AAAAAAAAJJk/-Iow_esGp_8/s640/WiFi_Bus_7.png (http://4.bp.blogspot.com/-_CrSCRmRNs8/TvOeEyPyafI/AAAAAAAAJJk/-Iow_esGp_8/s1600/WiFi_Bus_7.png)
Figura 7: Configuración Avanzada del Router Internet Móvil de Huawei
Y seguro que con toda esta información a muchos de vosotros se os ocurren muchos ataques man in the middle que se pueden realizar a los compañeros de viaje, pero ya bastante cansado es un viaje en autobús, como para que encima te roben la cuenta de Twitter, Tuenti o Facebook.
http://2.bp.blogspot.com/-CcxF3_KTOVM/TvOeRjj074I/AAAAAAAAJJw/AfF9Rg6UbW0/s640/WiFi_Bus_8.png (http://2.bp.blogspot.com/-CcxF3_KTOVM/TvOeRjj074I/AAAAAAAAJJw/AfF9Rg6UbW0/s1600/WiFi_Bus_8.png)
Figura 8: Usuarios conectados al servicio, potenciales víctimas
Como ya habréis leído y/o escuchado centenares de veces, la seguridad de las redes WiFi “abiertas” que ofrecen servicio a cualquier usuario sin ningún tipo de protección son de alto riesgo para los usuarios, pero quedan mucho más en entredicho si ni el propio fabricante del dispositivo utilizado para motarlas se preocupa de con qué grado de seguridad se están desarrollando sus dispositivos.
Un Saludo!! ;)
Autor: Daniel Romero, consultor de seguridad en Informática64 (http://www.informatica64.com/)
No hace mucho tiempo, volviendo en autobús de un viaje que tuve que realizar por motivos de trabajo, me dio por ojear el servicio WiFi que ofrecía la empresa para conectarse a Internet durante la duración del trayecto (que no era poco). Y como era de esperar existían multitud de direcciones IP (usuarios) que estaban utilizando dicho servicio.
Dejando de lado la multitud de ataques que se podrían realizar a los usuarios que están utilizando el servicio, ya que se supone que la WiFi precisamente se encuentra “abierta” para que todos los usuarios del autobús puedan conectarse y navegar sin ningún problema, decidí mirar qué “cacharro” era el que nos estaba ofreciendo el servicio y qué medidas de seguridad implementaba.
http://1.bp.blogspot.com/-07NGZQbKeTc/TvOcDId17mI/AAAAAAAAJH0/FOio0JNZ6F4/s640/WiFi_Bus_1.png (http://1.bp.blogspot.com/-07NGZQbKeTc/TvOcDId17mI/AAAAAAAAJH0/FOio0JNZ6F4/s1600/WiFi_Bus_1.png)
Figura 1: Portal del Router de Internet Móvil
Al primer intento de una de las contraseñas por defecto, ya me di cuenta que la respuesta se ofrecía por JavaScript y sin realizar ninguna petición a otra página, por lo que, la contraseña debería estar “incrustada” en el propio código de la página de acceso.
http://3.bp.blogspot.com/-QxWpdsAgkKc/TvOcUcf4RkI/AAAAAAAAJIo/uQj5yw4qvDc/s1600/WiFi_Bus_2.png (http://3.bp.blogspot.com/-QxWpdsAgkKc/TvOcUcf4RkI/AAAAAAAAJIo/uQj5yw4qvDc/s1600/WiFi_Bus_2.png)
Figura 2: Alerta de contraseña incorrecta por Javascript
Con la ayuda de Firebug y un par de búsquedas vamos a intentar localizar la cadena exacta que nos interesa. Identificamos cómo existen varios tags “iframe” que están apuntando a distintos portales, los cuales pueden contener la cadena que estamos buscando. Entre ellos existe el fichero “/en/logo_idx.asp” que es el que contiene toda la parte de login.
http://3.bp.blogspot.com/-utpMyucp_Hs/TvOcf1QLWaI/AAAAAAAAJI0/900uBBLuy5U/s640/WiFi_Bus_3.png (http://3.bp.blogspot.com/-utpMyucp_Hs/TvOcf1QLWaI/AAAAAAAAJI0/900uBBLuy5U/s1600/WiFi_Bus_3.png)
Figura 3: Inclusión del iframe de autenticación
Cargamos el portal “/en/logo_idx.asp” dentro de nuestro navegador y visualizamos dónde se encuentra la cadena “Introduce tu contra..”, ya que se encontrará cerca de la zona del botón de submit, del que nos interesa saber qué función está realizando con la contraseña que introducimos nosotros en el “textbox”.
http://3.bp.blogspot.com/-m01HauHlVDk/TvOcvvl_PyI/AAAAAAAAJJA/tyDY8YSdXuk/s640/WiFi_Bus_4.png (http://3.bp.blogspot.com/-m01HauHlVDk/TvOcvvl_PyI/AAAAAAAAJJA/tyDY8YSdXuk/s1600/WiFi_Bus_4.png)
Figura 4: Función que se ejecuta cuando se envía la contraseña
Como se puede observar en la imagen anterior, al realizar el evento “onclick” del botón “Entrar” se está ejecutando a una función JavaScript llamada “LoginForm()”. Si buscamos dicha función en la pestaña de Scripts de Firebug, nos encontraremos con el siguiente código.
http://2.bp.blogspot.com/-200yHFRxoGc/TvOc9XzLK-I/AAAAAAAAJJM/Q1nfDjPnBNE/s640/WiFi_Bus_5.png (http://2.bp.blogspot.com/-200yHFRxoGc/TvOc9XzLK-I/AAAAAAAAJJM/Q1nfDjPnBNE/s1600/WiFi_Bus_5.png)
Figura 5: Contenido de la función JavaScript "LoginForm()"
Vemos que se está validando mediante la función “IF” el valor del elemento “password” con una variable llamada “admin_passwd”, la cual se encontrará inicializada en alguna parte del código. Mediante una simple búsqueda del nombre de la variable, damos con el valor que se inicializa la misma y con el correspondiente password del router.
http://1.bp.blogspot.com/-kf6lAa2IsUo/TvOdLmgGckI/AAAAAAAAJJY/iApN66zG0yQ/s640/WiFi_Bus_6.png (http://1.bp.blogspot.com/-kf6lAa2IsUo/TvOdLmgGckI/AAAAAAAAJJY/iApN66zG0yQ/s1600/WiFi_Bus_6.png)
Figura 6: Inicialización de la variable "admin_passwd"
A partir de aquí ya podemos acceder al portal del router y visualizar y/o modificar los parámetros de configuración.
http://4.bp.blogspot.com/-_CrSCRmRNs8/TvOeEyPyafI/AAAAAAAAJJk/-Iow_esGp_8/s640/WiFi_Bus_7.png (http://4.bp.blogspot.com/-_CrSCRmRNs8/TvOeEyPyafI/AAAAAAAAJJk/-Iow_esGp_8/s1600/WiFi_Bus_7.png)
Figura 7: Configuración Avanzada del Router Internet Móvil de Huawei
Y seguro que con toda esta información a muchos de vosotros se os ocurren muchos ataques man in the middle que se pueden realizar a los compañeros de viaje, pero ya bastante cansado es un viaje en autobús, como para que encima te roben la cuenta de Twitter, Tuenti o Facebook.
http://2.bp.blogspot.com/-CcxF3_KTOVM/TvOeRjj074I/AAAAAAAAJJw/AfF9Rg6UbW0/s640/WiFi_Bus_8.png (http://2.bp.blogspot.com/-CcxF3_KTOVM/TvOeRjj074I/AAAAAAAAJJw/AfF9Rg6UbW0/s1600/WiFi_Bus_8.png)
Figura 8: Usuarios conectados al servicio, potenciales víctimas
Como ya habréis leído y/o escuchado centenares de veces, la seguridad de las redes WiFi “abiertas” que ofrecen servicio a cualquier usuario sin ningún tipo de protección son de alto riesgo para los usuarios, pero quedan mucho más en entredicho si ni el propio fabricante del dispositivo utilizado para motarlas se preocupa de con qué grado de seguridad se están desarrollando sus dispositivos.
Un Saludo!! ;)
Autor: Daniel Romero, consultor de seguridad en Informática64 (http://www.informatica64.com/)