Hacking for Dummies Espiar las comunicaciones de redes Wi-Fi inseguras Escrito por Hck4Dmms Publicado el 06 Marzo 2014 A diario nos están bombardeando con noticias sobre casos de espionaje, en los que son los propios gobiernos quienes espía a sus ciudadanos, noticias en las que se habla de complejos sistemas de interpretación y monitorización de todas las comunicaciones que se efectúan dentro y fuera de un país, portadas de periódicos hablando sobre casos de "pinchazos" masivos, ciudadanos horrorizados con el comportamiento de sus gobernantes... Dejando a un lado el ingente coste que supondría convertir a inteligencia las comunicaciones de todos los ciudadanos de un país. ¿Realmente estamos sensibilizados con el secreto de las comunicaciones?, yo creo que no, ¿Cuantas veces alguien os ha facilitado o habéis facilitado una contraseña personal?, ¿Cuantas veces te has conectado a una red Wi-Fi de un centro comercial o una cafetería sin tomar ningún tipo de medida de seguridad?, ¿Te has parado a cambiar la configuración de seguridad que tu router Wi-Fi trae por defecto?. Si la respuesta a los dos últimos interrogantes ha sido que no, quizás te interese continuar leyendo este articulo, en el que voy a explicar lo sencillo que resulta espiar la comunicaciones que se realizan a través de redes Wi-Fi inseguras o públicas, tu casa puede que tenga 80 metros cuadrados, pero si la red de tu AP alcanza los 200 metros cuadrados, tienes 120 metros cuadrados de ondas Wi-Fi que no puedes controlar y que están saliendo continuamente fuera de tu domicilio, y lo que es peor, no sabes quien puede estar observándolas y monitorizándolas, de ahí la importancia de disponer de una red Wi-Fi segura en tu hogar y no utilizar redes Wi-Fi públicas para transmitir datos personales o sensibles.
Esta es la historia de un chico llamado Pedro, Pedro todas las mañanas acudía a una cafetería que se encontraba debajo de su piso, para desayunar un rico café con dos croissants, al tiempo que se ponía al día leyendo la prensa diaria desde su teléfono móvil, pero Pedro no le gustaba gastar los datos de su tarifa de Internet, por lo que siempre se conectaba a la red Wi-Fi gratuita de su cafetería favorita. Pedro estaba tranquilo, ya que esta red era segura, era la red del bar en el que llevaba tres años desayunando ¿¡¿¡¿Como lo iban a engañar?!?!?, además la red disponía de una intrincada contraseña con muchos números, letras y símbolos extraños que había que introducir en un formulario de texto que ponía "WPA2", y Miguel, el amigo de Pedro le había comentado una vez, que las contraseñas WPA2 son muy seguras.
Fig.1 "LG Nexus 4"
Un soleado día de Marzo mientras Pedro estaba revisando las noticias desde su teléfono móvil, entró en la cafetería un chico joven con su ordenador portátil, el cual digamos... que se puede llamar Javier, este se sentó en una de las pocas mesas que a esas horas todavía quedaban libres. Cuando el camarero le sirvió a Javier el café solo con hielo que había pedido, Javier le preguntó por la contraseña de la red Wi-Fi de la cafetería, apuntándola el camarero en una servilleta de papel que después dejó encima de la mesa de Javier. Javier tecleo uno a uno todos los caracteres que el camarero había escrito en la servilleta de papel, pero el ordenador de Javier era extraño, el fondo de escritorio mostraba una especie de dragón que ponía "Kali Linux" y la barra de tareas no se encontraba en la parte inferior de la pantalla como cualquier otro ordenador, si no que estaba en la parte superior. Rápidamente en la pantalla del ordenador de Javier apareció un mensaje que rezaba lo siguiente "Conexión establecida correctamente", por lo que Javier ya podía utilizar el Wi-Fi gratuito de esta cafetería para navegar por Internet. Pero Javier no abrió ningún navegador, tampoco abrió ningún cliente de mensajería ni videollamada. Si no que en un maremágnun de ventanas desplegables inició un programa llamado "Ettercap", en el que se podía ver una araña de color negro, seguro que "Ettercap" es el nombre de un nuevo videojuego en el que hay que exterminar una plaga de arañas gigantes en un exoplaneta desierto.
Pero por desgracia para Pedro, "Ettercap" no era ningún videojuego, si no que se trata de uno de los mejores programas para esnifado de red y envenenamiento de tablas ARP. Cuando Javier arrancó este programa, rápidamente entró en el menú "Sniff" para seleccionar su interfaz de red wireless (wlan0), con la opción "ettercap imput".
Fig.2 "ettercap imput"
Posteriormente Javier escaneó todas los equipos conectados a la red Wi-Fi de la cafetería, con la opción "Scan Host" del menú "Host". Para ver los resultados del proceso de escaneado tan solo tuvo que pulsar sobre la opción "Host List" del mismo menú. En esta lista de equipos, Javier pudo identificar rápidamente el router y el dispositivo con el que estaba navegando Pedro, puesto que el router estaba configurado con un mítica 192.168.1.1, y solamente había conectado otro equipo con la IP 192.168.1.35, fácilmente se puede suponer que esta ultima IP
pertenece al dispositivo de Pedro. Ahora solo queda seleccionar el "Target" (objetivo), dónde "Target 1" es el equipo a atacar y "Target 2" es el router suplantado.
Fig. 3 Selección de objetivos
Cuando Javier ya tenía definidos sus objetivos, comenzó el ataque "MiTM" (Man in the middle u hombre en el medio), para lo que tan solo tuvo que iniciar un "ARP Poisoning" (Envenenamiento de las tablas ARP), activando la opción "Sniff remote connectiones" y pulsando el botón "Start" de Ettercap.
Fig. 4 "ARP Poisoning"
Al poco de tiempo de iniciar el ataque MiTM, Javier ya comenzó a interceptar las comunicaciones de Pedro, desde la pestaña "Profiles" de Ettercap, pudo averiguar que Pedro había visitado la página de periódico El Mundo, había visitado la red social Facebook (aunque utilice un cifrado SSL) y también había visto la predicción meteorológica en la página web de Maldonado (El Tiempo). Esto último despertó la curiosidad de Javier, por lo que, desde la pestaña "Connections", analizó la conexión que Pedro había establecido con la página web de eltiempo.es. Como se puede comprobar en la imagen siguiente, gracias al user-agent de el tiempo.es, Javier pudo averiguar que Pedro estaba utilizando el navegador Google Chrome para dispositivos móviles desde un teléfono móvil de Google, mas concretamente un LG Nexus 4 con Android 4.3 (JWR66Y), gracias a la interceptación de
esta señal Wi-Fi, Javier también descubrió que Pedro no solo había visitado la página web de eltiempo.es, si no que, había comprobado la predicción meteorológica para el pueblo deLubián en Zamora, de lo que se desprende que posiblemente Pedro visitará este municipio de 351 habitantes en breve.
Fig. 5 "User-Agent"
Cuando Javier regresó de nuevo a la pestaña "Profiles", observó como Pedro también se había conectado a la conocida página web ForoCoches, por lo que otra vez, desde la pestaña "Connectiones", obtuvo mas información de esta conexión, mas concretamente pudo averiguar cual era el usuario y contraseña de Pedro en ForoCoches, como se puede comprobar en la siguiente imagen, username: "USUARIOFULL" y login password: "123456", lógicamente no son datos reales.
Fig. 6 "Usuario y Contraseña interceptada"
Al estar Javier en un entorno "Man in The Middle", recordó que existía un comando llamado "driftnet -i wlan0", el cual permite interceptar todos los archivos de imagen que Pedro estuviera viendo en su navegador, es decir si Pedro subía una fotografía a una red social o entraba en un periódico online, todas las imágenes que pasaran por esa conexión Wi-Fi las podría ver también Javier, como se muestra a continuación:
Fig. 7 "Interceptando Imágenes"
Aunque todo lo explicado anteriormente te pueda parecer sorprendente o fantasioso, tienes que tener en cuenta que es completamente factible realizar este tipo de ataques en los que tu puedes ser la victima, y lo que es peor, no se requieren grandes conocimientos informáticos o costosos programas informáticos, tan solo con una distribución gratuita de Kali Linux y un ordenador portátil normal y corriente se puede ejecutar cualquiera de los ataques o interceptaciones explicadas anteriormente, y no solo eso, utilizando otras técnicas también muy sencillas, se pueden obtener cualquier tipo de contraseña personal, desde la contraseña del Facebook a la de Gmail, pasando por cualquier otro servicio web, piensa que una vez que un atacante obtenga tu contraseña personal, por ejemplo del Facebook, tendrá acceso a infinidad de datos personales que podrá llegar a utilizar en tu contra, por eso es muy importante tomar siempre unas medidas de seguridad básicas pero eficaces. En cuanto a lo que ataques MiTM mediante envenenmiento ARP se refiere te puedes proteger siguiendo los siguientes consejos:
No conectarte a una red Wi-Fi pública (aunque disponga de contraseña) o desconocida, ya que realmente no sabes a quien pertenece la red Wi-Fi a la que te estas conectando, incluso se podría tratar de un Fake AP.
Si de todos modos quieres conectarte a una red Wi-Fi pública, es conveniente que cuando estés utilizando una red desconocida, no utilices servicios sensibles, como por ejemplo: banca online, envíes o visualices fotografías o documentos comprometidos, ni tampoco inicies sesión en tu cuenta de correo electrónico.
Otro detalle de seguridad importante, que se puede aplicar para reducir considerablemente las posibilidades de que un extraño pueda acceder fraudulentamente a tus cuentas personales, es simplemente, utilizar contraseñas distintas por cada servicio que uses, de este modo, si alguien consigue obtener alguna de tus contraseñas, solamente podrá acceder a esa cuenta en concreto y no a todas tus cuentas.
Si de todos modos necesitas conectarte fuera de tu casa con un ordenador portátil, recuerda que si dispones de una conexión a Internet en tu teléfono móvil, la puedas extender a tu ordenador mediante "tethering", pero que este conexión sea al menos del tipo WPA2.
Recuerda que con la conexión Wi-Fi de tu domicilio tampoco estas a salvo de este tipo de ataques, ya que si alguien es capaz de romper la seguridad de tu contraseña WEP, si es que la tienes, no le costará mucho ejecutar el ataque anteriormente descrito, por lo que de nuevo, recomiendo, que si no puedes conectarte a Internet mediante un cable de red, por lo menos configura tu red Wi-Fi de tal manera que ningún extraño se pueda conectar fácilmente a la misma.
Aunque todo esto pueda parecer un juego de niños o una forma distinta de impresionar a tus amigos, es muy importante saber que este tipo ataques vulneran la intimidad de las personas, por lo tanto están considerados como delitos muy graves en nuestro país, y las condenas por haber
cometido estos delitos puede llegar a los siete años de prisión, por lo tanto si quieres probar estos programas, lo podrás hacer tranquilamente en un entorno de laboratorio controlado, en el cual no se vulnere la intimidad de ninguna persona real.
Evadir el filtrador MAC de un router WiFi Escrito por Hck4Dmms Publicado el 18 Enero 2014 La dirección MAC o Control de Acceso al Medio, no es mas que un código "único" que cada tarjeta de red tiene grabado en su memoria, el cual sirve para poder identificar inequívocamente al equipo dentro de una red, también se suele utilizar para bastionar las redes Wi-Fi impidiendo que equipos ajenos a la red se puedan conectar a la misma mediante el filtrado MAC, pero... ¿El filtrado MAC es una garantía de seguridad en nuestra red Wi-Fi?, como podréis comprobar a continuación, la respuesta es no, pero si es cierto que se trata de una medida eficaz para reducir enormemente el número de ataques.
Este método se puede llevara a cabo tanto desde Kali Linux como desde WifiSlax, simplemente necesitaremos tener instalados los drives de nuestra tarjeta de red y que esta a su vez permita iniciarse en modo monitor o promiscuo.
Tecleamos en nuestra terminal "airmon-ng", para visualizar cuales son nuestras interfaces de red, lo lógico sería tener una sola interfaz (wlan0), pero por ejemplo, si dispones de una antena Wi-Fi externa como es mi caso, también aparecerá esta bajo el nombre "wlan1".
Para iniciar cualquiera de las dos interfaces en modo monitor deberás teclear el siguiente comando "airmon-ng start wlan1", de este modo se iniciará en modo monitor una tercera interfaz, la cual posiblemente se llamará "mon0" (monitor), ahora ya tendremos una interfaz llamada mon0 en modo promiscuo.
En este momento ya podremos realizar un escaneo de todas las redes Wi-Fi, que estan a nuestro alcance con el comando "airodump-ng mon0", dónde mon0 es el nombre de nuestra interfaz que está en modo monitor.
Una vez que airodump-ng nos muestre todas las redes Wi-Fi a nuestro alcance, tendremos que seleccionar la red deseada que esta configurada con un filtrado MAC. Esto lo podremos hacer con el siguiente comando: "airodump-ng --bssid 00:00:00:00:00:00 mon0", dónde 00:00:00:00:00:00 es la dirección MAC del punto de acceso que tiene habilitado el filtrado MAC. Automáticamente aparecerán las direcciones MAC de todos los equipos conectados a esa red mediante Wi-Fi, por lo que podremos utilizar cualquiera de esas direcciones MAC para hacernos pasar por ella.
direcciones MAC autorizadas para conectarse al AP
Para cambiar la dirección MAC de nuestra tarjeta de red, por una de las MAC autorizadas a conectarse al Acess Point, en primer lugar tendremos que desconectar nuestra conexión de esta forma.
Introduciremos el comando "macchanger -m 11:11:11:11:11:11 mon0", dónde 11:11:11:11:11:11 es una de las direcciones MAC autorizadas a conectarse a la red WiFi. De este modo ya tendremos acceso a la red WiFi, puesto que nuestra MAC corresponde con una de las autorizadas.
"macchanger" modificando la MAC
Como has podido comprobar disponer de un filtrado MAC en tu red WiFi para impedir que extraños se conecten a la misma no le otorga a tu red una seguridad absoluta, pero si que reducirá enormemente el número de atacantes que se intentaran conectar a la misma. Puesto que la seguridad total no existe, es conveniente utilizar varios métodos para dificultar que se establezca una conexión no autorizada, como puede ser una contraseña WPA2, cambiar la contraseña de administración del router, y por supuesto no mantener conectados equipos a la red WiFi si no los estamos utilizado, ya que de este modo, al no existir paquetes de datos que viajan por el aire es mas complicado poder acceder a una red.
Recordad que según el articulo 255 del Código Penal Español, se impondrá una pena de multa de 3 a 12 meses, al que cometiera una defraudación de las telecomunicaciones por un valor superior a los 400 EUROS, por lo que es muy conveniente disponer de un Access Point propio con el que hacer pruebas de penetración WiFi, de este modo lo podremos configurar con el nivel la seguridad deseado, y no molestaremos a nuestros vecinos dejándolos sin velocidad de conexión.
Como desconectar y levantar una red en Linux Escrito por Hck4Dmms
Publicado el 17 Enero 2014 En el mini tutorial de hoy, voy a comentar dos simples comandos que nos permitirán conectar y desconectar nuestra interfaz de red en Linux, lo cual nos servirá por si tenemos que realizar cualquier tipo de modificación de red, en la que la conexión deba estar offline.
ifconfig wlan1 down: nos permitirá desconectar nuestra conexión, dónde wlan1 es el nombre de nuestra interfaz, el cual deberemos cambiar por el que corresponda.
ifconfig wlan1 up: sirve para levantar de nuevo nuestra conexión de red.
Si no sabes cual es el nombre de la interfaz de red que estas utilizando, podrás utilizar el comando "airmon-ng" para averiguarlo.
Averiguar la contraseña de Administración de un Router Escrito por Hck4Dmms Publicado el 16 Enero 2014 Normalmente todos los router que tenemos instalados en nuestras casas, disponen de un portal web desde el cual se puede acceder a las tareas de administración del mismo, como por ejemplo, asignar una nueva IP, cambiar el nombre de la red WiFi o establecer un tipo distinto de cifrado o contraseña. Habitualmente para poder acceder a este portal debemos ingresar la dirección IP del router (por ejemplo 192.168.1.1) en nuestro navegador, momento en el cual se nos solicitará un usuario y contraseña para acceder a la zona de configuración (habitualmente admin - admin). En caso de que hubiéramos cambiado esta contraseña por defecto y no recordemos la nueva, la única opción que tenemos para poder acceder al router es mediante el botón de reset que restablecerá todos los parámetros a fábrica. Sin embargo existe otro método, mediante el cual podremos averiguar cual es la contraseña de administración del router, simplemente estableciendo una conexión con el mismo.
Una vez mas, vamos a utilizaremos nuestro fiel dragón Kali-Linux, mas concretamente la herramienta xHydra, que podrás encontrar en la sección de ataques sin conexión de nuestro Kali.
En la primera pantalla de xHydra debemos establecer la dirección IP de nuestro router en el apartado Single Target, es decir la dirección IP que al introducirla en el navegador nos permite acceder a la zona de configuración, si no sabes cual es esta IP, en un entorno Windows puedes escribir en la consola "ipconfig/all" o en Linux "ifconfig".
ventana principal de xHydra
En el apartado Protocol seleccionaremos la opción http-get
Entramos en la pestaña Passwords, en la que podremos decidir entre utilizar un usuario y contraseña dado, o utilizar un diccionario de claves, si por ejemplo sabemos que el usuario es "admin" es una perdida de tiempo utilizar un diccionario, ya que podremos introducir directamente la palabra "admin", como lo que no sabemos es la contraseña, si deberemos utilizar un diccionario de claves para esta, el cual podrás bajar de internet o crearlo tu mismo así. Tan solo con indicar a xHydra dónde esta guardado el diccionario sera suficiente.
pestaña contraseñas en xHydra
Vamos a la pestaña Start y pulsamos sobre el botón Start, esperando a que xHydra averigüe cual es la contraseña, en este caso como se puede observar en la imagen hemos obtenido el usuario y contraseña del router (user: 1234; pass 1234)
pestaña en dónde se muestra la contraseña
Como has podido comprobar es relativamente sencillo averiguar cual es la contraseña de administración del router, por lo que a partir de ahora no solo deberás tener en cuenta el tipo de cifrado y contraseña de tu conexión Wi-Fi, si no que, es conveniente que al menos modifiques la contraseña de administración que el router trae por defecto. Como ya he explicado anteriormente en este articulo, es importante que esta contraseña sea lo suficientemente larga y compleja, ya que de este modo será menos vulnerable a un ataque por fuerza bruta, por ejemplo para averiguar por fuerza bruta la contraseña 546321789BCA es preciso utilizar un diccionario de casi un TB de tamaño, sin embargo para una contraseña tipo 1234 con un diccionario de 7MB es suficiente para romperla.
Crear un diccionario de contraseñas con Crunch Escrito por Hck4Dmms Publicado el 14 Enero 2014 De todos es bien sabido que en una contraseña endeble (123456) es mas fácil de romper que una robusta (sSe%&455·%¡&dfj), al menos utilizando la fuerza bruta, por eso es siempre recomendable que utilices una contraseña alfanumérica con algún carácter especial, como puede ser una @ o $, pero esto de las contraseñas alfanuméricas no es un mero capricho de muchos servicios de registro online, si no que de este modo se obliga al usuario a utilizar contraseñas seguras. A continuación voy
explicar como es de fácil crear un diccionario con miles de contraseñas para ejecutar un ataque de fuerza bruta.
interface de crunch
En nuestra distribución favorita de pentesting, Kali Linux, podemos encontrar en el menú de contraseñas, ataques sin conexión, un programa llamado Crunch, si como las famosas chocolatinas de Nestle, que nos permitirá crear todo tipo de diccionarios de contraseñas con miles de combinaciones. La configuración de este programa es muy sencilla, solamente deberemos escribir en la consola: crunch (tamaño mínimo de la cadena de caracteres) (tamaño máximo de la cadena de caracteres) (tipo de caracteres) (opciones), donde las opciones son las siguientes:
-b: bytes mas del archivo del diccionario, especialmente importante para diccionario de gran tamaño, ya que fácilmente puede alcanzar ciento de Gb.
-i: invierte la secuencia de salida, derecha-izquierda-derecha.
-o: especifica la ruta y el nombre de salida del fichero.
También se puede indicar los tipos de caracteres con las variables @ (minúsculas) %(mayusculas) ^(caracteres especiales) Un ejemplo para crear un diccionario de números con todas las combinaciones posibles desde el 000 al 99999, seria el siguiente: "crunch 3 5 0123456789 -o /root/desktop/diccionario.txt" Con el comando anterior se creara un fichero similar a esta imagen:
segmento del diccionario
Como has podido comprobar es realmente fácil crear un diccionario con miles de claves secuenciales para ser utilizadas en un ataque de fuerza bruta, por eso es muy importante que utilices claves largas y sobre todo que no contengan palabras o nombres que se puedan encontrar en algún diccionario, ya que serían las primeras en caer. Cuanto mas larga sea la clave, aunque simplemente contenga números, mas complicado sera de averiguar, por ejemplo, para encontrar un diccionario que contenga la clave aleatoria 8529630147 se necesita un diccionario de aproximadamente 200Gb de tamaño!.
Averiguar la contraseña de un usuario de Windows Escrito por Hck4Dmms Publicado el 12 Enero 2014 Son muchas las personas que creen, que al disponer de una contraseña de inicio de sesión para Windows nadie más podrá encender su ordenador sin su permiso, pero nada mas lejos de la realidad, ya que desde hace varios años existen infinidad de métodos para romper la seguridad de las claves de usuario de Windows, las cuales están alojadas en el conocido SAM file. Voy explicar como averiguar una contraseña de Windows en menos de 8 segundos.
Existen dos grandes métodos para poder averiguar la contraseña de inicio de sesión en un sistema Windows, uno es el método que voy explicar ahora, para el cual es necesario disponer de la distribución Kalil Linux o tambien mediante un Ophcrack booteable desde LiveCD, en este caso en concreto voy utilizar la versión de Ophcrack que nos ofrece Kali Linux. Otro método seria utilizar el programa CHNTPW (también disponible en Kali Linux), pero este último solamente nos permite cambiar o eliminar la contraseña de Windows, no averiguarla.
Lo primero que tendremos que hacer para poder descifrar una contraseña de Windows, es iniciar el programa Ophcrack desde Kali Linux, lo podrás encontrar en la sección de ataques a contraseñas sin conexión.
Una vez iniciado, pulsando en el botón "Load" y luego "Encrypted SAM", se podrá cargar el SAM file de Windows, normalmente estará en la ruta Windows/System32/config/RegBack.
Para averiguar la contraseña, tendrás que disponer de una tabla Rainbow, las cual la podrás descargar desde aquí. Existen muchos tipos de tablas, por lo que es necesario elegir una adecuada, ya que las hay desde unos pocos MB hasta casi medio TB.
Cuando ya tengas la tabla correctamente instalada, simplemente será necesario pulsar sobre el botón "Crack" y aparecerá la contraseña de los usuarios disponibles, como se muestra a continuación.
Interface de Ophcrack
Como has podido comprobar es muy fácil corromper la seguridad de un sistema Windows, es por lo te recomiendo que nunca bajes la guardia en la custodia física de tu ordenador, ya que aunque este tenga contraseña, cualquier persona que pueda tener acceso físico al mismo, la podría averiguar y así iniciar sesión con tu usuario, por no decir, que también se puede extraer el disco duro o montarlo en una distribución LiveCD y asi ver todos los archivos de tu PC.
Protege tu Red WiFi con "El Cazador Cazado" Escrito por Hck4Dmms Publicado el 31 Diciembre 2013
Hoy voy explicar cómo puedes proteger tu red WiFi domestica de una forma muy sencilla, se trata de un método más ofensivo que defensivo, ya que el objetivo que se pretende lograr con este procedimiento es asustar a quien se conecte sin autorización a una red WiFi ajena, por ejemplo al cansino de tu vecino que sin tener muchos conocimientos informáticos siempre te está robando tu conexión WiFi.
Para ejecutar este ataque (si podemos llamarlo así), solamente necesitaremos la distribución GNU/Linux, WifiSlax, que podremos utilizar desde un LiveCD sin la necesidad de instalar ningún tipo de programa en nuestro ordenador, para ello vamos utilizar el script “Cazador Cazado” de WifiSlax, el cual podremos encontrar en el menú: K --> WifiSlax --> Redes --> Cazador Cazado.
Interface principal del script Cazador Cazado
Una vez ejecutamos el script del Cazador Cazado, se nos abrirá una terminal en la que nos explica un poco como funciona el programa, y nos da cuatro opciones, que son las siguientes:
Opción 1: Continuar, si escribimos el número 1 y pulsamos Intro, se ejecutará automáticamente el ataque por defecto que esta pre-configurado, esto es, levantar un servidor utilizando el puerto 80 de nuestra maquina, en el que se colgará un index.html (el cual podremos editar a nuestro gusto), envenenará la caché ARP, y falseará los resultados DNS, todo esto de forma automática, sin que el usuario tenga que hace nada más.
Opción 2: Editar el index.html, por defecto este script lo que hace es obligar a TODOS los usuarios de la red a conectarse al servidor que nosotros hemos levantados a través del puerto 80, impidiendo de esta manera que se puedan concertar a internet, es decir, si el usuario escribe por ejemplo www.google.es en su barra de direcciones, el script automáticamente le redirigirá a nuestro servidor cargando el index.html por defecto. Pues bien con la segunda opción de Cazador Cazado, podemos editar el index.html para obligar al intruso que vea lo que nosotros queramos que vea, por defecto aparecerá una pantalla en negro con letras rojas que pone “TE ESTOY VIGILANDO, NO ME ROBES EL WIFI”, al tratarse de una página web en .html podremos modificar este fichero para que muestre otro texto, cambie el formato o incluso añadir imágenes o vídeos.
Editor del index.html
Opción 3: Visualizar index.html, simplemente nos muestra como quedaría nuestro index.html modificado.
Script ejecutándose en el lado del atacante
Captura del navegador web del intruso (en este caso un teléfono móvil)
Opción 0: Salir, para abandonar el programa en caso de que ya comenzara el ataque, simplemente pulsando la techa Intro se detiene automáticamente y vuelve toda la configuración, ARP, DNS a la normalidad.
Como pudisteis comprobar se trata de un procedimiento muy sencillo, pero muy potente, ya que permite tomar el control absoluto de una red WiFi, en apenas dos clics de ratón, pero… ¿Qué ocurriría si vamos a un cafetería con WiFi gratis y ejecutamos este tipo de ataques?, por otra parte este tipo de script también se puede lanzar a través de una red de cable ¿Y si lo ejecutamos en una LAN?, seguro que ya os imagináis las respuestas a las preguntas anteriores, por lo que es muy importante tener cierta precaución a la hora de conectarnos a una red desconocida o de que alguien se conecte a nuestra red.
Detecta un programa espía con Netstat Escrito por Hck4Dmms Publicado el 15 Diciembre 2013
Numerosos estudios llevados a cabo por diversas empresas del sector han podido determinar que 2 de cada 3 ordenadores están infectados con algún tipo de programa espía, esto no deja de ser una simple estadística, pero se trata de un dato que hay tener muy en cuenta ya que es muy posible que aunque tu no lo sepas, tu propio ordenador podría tener un programa espía que estaría enviando toda la información guardada en tus discos duros (fotos, vídeos, documentos...) a una tercera persona, en este caso tener un antivirus no te protegerá, por lo que necesitas disponer de mas medidas de seguridad, entre estas medidas se pueden encontrar el uso de un firewall, no utilizar la cuenta de administrador en todo momento o disponer siempre de la ultimas actualizaciones de seguridad instaladas en tu sistema. Hoy voy hablar de la herramienta "netstat" que nos permitirá poder averiguar si nuestro ordenador esta siendo controlado de forma remota.
Netstat en es un herramienta que se puede utilizar en diversos sistemas operativos a través de la linea de comandos, la cual nos muestra un listado con todas las conexiones activas y terminadas de nuestro ordenador, lo que nos permite poder averiguar si existe alguna conexiones al exterior no deseada.
Existen varias maneras de ejecutar Netstat bajo un sistema Windows, en primer lugar tendremos que abrir la consola de comandos, por ejemplo pulsando la combinación de teclas "Win" + "R", para luego escribir "cmd", Cuando se inicie la consola de comandos, iniciaremos la herramienta "netstat" para comenzar a analizar el listado de conexiones que se establecen desde nuestro ordenador.
Esta herramienta se puede configurar para que se adapte a lo que nosotros buscamos, como por ejemplo:
"netstat -n": podremos ver los puertos y las maquinas con números y no en forma de texto "netstat 10": forzaremos a la herramienta para que monitorice las conexiones durante por ejemplo 10 segundos "netstat -a": muestra todas las conexiones y puertos abiertos "netstat -o": al lado de cada conexión muestra el PID del proceso que esta utilizando esta conexión, el PID es el número de identificación único de ese proceso, por lo que si en una nueva ventana de comandos ejecutamos la herramienta "tasklist", podremos averiguar a que aplicación corresponde ese PID, y si añadimos la orden "/v" a "tasklist" veremos toda la información detallada de cada proceso. "netstat -b": nos mostraría a la lado de la conexión el proceso que la esta utilizando, para utilizar este comando es necesario abrir consola de comandos como administrador "netstat -e":muestras las estadísticas de la conexión
Lógicamente se puede combinar varias configuraciones para que la herramienta muestra la información que buscamos, yo suelo utilizar la secuencia "netstat -n -o 20" Una vez ejecutemos el comando anterior la herramienta netstat comenzará a monitorizar todas las conexiones de red que ha establecido nuestro equipo, lo ideal es utilizar esta herramienta con todas las aplicaciones que puedan utilizar Internet cerradas, como por ejemplo el navegador web, un notificador de correo, programas de descarga... ya que si no, aparecerá una lista de conexiones inmensa que nos dificultará sobremanera el trabajo de identificar alguna conexiones fraudulenta. En la imagen siguiente se puede ver un ejemplo de la información que nos ofrece el comando netstat con la configuración de "-n" y "-o". En la primera columna muestra el protocolo (TCP, UDP...), en la segunda columna muestra la dirección IP local, es decir la de nuestra máquina o nuestro router, en
la tercera columna muestra la dirección IP remota, es decir la dirección del servidor al que se conecta nuestro ordenador, si aqui vemos una dirección extraña, seria un indicador de que nuestro ordenador estafa infectado con algún tipo de software espía, en un principio si ejecutamos este comando con todas las aplicaciones que utilicen internet cerradas no debería aparecer ninguna conexión (aquí aparecen ya que yo tenía el navegador abierto).
En la cuarta columna se muestra el estado de la conexión, que pueden ser los siguientes:
ESTABLISHED: Existe una conexión abierta SYN_SENT: Se esta intentado iniciar una conexión SYN_RECV: Se ha recibido una conexión de la red FIN_WAIT1: Se esta finalizando la conexión actual FIN_WAIT2: La conexión ya se ha finalizado pero el socket esta esperando a que la conexión remota finalice también TIME_WAIT: El socket está esperando después de cerrarse que concluyan los paquetes que siguen en la red CLOSED: El socket no está siendo usado CLOSE_WAIT: La conexión remota ha finalizado, y el socket se esta cerrando LAST_ACK: La conexión remota ha finalizado, y se espera que se cierre el socket. Esperando el acknowledgement. LISTEN: El socket está esperando posibles conexiones entrantes CLOSING: Ambos sockets han finalizado pero aún no fueron enviados todos los datos UNKNOWN: El estado del socket no se conoce
DELETE_TCB: Se está eliminando el búfer del control de transmisión (TCB) para la conexión TCP.
Ya en la última columna se muestra el PID (identificador) de la conexión, utilizando el comando "tasklist", podremos averiguar a que aplicación corresponde cada conexión, por ejemplo como se comprobar en la siguiente imagen, la conexión con PID 4960, corresponde a la aplicación chrome.exe (el navegador de Google)
Ahora se trata de ir analizando conexión por conexión y así comprobar si se trata de una aplicación legitima o no, de este modo podrás saber si tienes algún tipo de spyware instalado en tu pc.
Convierte tu viejo Router en un flamante Access Point Escrito por Hck4Dmms Publicado el 01 Diciembre 2013
En mi caso ya son varios los routers que tengo cogiendo polvo en el trastero, normalmente si nos cambiamos de compañía telefónica nos quedaremos con el router de la compañía que hemos dejado, por lo que en un par de años podremos poseer una preciosa colección de routeres de todo tipo a la que no le sacaremos utilidad. Lo que muchas personas no saben es que un router puede hacer mas funciones que a las que nos tiene acostumbrados, por ejemplo si lo conectamos simplemente a la red eléctrica tendremos un "switch", que podremos utilizar para aumentar el número de puertos RJ45 de nuestro router principal. En este caso voy a explicar como configurar un Router Wifi para convertirlo en un Access Point o AP, esto es un dispositivo que mediante una conexión a una toma de red (Ethernet) es capaz de crear un punto de acceso WiFi al que nos podemos conectar para navegar sin la necesidad de cables, con este tutorial podremos ahorrar los cerca de 40 EUROS que cuesta un Access Point utilizando para ello nuestro viejo router. En mi caso en concreto lo voy utilizar como maqueta para realizar auditorias WiFi y así no tocar al router principal que me esta dando servicio de Internet.
Router wifi reutilizado
· En primer lugar resetearemos nuestro router wifi, tan solo tendremos que pulsar durante 15 segundos el botón que nuestro router trae a tal efecto. · Conectamos el router mediante un cable de red a nuestro ordenador y entramos en la dirección IP "192.168.1.1" desde nuestro navegador, si nos solicita un usuario y contraseña, normalmente en los dos campos deberemos insertar el usuario por defecto "1234" y la contraseña "1234" (contraseña difícil eh). · Entramos en el apartado de WAN y eliminamos todas las configuraciones que puedan existir, ya que utilizaremos las del router principal.
Configuración de WAN
· En el apartado LAN simplemente cambiamos la dirección por defecto "192.168.1.1" por otra del mismo rango, como por ejemplo "192.168.1.60", de este modo evitaremos crear conflictos entre el router principal y nuestro nuevo Access Point, también desactivaremos el DHCP.
Configuración de LAN
· Activamos el "Default Gateway", para que se conecte sin problemas al router principal.
Configuración de Gateway
· Por ultimo entramos a la configuración de la seguridad de WiFi y establecemos los parámetros de seguridad y conexión que deseemos. Ya tendremos nuestro Access Point configurado, pero recordar que no es lo mismo que un Range Extender, ya que este último simplemente se limita a extender la cobertura de un Access Point.
Es conveniente recordar que según el articulo 255 del Código Penal Español, se impondrá una pena de multa de 3 a 12 meses, al que cometiera una defraudación de las telecomunicaciones por un valor superior a los 400 EUROS, por lo que es muy conveniente disponer de un Access Point propio con el que hacer pruebas de penetración WiFi, de este modo lo podremos configurar con el nivel la seguridad deseado, y no molestaremos a nuestros vecinos dejándolos sin velocidad de conexión.
Extraer contraseñas guardadas en un Navegador Escrito por Hck4Dmms Publicado el 30 Noviembre 2013
Hoy en día existen muchos métodos para poder obtener las contraseñas almacenadas en un ordenador personal, pero en esta ocasión voy explicar las dos formas mas sencillas que existen para obtener las contraseñas almacenadas en un navegador web, este método lo he probando en Internet Explorer, Mozilla Firefox y Google Chrome, aunque seguramente funcione con otros navegadores.
PRIMER MÉTODO "Inspeccionar Elemento": Se puede utilizar cuando tenemos acceso a una contraseña, pero esta se muestra en forma de asteriscos, como se puede ver a continuación:
Contraseña oculta por asteriscos
En este caso, simplemente pulsaremos con el botón derechos encima de los asteriscos y en el menú que aparece seleccionamos "Inspeccionar Elemento"
Menú del Google Chrome
En la parte inferior de la pantalla aparecerá una serie de información de la página web que estamos visitando, en este caso Facebook, tan solo tendremos que pulsar sobre el campo "type" y modificar el parámetro "password" por el parámetro "text".
Tipo: password
Tipo: Texto
Ahora la contraseña se muestra como un texto más, pudiendo copiarla y utilizarla en otra página web, también es un buen método para recuperar nuestra contraseña si nos hemos olvidado de ella.
Contraseña sin asteriscos
SEGUNDO MÉTODO "Extractor de Contraseña": La compañía NirSoft ha desarrollado un software capaz de extraer todos los nombre de usuario y contraseñas que los distintos navegadores web van almacenando día a día. Tan solo tendremos que descargar la aplicación Web Browser Pass View y descomprimirla en la carpeta que seleccionemos.
Ficheros extraídos
Al ejecutar el fichero WebBrowserPassView.exe, automáticamente se abrirá una ventana en la que nos mostrara todos los nombres de usuario y contraseñas almacenados
Pantalla dónde se muestra los resultados
Como podéis comprobar es muy sencillo poder recuperar las contraseñas almacenadas en un navegador, por eso es muy importante tratar de no utilizar la opción "Guardar Contraseña", que nos ofrecen muchos navegadores web, y mas si el ordenador que estamos utilizando no lo usamos nosotros solos, ya que aunque finalicemos sesión correctamente, nuestra contraseña quedará guardada en el navegador web para los siglos de los siglos. En caso de que por costumbre hayamos pulsado sobre el botón "Guardar Contraseña", de un ordenador público, deberemos entrar en las opciones de "Eliminar Datos de Navegación" de nuestro navegador y pulsar sobre "Eliminar todas las contraseñas almacenadas", de este modo podremos evitar sufrir un robo de identidad en nuestra redes sociales.
Recupera el control de tu cuenta de Correo Secuestrada Escrito por Hck4Dmms Publicado el 27 Noviembre 2013
En los últimos días hemos detectado un fuerte incremento en el número de cuentas de correo electrónico que habían sido secuestradas, esto es, que una persona no autorizada accede a la cuenta de correo en cuestión, cambie la contraseña de acceso para tomar el control de la misma. Normalmente una vez que los delincuentes tienen el control sobre la cuenta, comienzan a enviar correos electrónicos a todos los contactos que la victima tiene en su libreta de direcciones, haciéndose pasar por el titular legitimo de la cuenta, para pedir dinero en su nombre, en casi todos los casos, aludiendo a un problema que supuestamente tiene la propia victima, como por ejemplo que se encuentra en un aeropuerto de Reino Unido sin maletas y cartera por que le han robado, que le han detectado una grave enfermedad y necesita dinero para curarse, o cualquier otra estratagema que le pueda resultar ventajosa. Como el titular de la cuenta pierde el acceso a la misma, no se va a dar cuenta de todo lo que esta ocurriendo hasta que alguno de sus amigos o contactos se lo notifique por otro medio, normalmente telefónico. De momento no hay ningún tipo de confirmación sobre la relación entre el ataque informático que sufrió Adobe el pasado 3 de Octubre en el que robaron cerca de 30 millones de cuentas de usuario de esta empresa, con el incremento en el número de cuentas de
correo electrónico secuestradas. Como curiosidad decir que la mayoría de las cuentas secuestradas, lo han sido desde conexiones establecidas a través de direcciones IP pertenecientes a ISP de Brasil, Nigeria, Francia y Reino Unido.
logotipo de gmail modificado
La verdad que hoy en día existen infinidad de métodos para lograr averiguar cual es la contraseña secreta de una cuenta de correo electrónico, desde ataques a bases de datos, hasta keyloggers pasando por un phising. Estos son los métodos mas empleados para lograr obtener una contraseña válida para acceder a un correo electrónico: · Ataques a Bases de Datos: consiste en atacar y robar la información almacenada en la base de datos dónde se guarda la información de todos los usuarios tales como "nombre usuario", "contraseña" y "dirección de correo" de una página web, al lograr tener acceso a esta información confidencial, es tan sencillo como coger la dirección de correo electrónico del usuario y la contraseña que utilizó en la página web afectada e intentar iniciar sesión en su cuenta de correo, ya que con el dominio de la dirección sabemos a que compañía de correo corresponde, como la gran mayoría de usuarios de Internet, utilizan la misma contraseña para varias páginas web y foros, existe una alta probabilidad de que la contraseña robada de la página web "X" sirva para iniciar sesión en la página web "Y". Una vez el atacante tenga acceso al correo electrónico, simplemente buscará en los mensajes recibidos, los corres de otras páginas web que el usuario también utilice, ejemplo: Del ataque a la base de datos robaron información de usuario de la página "X", que utilizaron para iniciar sesión en la cuenta de correo "Y", como en la cuenta de correo "Y", estaba configurada para ser utilizada para la recuperación de la contraseña de otras páginas web "C", "K" y "Z", el atacante entrará en estas nuevas páginas web con el usuario localizado en el correo electronico que "C", "K" y "Z" envió a "Y" cuando registró su cuenta, y de esta manera mediata la opción de recuperación de contraseña de "C", "K" y "Z" que esta vinculada a "Y" (la cual esta bajo nuestro control) tendremos el control de "X", "Y", "C", "K" y "Z", sin que la victima apenas se entere. ·Aplicaciones Online Maliciosas: Existe un gran número de aplicaciones online maliciosas, del tipo "Averiguar quien te bloqueo el Messenger", "Averigua quien visita tu Facebook", que la única utilidad que tienen es averiguar tu dirección de correo electrónico y contraseña de acceso al mismo, para posteriormente secuestrarte la cuenta de correo, en algunos casos para no levantar sospechas del usuario, estas aplicaciones muestran los supuestos resultados que el usuario buscaba, como por ejemplo averiguar quien ha visitado una cuenta de Facebook, lo que ocurre que esta información es falsa. · Sesiones no Finalizadas o Stealers: Si iniciamos sesión en un ordenador que no lo utilizamos nosotros solos, es muy importante que nunca activemos la opción de recordar contraseña que nos
ofrece el navegador, ya que simplemente entrando en la "Configuración" del navegador no solo Iniciaremos Sesión en la página web, si no que también se puede averiguar cual es la contraseña que el usuario ha insertado. También con una conocida herramienta de la compañía Nirsoft, es muy sencillo "sacar" todas las contraseñas almacenadas en el sistema, cuanto mas, si la sesión no ha sido finalizada correctamente. · Sniffers: Utilizando herramientas de motorización de redes WiFi, como puede ser Wireshark, se puede obtener todo tipo de información del resto de usuarios que están conectados a la misma red WiFi, como puede ser el caso de cafeterías, aeropuertos, centros comerciales... que disponen de redes WiFi abiertas, a las que cualquier usuario se puede conectar y así analizar todo el tráfico del resto de usuarios de la red. · Keyloggers: Este tipo de programas permiten registrar todas las pulsaciones del teclado de un ordenador infectado para luego enviar esta información a un servidor remoto, por lo que si la victima escribe
[email protected] 54%·$·444PassWr, no seria dificil llegar a la conclusión que la contraseña de la cuenta "
[email protected]" es "54%·$·444PassWr". · Ingeniería Social: Muchas veces la contraseña de acceso de un usuario a una determinada página es muy robusta, por lo que imposibilita en gran medida poder sacarla por fuerza bruta, pero... ¿Y que ocurre con la pregunta de seguridad?, de poco vale que tengamos una contraseña de 40 caracteres, si luego la pregunta de seguridad es ¿De que color es mi gatito?, cuando en nuestro perfil de Facebook, tenemos doscientas cincuenta y cuatro fotografías de un gato marrón.
Para evitar el secuestro de un correo electrónico, o cualquier otro tipo de cuenta online, es conveniente seguir estas recomendaciones de seguridad, ya que si las cumples, reducirás ampliamente la posibilidad de sufrir un incidente de este tipo. · No utilizar la misma contraseña en mas de una página web, ya que si logran obtener tu usuario y contraseña de la base de datos de una web, la podrán utilizar en otros a ver si funciona, y mas si entre los datos robados se encuentra tu dirección de correo electrónico. · Introducir caracteres especiales en tus contraseñas, como por ejemplo $%&¿, así reducirás la posibilidad de que las puedan averiguar por fuerza bruta. · Disponer siempre de por lo menos dos métodos de recuperación de contraseña distinto, como pueden ser un número de teléfono móvil al que enviar un SMS de confirmación, o una dirección de correo electrónico alternativa. · Tener mucha precaución a la hora de introducir tus contraseñas en sitios web que no inspiren confianza. · Cerrar la sesión siempre que nos alejemos del ordenador y nunca marcar la opción de "Guardar Contraseña" que nos ofrecen muchos navegadores, si el ordenador lo utiliza mas de una persona. · Tratar de conectarte siempre a través del protocolo https y no http.
Pero... ¿Y si ya me han secuestrado mi cuenta de correo electrónico? ¿Que hago ahora?, lo primero lógicamente es tratar de recuperarla, y una vez que la recuperes, no menos importante es evitar que te vuelva ocurrido, por lo que has de eliminar inmediatamente la dirección de correo electrónico de recuperación, la cual seguramente habrán introducido los secuestradores para continuar teniendo el control de la cuenta aunque tu supuestamente la hubieras recuperado. Pasos para recuperar una cuenta de correo electrónico secuestrada. 1.) Pulsamos sobre la opción de "¿Necesitas Ayuda?"
3.) Seleccionamos la opción de "He olvidado mi contraseña"
3.) Seleccionamos la opción de "No la recuerdo", refiriéndose a la contraseña anterior, en caso de recordarla la podemos poner, pero vamos tardar un poco mas en recuperar el acceso.
4.) Si tenemos un número de teléfono asociado, podemos recuperar la contraseña mediante un mensaje de SMS que Google envía a nuestro teléfono, en este caso aparecerán los últimos dos número del teléfono asociado, en caso contrario podemos seleccionar la opción de la cuenta de recuperación.
5.) Simplemente hay que introducir el número de seguridad que nos envía Google por SMS en la campo requerido.
6.) Hemos recuperado nuestra cuenta!
Ahora viene la parte mas importante del proceso de recuperación, ya que si no realizamos estos pasos, en pocos minutos el secuestrador recuperará el control de nuestra cuenta o lo que es peor, podrá leer todos los correos electrónicos que envíes aprovechándose de la opción de reenvío de correos que ofrece nuestro servicio de correo. Opciones de configuración que muy pocas personas conocen, y son realmente peligrosas si no están correctamente configuradas.
1.) Entramos en las opciones de "Configuración" de nuestro correo.
2.) En la pestaña "Opciones de recuperación de cuenta", tenemos que comprobar que el número de teléfono móvil y la dirección de correo electrónico de recuperación, se corresponde con la nuestra, lo habitual es que el secuestrador haya introducido una cuenta de correo electrónico de su pertenecía, por lo que la deberemos eliminar, en caso de que exista un número de teléfono extraño también lo eliminaremos, aunque no suele ser nada habitual que los secuestradores utilicen este sistema. Indicar que si tienes intención de denunciar estos hechos ante la Policía, es muy recomendable que antes de eliminar la cuenta de correo del secuestrador, la apuntes o le saques una fotografía, para así poder aportarla a la hora de denunciar.
3.) También es muy habitual que el secuestrador active la opción de "Reenvió de correo", para que en caso de que logres recuperar el acceso a la cuenta, el pueda seguir viendo todos tus correos electrónicos, en este caso con eliminar la cuenta de correo electrónico fraudulenta es suficiente, normalmente es la misma que la de recuperación.
Ahora que ya vuelves tener el control absoluto de tu cuenta de correo electrónico, recuerda seguir los consejos de seguridad anteriormente indicados.
Leer las conversaciones cifradas de Whatsapp Escrito por Hck4Dmms Publicado el 25 Noviembre 2013
Como ya dije en artículos anteriores Whatsapp es una aplicación móvil que hoy en día utilizan millones de personas en todo el mundo, y por consiguiente nunca esta de más saber como realmente funciona. Hoy voy explicar como poder descifrar los archivos "msgstore-XXXX-XX-XX.db.crypt" para poder leerlos. Estos ficheros cifrados los guarda cada cierto tiempo y de forma automática el propio Whatsapp en la carpeta "Whatsapp\Databases" en Android y en "net.whatsapp.whatsapp/documents/chatstorage.sqlite" para iPhone, almacenando el contenido de todas la conversación que mantenemos a diario con esta aplicación.
logotipo Whatsapp
Lo primero que tenemos que hacer es abrir el archivo de BackUp en nuestro móvil, para ello tan solo lo conectamos mediante un cable USB y accedemos a la ruta "Whatsapp\Databases", en dónde encontraremos una serie de archivos llamados "msgstore-XXXX-XX-XX.db.crypt". Cada uno de estos ficheros están renombrados con la fecha de creación, por lo que tan solo tendrás que abrir el archivo de la fecha deseada. En caso de acceder a esta carpeta y no encontrar ninguno de estos archivos, tendrás que forzar la creación de los mismos, esto se hace desde el menú "Configuración de Chat --> Copia de Seguridad" del propio Whatsapp. Ahora tendrás que descargar Pyhton (Active Python) y su correspondiente Biblioteca (PyCrypto) para poder ejecutar el script (Whatsaap Xtract) para que sea capaz de abrir la conversación. En función de si tu Sistema Operativo es de 32 o 64 bits, deberás instalar el que te corresponda: · Active Python (Windows 32 bits) · Active Python (Windows 64 bits) Según la versión de Active Python que descargaste, ahora tienes que seleccionar la Biblioteca que le corresponda, por ejemplo: si descargaste "Active Phiton de 64 bits versión 2.7.5.6", ahora deberás seleccionar "PyCrypto 2.6 for Python 2.7-64bits" · PyCrypto Ahora tendrás que descargar el script "Whatsapp Xtractor" de ztedd y Fabio Sangiacomo y descomprimirlo dentro de la carpeta que prefieras:
· Whatsapp Xtractor
El último paso es el mas sencillo, tan solo tienes que arrastra el archivo "msgstore-XXXX-XXXX.db.crypt" que estaba en tu teléfono móvil, encima del fichero "whatsapp_xtract_drag'n'drop_database(s)_here.bat" que encontraras dentro de la carpeta en la que descomprimiste el Whatsapp Xtractor. Automáticamente se va abrir una ventana en tu navegador web mostrando el contenido de todas las conversaciones contenidas en el fichero .crypt.
Conversaciones descifradas de Whatsapp (borrosas por privacidad)
Aunque para poder descifrar y leer las conversaciones privadas de Whatsapp almacenadas en la memoria del nuestro teléfono móvil, ya sea interna o MicroSD, es necesario en un principio tener acceso físico al teléfono, no es tan complicado conseguir esto último. ¿Que pasaría si en un aeropuerto, centro comercial o parque público... instalo un stand para cargar la bateria de teléfonos móviles totalmente gratis?, posiblemente muchas personas cargarían la bateria de su teléfono en ese lugar, pero... ¿Y si no se trata de un simple cargador USB, si no que realmente dentro del cargador hay un ordenador que cada vez que alguien conecta su teléfono descargue toda los documentos al ordenador?, Ya no es un posibilidad tan remota ¿no?. Por eso siempre hay que tener cierta precaución con los lugares a los que conectamos nuestro teléfono móvil mediante cable USB. Otra opción de seguridad que ya muchos móviles traen por defecto, es la obligación de aceptar un mensaje emergente para poder conectar el teléfono con un ordenador, en caso contrario el terminal simplemente cargará su batería.
Averiguar la dirección IP de un usuario en Whatsapp Escrito por Hck4Dmms Publicado el 24 Noviembre 2013
En el artículo de hoy y primero de esta web, voy hablar sobre como aprovechar un fallo de seguridad en la versión 2.11.109 de la aplicación Whatsapp que permite averiguar la dirección IP de la persona que deseemos. Hoy en día son millones los usuarios en todo el mundo que utilizan este cliente de mensajería instantánea debido a las múltiples funcionalidades que ofrece respecto a sus competidores. Por regla general los usuarios de Whatsapp no solemos actualizar con la frecuencia debida nuestra aplicación, a pesar de que estas actualizaciones son gratuitas y prácticamente transparentes para el usuario final, esto conlleva un riesgo, ya que al no disponer de la ultima versión
de una aplicación, no estaremos protegidos frente a las vulnerabilidades que se han descubierto y corregido en versiones posteriores. En este caso en concreto, el fallo de seguridad del que hablaré ahora ya esta corregido con la versión 2.11.134, sin embargo seguro que muchos de vosotros todavía seguís utilizando la versión anterior (Whatsapp -> Ajustes -> Acerca de -> Versión).
Lo primero que deberemos hacer para poder aprovechar esta vulnerabilidad de Whatsapp, es subir un archivo .php a nuestro servidor con los siguientes comandos, como podéis ver es un código muy sencillo, tan solo se trata de crear una página web que contenga un meta-dato (og:image) que le indique a cualquier navegador o aplicación que imagen ha de tomar en caso de que se comparta el enlace, este funcionamiento lo vemos a diario en Facebook, cuando publicamos un enlace de una página web, Facebook selecciona una serie de fotografías que considera que pueden representar ese enlace y luego el usuario elige la mejor, en este caso lo que hacemos es indicarle desde un principio que imagen ha de elegir, en este caso, será una imagen llamada "imagen.png" la cual también estará alojada en nuestro servidor web.
Código php subido al servidor
Ahora si compartimos el enlace de esta página .php forzaremos a las distintas aplicaciones para que seleccionen la imagen deseada, hasta aquí todo normal, el problema ocurre cuando el enlace lo compartimos a través de Whatsapp, ya que por defecto lo que hace Whatsapp es conectarse al servidor del enlace y descargar la imagen a nuestro teléfono para mostrarla automáticamente al lado del link, como se indica en la siguiente fotografía, todo esto sin que el usuario halla pulsado en ningún momento sobre el enlace, resultando todo el proceso transparente para el usuario.
Ataque MITM con Ettercap + SSLStrip La entrada de hoy va dedicada a ak!l3s, del blog 1 Gb de información, al cual os recomiendo que os suscribáis porque realmente publica cosas muy interesantes y muy bien explicadas. Espero que le pique el gusanillo con esta entrada y se decida a dar el salto a GNU/Linux :p
Ataques de robos de credenciales hay muchos, e infinidad de aplicaciones para poder llevarlos a cabo. Estoy seguro que más de uno ya tiene experiencia con "Cain & Abel" para Windows o "Evil FOCA" del equipo del gran Chema Alonso. Si no es así os recomiendo que les echéis un vistazo porque la verdad es que son muy interesantes y el uso es quizás más intuitivo que el de la PoC que vamos a hacer hoy. En este gráfico veréis de manera un poco más gráfica qué es exactamente un ataque de MITM, en el cual nos pondremos entre la víctima y el destino para interceptar todo el tráfico:
NOTA: Tened en cuenta que este tipo de prácticas debe realizarse únicamente en vuestra red interna y siempre y cuando tengáis autorización para hacerlo. Pues bien, las herramientas que vamos a utilizar son las siguientes:
Kali Linux
1. Ettercap 2. SSLStrip 3. iptables (para redireccionar el tráfico)
Windows XP SP3
1. arp -a (para comprobar la tabla ARP)
Antes de empezar os haré una pequeña introducción sobre los scripts y programas que vamos a usar, de manera que sea más fácil entender todo el proceso. No debemos ser máquinas que se limitan a picar los comandos en pantalla. Para aprender realmente debemos entender qué está pasando y qué hace cada una de las ordenes que estamos ejecutando por consola.
Ettercap: Esta es la herramienta que utilizaremos para realizar el sniffing de la red, capturando los paquetes que se intercambien los dos equipos entre los cuales nos interpondremos (de ahí el nombre de MITM Man In The Middle, traducido del inglés como Hombre en el medio) SSLStrip: Esta aplicación, desarrollada por Moxie Marlinspike, para explicarlo de una manera clara, elimina la "s" del "https" cuando el usuario accede a las paginas en las cuales va a validarse, de manera que él contenido de los campos no viajará cifrado y podremos capturarlos con Ettercap. iptables: Creo que no hace falta que explique realmente las funciones de iptables, ya que es de sobra conocido y hay multitud de información en la red. Solo decir que en este caso lo usaremos para filtrar todo el tráfico del puerto 80 al puerto de escucha de SSLStrip, de modo que esta aplicación pueda hacer bien su trabajo. arp -a: Esta ordena la ejecutaremos en la consola cmd de Windows para ver la tabla ARP, la cual modificaremos mediante el ataque con Ettercap. Lo primero que vamos a hacer es activar el "IP forwarding" de nuestra tarjeta de red. Esto hará que la máquina a la cual estamos atacando no pierda la conectividad, ya que haremos un reenvío de las peticiones. Podemos hacerlo de diversas maneras, las cuales explico a continuación: Ejecutamos este comando en nuestra shell: sysctl -w net.ipv4.ip_forward=1
O bien hacemos un echo 1 >> /proc/sys/net/ipv4/ip_forward
Ambas cosas tienen el mismo propósito, así que vosotros escogéis el método que más os guste o que os resulte más fácil de recordar. Seguidamente vamos a aplicar el filtro en iptables para redireccionar todo el tráfico del puerto 80 al puerto 1001, que es el puerto en el que pondremos a escuchar a SSLStrip. Esto lo haremos de la siguiente manera:
iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 1001
Traducido a una frase entendible para los mortales:
"En la tabla nat añadimos una regla para que todo el tráfico del protocolo TCP cuyo destino sea el puerto 80 se redirija al puerto 1001"
Podemos comprobar que la regla se ha introducida correctamente haciendo lo siguiente: iptables -L -t nat
Ahora vamos a poner a SSLStrip a la escucha en el puerto 1001, lo cual especificamos con el argumento -l. Con el argumento -f hacemos que cambie el favicon de la página web que visita la víctima, apareciendo en su lugar un icono de un candado para no levantar sospechas.
Dejamos lanzado SSLStrip y abrimos otra terminal, desde la cual empezaremos a usar Ettercap para sniffar el tráfico de la red.
En este caso se trata de un ataque dirigido hacia una IP en concreto de la red, aunque se podría lanzar para toda la red pero cantaría un poco y queremos hacer el menor ruido posible.
Ejecutaremos lo siguiente: ettercap -T -q -i tarjeta_de_red -M arp:remote /IP_VICTIMA/ /IP_ROUTER/
Pues bien, hecho esto ya tenemos lanzado nuestro ataque y ahora únicamente cabe esperar a que la víctima introduzca las credenciales en algún formulario. Voy a representarlo mediante el acceso a una cuenta de Gmail desde el equipo Windows XP que tengo preparado:
Como veis en la captura, SSLStrip ha hecho bien su trabajo y la víctima está haciendo el login en una página no segura. En cuanto la víctima pulse sobre "Iniciar sesión" veremos lo siguiente en el terminal donde tenemos lanzado Ettercap, y en la cual se empezarán a mostrar las credenciales:
En la captura anterior veréis también varios intentos en Facebook y en Hotmail. Para ver el efecto que se genera en Windows XP al lanzar este ataque adjunto capturas de la tabla ARP del equipo, la cual envenenamos con Ettercap para que todo el tráfico pase por nosotros. La primera entrada es la tabla ARP envenada, en la cual vemos que la MAC de 192.168.1.1 y de 192.168.1.35 (el equipo atacante) es la misma. Al cerrar Ettercap se deshace el ataque y la tabla ARP queda con los valores por defecto:
Como veis es bastante sencillo realizar una ataque de este tipo y por supuesto llama muchísimo menos la atención que un ataque de DNS Spoofing o un SCAM, en el cual la víctima puede empezar a sospechar e incluso tirar del hilo para ver quién está atacándole.
