El post que buscas se encuentra eliminado, pero este también te puede interesar

Te Roban o Robas Wi-Fi?, esto te servirá

Anuncios



Que tal taringueros, este Post lo hago totalmente con fines informativos, por si crees que afanar Wi-Fi es lo mas inteligente que has hecho, o por si te estan afanando el Wi-Fi y tenes lag en todos tus juegos Online, acá hay unos tips que te pueden servir para ambos casos, todo esto en pro de la seguridad, se que es un poco largo pero si lo leen completo ya van a tener una mejor vision de lo que puedes hacer o te pueden hacer a la hora de conectarse a un Wi-Fi ajeno, y no solo eso, ya que incluso analizando los datos, se puede perfilar la persona que está conectada a la red, además de que es ralativamente fácil.....



Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi). Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya mandaría yo a los de seguridad.

Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con el nombre de host “Rober1”. En efecto, algún vecino estaba intentando utilizar mi red, y considerando que como poco había tenido que utilizar alguna herramienta para obtener la contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto.

El primer impulso de cualquiera ante una situación así, podría ser el de cambiar el cifrado de la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es el intruso.

Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a un compromiso ineludible, además de desconectar todos mis equipos de la red, y dejarle así todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue poner rápidamente uno de mis equipos con Backtrack5, una antena WiFi y la suite Aircrack, a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener algún dato que me pudiese dar información acerca del vecino para conocer sus intenciones, pues podría pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para la batalla.

Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una captura de tráfico. Una vez cargada la captura, Network Miner identifica todos los hosts presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de chat, credenciales y sesiones si se han capturado, peticiones DNS, parámetros GET.. Además proporciona información interesante sobre los equipos presentes en la captura, que por otra parte podría obtenerse con cualquier otro analizador de tráfico tipo Wireshark, pero facilita bastante la tarea.


Te Roban o Robas Wi-Fi?, esto te servirá

La primera lectura que podía realizar es que se trataba de un equipo con sistema operativo Windows, de nombre “Rober1”, que estaba utilizando mi red para navegar por Internet. Analizando las tramas y las conexiones establecidas, los sitios webs más visitados durante la sesión de navegación, que duró cerca de 20 minutos, eran los siguientes:

http://www.vanitatis.com
http://www.elpais.com/gente
http://devilwearszara.com
http://www.fotoplatino.com


En la siguiente imagen se pueden observar algunas de las imágenes descargadas durante la sesión de navegación:

hacker

Sin querer entrar en un debate y limitándome a relatar en este artículo cuáles fueron mis suposiciones y el proceso mental seguido, mi primera impresión fue que más que tratarse de un hacker, se trataba de o bien una hacker o bien la amiga, novia, madre, hermana o esposa de “Rober1”, pues eran todas páginas de lo que yo considero “marujeo”, orientadas más a un público femenino.

Realizando un análisis más profundo con herramientas como CookieCadger o Wireshark, también di con información exacta del equipo que estaba utilizando para conectarse a Internet, identificando peticiones HTTP, correspondientes a la comprobación de actualizaciones disponibles para un Notebook Asus F50SL:

facil

El siguiente paso consistiría en intentar conseguir más información mediante un ataque man in the middle, para intentar obtener alguna credencial en algún sitio web donde tuviera que identificarse, pero para eso debería de estar en casa esperando justo en el momento en que mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilicé Cain + Wireshark en entorno Windows, y también arpsoof en entorno Linux. Coincidimos un par de veces a la misma hora, pero resultó que en esas ocasiones el único tráfico que generaba mi vecino, era el correspondiente a visualizar vídeos en Youtube de bebés. Esto alimentó aún más mi sospecha de que se tratara de una mujer.

Por supuesto, en aquellas ocasiones en que coincidía conectado a la vez que mi vecino/a, antes de intentar un ataque MITM, me propuse escanear su máquina con nmap, pero los puertos estaban filtrados por el Firewall de Windows.

Seguía sin poder identificar al vecino, pues a pesar de tener acceso al tráfico que generaba, no existía ningún rastro de sitios donde se autenticara con credenciales. Ni correo, ni Facebook, ni nada en un principio. Los días fueron pasando, y cada vez era más difícil coincidir en horarios para realizar un MITM. Entre el trabajo y mi reciente estrenada paternidad, complicado cuadrar con el vecino/a.

Por otra parte, este tipo de ataque, no siempre funcionaba del todo bien, hecho que podía achacar también a la distancia del equipo a mi router, pero no penséis ni por un instante que lo iba a dejar así, ¡qué me estaba hackeando la WiFi!

Paralelamente a estos intentos, siempre mantenía mi equipo capturando tráfico WiFi en modo monitor, y analizaba las capturas, además de las que obtenía con Cain + Wireshark. En estas nuevas capturas, obtuve información interesante para el análisis.

Mi vecino/a se conectaba dos o tres veces al día, alrededor de 15 minutos cada sesión. Las páginas webs más visitadas seguían siendo de marujeo, como las comentadas en los párrafos anteriores, pero además habían accesos a las siguientes páginas:

http://elimperiodelaley.blogspot.com
http://quieroserjuez.blogspot.com
http://vidadeunaopositora.blogspot.com
http://sufridroaenejercicio.blogspot.com
http://quenovoyaserlasecretariadeunjuez.blogspot.com


Wifi

Analizando el nombre de los sitios web, así como el contenido que había en los mismos, me quedó claro que se trataba de una mujer, que estaba estudiando para oposiciones a judicatura. Es decir, que hablamos de una aspirante a juez robando WiFi. ¡Así va este país!. Por otro lado, entre todas estas sesiones de navegación, en las que los sitios webs visitados eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los sitios visitados eran:

http://www.sport.es (Además leía la sección “El balón Rosa” )
http://www.marca.com
http://tenerifedeportivo.com


Estas sesiones, en principio parecía que correspondían más a “Rober1”, leyendo periódicos deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas sesiones, concretamente un domingo, Rober1 consultó también la página de Yelmo Cines, pero al final parece que no se decidió a ir, porque más tarde presuntamente su pareja se volvió a conectar a ver vídeos de bebés, y leer un poco de prensa rosa, supongo que para desconectar de las arduas sesiones de estudio para la oposición.

Por la información de la que disponía hasta el momento, se trataba de una pareja de vecinos que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r con muchos conocimientos. Esto último me quedó más claro, cuando en una de las capturas recogidas escuchando en modo monitor, pude ver accesos a páginas de banca electrónica, algo que alguien con conocimientos de seguridad informática jamás haría desde una WiFi ajena.

inteligente

Afortunadamente para los vecinos, dieron con alguien que no tenía malas intenciones, y en esta ocasión, incluso de haberlas tenido, no podría haber hecho ningún destrozo, ya que al tratarse de tráfico SSL las credenciales no habrían sido capturadas sin romper el cifrado.

En este punto ya tenía claro el perfil de los “atacantes”, así como su nivel de conocimientos, pero aún no los había identificado. Los ataques man in the middle no funcionaban siempre, así que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyano haciendo DNS spooffing con alguna de las direcciones de los sitios webs más visitados. Pero en lugar de eso, decidí implementar un esquema “machine in the middle”, colocando una máquina a modo de router, para asegurar que todo el tráfico que generaban pasaba por la misma.

Para ello, habilité una máquina virtual Backtrack, a modo de puente con dos interfaces de red. Una de ellas conectada a la red en cuestión, 192.186.1.0, y la otra en una nueva red 192.168.2.0, con la dirección IP 192.168.2.1. Además de eso, deshabilité el servidor DCHP del router al que se conectaban los vecinos, y arranqué un servidor DHCP en la máquina virtual, que repartiera direcciones en la nueva red, especificando como puerta de enlace la dirección de esta máquina en la nueva red, la 192.168.2.1. El tráfico generado era redirigido de una interfaz a otra, en aras de poder llevar el tráfico hacia y desde Internet a través del router principal.

Por otra parte, también arranqué la herramienta SSLstrip, redirigiendo el tráfico SSL al puerto 10.000, para poder así interceptar sesiones de autenticación en algún sitio web que permitiese obtener alguna información para identificar a los malhechores. En este script de shell se puede observar la configuración final.

cuidado

Con este nuevo esquema, los vecinos se conectaban a mi router vía WiFi, pero era la nueva máquina puente la que hacía de router para ellos, dándoles una nueva dirección IP en el rango 192.168.2.0 y ofreciéndoles salida a Internet. Bastaba con arrancar tcpdump, dsniff, y visualizar el log de sslstrip para poder controlar todo el tráfico generado por los vecinos.

El esquema no tardó en funcionar. La siguiente vez que se conectaron, todos los paquetes pasaban por la nueva máquina puente, y tras una o dos sesiones de navegación, el log de SSLstrip reveló su dirección de correo electrónico y su cuenta de Facebook:

internet

En este punto había completado mi análisis, y con un poco de Google Hacking a partir de su dirección de correo pude averiguar quiénes eran los vecinos, y confirmar que en efecto, se trataba de una pareja de abogados, ella estudiando para presentarse a una oposición de juez. Podría haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el estilo, pero simplemente me limité a enviarles un correo informándoles de que estaba al corriente de lo que habían hecho, dándoles algunos detalles que les mostraran que efectivamente tenía conocimiento de sus sesiones de navegación, y advertirle de los peligros que corrían realizando este tipo de prácticas.

Me contestaron ofreciendo sus disculpas, comentándome que estaban avergonzados de su comportamiento y que no tenían mucha idea de lo que estaban haciendo, ya que fue “un amigo informático” el que les consiguió la conexión a Internet gratis.

Como ya todos sabemos, es impresionante toda la información que se puede obtener de una persona simplemente echando un vistazo a los sitios que visita en Internet, pero si además resulta que no sólo navega por páginas de información, sino que utiliza servicios de correo electrónico, redes sociales, o banca electrónica desde una conexión “robada”, el destrozo podría ser de dimensiones considerables.

Por motivos de protección de datos se ha sustituido el nombre real del equipo vecino por “Rober1”, pero el host original sigue la misma nomenclatura. Por otro lado quiero deciros que este artículo está hecho por si alguno de los lectores de este blog tiene una pareja de amigos que un día le piden que le robe la WiFi a algún vecino para conectarse gratis a Internet. Tened cuidado que, como decía Chema, la víctima del robo puede que también tenga también un amigo informático y les metas en un verdadero problema a tus amigos.

Anuncios

Comentarios Destacados

@boneville +790
....No te puedo creer que ¡¡¡¡¡ERA TAN FACIL!!!
@Blezzrakget +650
Y si era tan hacker porque tenia clave WEP?
@sick_sensei +38


recuerdas la palabra "cebo" mencionada arriba jajaja
@VirgoReptiloide +32
Creo que es una cita a Los Simpsons...
@Blezzrakget +121
@roberales +286
No entiendo nada
@L30N1D45 +3
@Recital No hace falta saber tanto, es mas googlea las cosas que no sabes.
@facundo_520 +5
@roberales no pude ver a la maldita peruana
@roberales +1
@facundo_520 un gallego me borro el post por pedir puntos

127 comentarios - Te Roban o Robas Wi-Fi?, esto te servirá

@NachoDLX +82
Me sentí identificado con el titulo
@Hermetico45 +1
@hey_jude_ tomatela no me quieras cambiar lo que dijiste,ahora quedaste todabia mas pelotudo
@hey_jude_ -1
@Hermetico45 Vos que no entendés nada
@Hermetico45 +1
@hey_jude_ claro que si campeon,nos vemos capo
@boneville +790
....No te puedo creer que ¡¡¡¡¡ERA TAN FACIL!!!
@Blezzrakget +650
Y si era tan hacker porque tenia clave WEP?
@sick_sensei +38


recuerdas la palabra "cebo" mencionada arriba jajaja
@VirgoReptiloide +32
Creo que es una cita a Los Simpsons...
@Blezzrakget +121
@Leon41 +13
Yo utilizo networkminer para cuando observo que mi coneccion esta lenta, es bastante bueno.
@argenmaro +47
Bueh que post más policia al estilo SS
Fue guaso si no queres que se te conecten una wpa2 con wps desactivado
Pero eso de andar tendiendo trampa me parece una guasca
Y bueno el consejo para quienes nos conectamos sin permiso, seria: hay que intentar averiguar a quien te estas conectando, igual si te descubren no pasa nada, para eso no hay legislación, la responsabilidad de que no se conecten va por cuenta de quien emite la señal.

wifi gratis por siempre
@tepache_ +4
@argenmaro ESO ES TODOOOO!!!
@usuario_troll +19
@tepache_ asi es te la dieron para ver que haces y robar tus cuentas jaja
@RepliKanT +1
con lo facil que es sacar las contraseñas, y en texto plano, de varias paginas incluyendo el face, si tenes una vecinas dejales que se conecten
@darioampuy +13
clarisimo y bien explicado... 1 kilo y 10 puntitos
@roberales +286
No entiendo nada
@L30N1D45 +3
@Recital No hace falta saber tanto, es mas googlea las cosas que no sabes.
@facundo_520 +5
@roberales no pude ver a la maldita peruana
@roberales +1
@facundo_520 un gallego me borro el post por pedir puntos
@luciano1001 -3
Buen post. No tengo mas puntos. A favoritos
@tingrid +28
eres tu nano pene? si es asi cuentame de el relato 4
@KSpeed +82
No entendi una mierda! Pero la verdad la explicación fue impecable que lei todo!
@andresito4 -64
ACABO DE PONERLE A MI RED: A ROBAR A OTRA PARTE PIROBOS

:V
@andresito4 +13
@ismeal87 de hecho yo tenia ese nombre, 10 dias despues aparecio mi red con "challenge acepted" por mas falso que suene.
@-Geno-Killer -7
JAJAJAJAJJAJ Xdd, LAA MIA ES "No robes wi-fi" xD
@yo_quieroestarsedado
a todos ustedes les robaria primero que a otros, por no compartir sus redes jajajajajaj, yo hace 4 años que no pago internet gracias a beini y al registro del automotor que esta al lado de mi casa jajaj pero, si encuentro alguna con ese nombre, es la primera que te robo
@jhanemaso +8
Na , muy interesante la verdad , te felicito por el post ! van puntos a la noche!
@gabymellace +27
lo que vos hiciste tambien es ilegal, se conoce como honeypot , pero bueno, no vine a hablar de legalidad jjaja muy divertida la investigacion!
@nahusm_ -3
Jajaja que bueno!
@jpsilvani -1
Capo... un groso... +10
@Rubzombie
+10, porque te quiero papà! (???)
@NeedMessiS +13
+10 peluchin magico gracias por llenarnos de inteligencia colectiva el alma, ojala sea top :3
@V4n_f4nel +5
Mas fácil de explicar IMPOSIBLE!!
@santruster -16
Si yo hubiera sido tu vecino hubiera usado algun plugin tipo https everywhere que encripte todos las comunicaciones y por mas que las captures estan cifradas.. digo nomas yo pago mi wifi y tengo cifrado wpa2-psk con contraseña alfa numerica
@TomKazansky +2
Se viene un topsito. La verdad muy copado tu descubrimiento. Tambien bastante bien afrontado, no todos hubieran reaccionado de tal forma. Muy interesante el post
@Matiasgalvan
muchas gracias por la info, te dejo mis 10 reco y a fav
@mathi_007 +25
Veniiiii, quien sos anonymous?
@felijuan
ojala algun dia el internet sea gratis totalmente y que las personas que sepan hacer esto solo lo hagan con fines informativos mas no con otras intenciones...
@det_00 +12
Tengo dos conexinoes una de 10megas y una de 12megas conectadas a un router tplink con balanceo de carga que me da 22megas,conectado a un router wifi con una antena de 10dbi le doy internet a mis vecinos gratis porque yo la uso solamente a la noche.
@heel_flip
@det_00 La verdad que si es muy pero muy de rata ... es más si llego a pegar un buen router lo clavo afuera... de ultima como ssid le pongo mi celu para recibir alguna "donacion" para que me den una mano a pagar el internet pero con 12 mb vás hecho además un pibe que labura de eso me dijo que se puede descargar 12mb todo el mes sin restricción (12mb hasta 250gb luego baja a 6mb) como lo venian publicando. Y para jugar a los juegos online nada mejor que iplan pero te rompen el orto con la fac
@RustiKo14
@heel_flip 12mb a 200 pe? decime como hago por favor
@heel_flip
@RustiKo14 El plan fibertel tenés 3 megas a $160 , 6megas a $180 y 12 megas a $200 (siempre con el modem RATA) y después si querés modem wifi tenés que desembolsar $100 más (modem en comodato o sea sacás internet y al mes te cae la moto para pedirtelo.) y si tenés alguna tarjeta de debito con $220 pesos todos los meses y le pasas el CBU por telefono , la instalación es gratuita. Siempre pedí el servicio al cierre de facturación (a partir del 21 total te lo instalan en 2 dias como mucho
@manu2487 +2
muy bueno el blog de alonso
@Omegastratos +1
Siempre doy +5 cuando me gusta un post, y me guardo los otros 5 para otro post que me guste. Pero este vale 10, es muy especial y muy bien explicado. De hecho, explicas todo muy parecido mi
@mauri5130
podrías hacer un post, explicando todo eso, para cuando se nos conecten al wi-fi y podamos entrar
@vaalenttin +15
Muy bien explicado, me gusto mucho!! te dejo +10


Comentado a través de la red WIFI del vecino
@binarioCeroUno +6
Que irónico el nombre que elegiste "Robert1" .
Lo malo es que la gente ni se imagina el nivel de inseguridad que representan las conexiones inalámbricas.
@panduro123 +3
nanopene, me fui de taringa cuando él dejo de postear
@AlejandroC90
Esto lo vi hace ratos en el blog "Un informático en el lado del mal", aunque lo pones como si lo hubieses hecho tú, y también pusiste la fuente al final, lo cual es extraño...
@any-user +1
el relato es asi...
@usuario_troll +4
la mayoria de las veces con restringir la mac es mas que suficiente, pero tambien es bueno saber esto
@blizkain
Groso men esto sera bien util
@baulmp3 -5
Yo tengo un AP con wep 12345678 prendido pero sin conexion de red, me imagino cuantos se habran colgado nada mas para ver que no les da ni siquiera ip jajajaja.
@baulmp3 -2
@grigosback y.. nada, se usa para pruebas, no fui y compre un router y lo enchufe en mi casa para gastar luz al pedo.
@grigosback -2
@baulmp3 no necesariamente se usa para pruebas, se puede usar para reemplazar el firmware original de cualquier router
@baulmp3 +2
@grigosback si el dd-wrt si, yo decia que mi AP se usa para pruebas.
@Segador_De_T
yo me conecto a la red de mi vecino e incluso veo las paginas que visita. Es zona de country que les sobra la plata.
@Ianadelunicornio +52
pero los de asuntos internos sabian que les tendian una trampa???
@leo_rr88 +10
yo no entendi la pelicula
@cattena_2 +1
jajajajajajaja
@Legendario666 +3
+10 porque estoy estudiando Computacion e informaticay esta clase de temasme apasionan!!
Espero algun dia poder hacer lo mismo
@williams050 +1
Somos 2!
@Masterrace -20
Yo tengo hackeadas todas las redes de mi cuadra y antes me robaba sus facebook y veia sus mensajes pero de unos meses para aca ya no funciona el MITM, ya no captura las cookies y les blockea la conexion, me parece que firefox y chrome ya agregaron algo para evitar eso :/
@REIKOPABLO
me gusto el post!, buen aporte!
@sarlor
Muy buena info,estoy estudiando seguridad informatica,asi que estoy con kali,auditando mi red cada tanto,muy buen aporte!
@jo_calderone +12
Yo robo wifi las 24 horas, la contraseña siempre fue ARNET. Ya hace como 3 años que robo y mi vecino jamas se entero