El post que buscas se encuentra eliminado, pero este también te puede interesar

Robas Wi-Fi??, mirá lo que te pueden hacer....

Robas Wi-Fi??, mirá lo que te pueden hacer....


Que tal Taringueros, hoy vengo con otro post informativo tratando de recuperar la inteligencia colectiva que tanto anda perdida por estos tiempos en Taringa...

Quiero decir que este post ya lo había publicado antes, hace ya casi 2 años pero que me habían baneado por Hack y otras razones aparentes, esta vez quiero aclarar lo siguiente:


NO me hago responsable del uso indebido de los datos y técnicas suministradas en este Post; la información acá presentada es sólo para alertar de los posibles riesgos de entrar a una red Wi-Fi ajena y por ende, la posible defensa que tiene el dueño de dicha red. Las fuentes están sumistradas como debe ser.



Hace unos meses, realizando pruebas de diferentes tipos de ataques sobre redes WiFi, dejé habilitada una red en casa con cifrado WEP, (eso sí, sin el SSID del operador con la contraseña por defecto predecible mediante las clásicas herramientas como Liberad a WiFi). Pasó el tiempo y dejé la red tal y como estaba, consciente evidentemente de que alguien podría querer invitarse algún día a la fiesta sin haber pagado la entrada, en cuyo caso ya mandaría yo a los de seguridad.

Pues bien, hace unos días, echando un vistazo a los Logs del servicio DHCP de mi router, cuál fue mi sorpresa al ver que además de la información de mis equipos, había una fila más con el nombre de host “Rober1”. En efecto, algún vecino estaba intentando utilizar mi red, y considerando que como poco había tenido que utilizar alguna herramienta para obtener la contraseña, podría tratarse de un vecino con conocimientos sobre hacking, aunque lo de poner su nombre en el hostname indicaba lo contrario (siempre y cuando no se tratara de un cebo). Por lo pronto, no conocía a ningún vecino llamado Rober o Roberto.

El primer impulso de cualquiera ante una situación así, podría ser el de cambiar el cifrado de la red a WPA2 con una clave robusta, y cortarle el grifo al vecino, pero los que nos dedicamos a esto de la seguridad, lo vemos como una excelente oportunidad para realizar una práctica con fuego real de hacking en redes de datos, al fin de todo, la red es mía y él es el intruso.

Como no disponía de mucho tiempo, pues esto me cogió justo antes de salir de casa a un compromiso ineludible, además de desconectar todos mis equipos de la red, y dejarle así todo el ancho de banda a “Rober1” para que se sintiese como en casa, mi primer paso fue poner rápidamente uno de mis equipos con Backtrack5, una antena WiFiy la suite Aircrack, a escuchar el tráfico de mi propia red en modo monitor. El objetivo era intentar obtener algún dato que me pudiese dar información acerca del vecino para conocer sus intenciones, pues podría pretender simplemente utilizarme como ISP y ahorrarse la cuota mensual con esto de la crisis y los recortes, o “auditar” mis equipos, en cuyo caso debía prepararme para la batalla.

Al llegar a casa, y descifrar el tráfico capturado con airdecrypt, me dispuse a analizarlo utilizando en primer lugar la versión gratuita de la herramienta Network Miner, que corre en sistema operativo Windows y es muy útil a la hora de obtener una visión a alto nivel de una captura de tráfico. Una vez cargada la captura, Network Miner identifica todos los hosts presentes en ella, y reconstruye a partir del tráfico tramas, archivos, imágenes, mensajes de chat, credenciales y sesiones si se han capturado, peticiones DNS, parámetros GET.. Además proporciona información interesante sobre los equipos presentes en la captura, que por otra parte podría obtenerse con cualquier otro analizador de tráfico tipo Wireshark, pero facilita bastante la tarea.

robo

La primera lectura que podía realizar es que se trataba de un equipo con sistema operativo Windows, de nombre “Rober1”, que estaba utilizando mi red para navegar por Internet. Analizando las tramas y las conexiones establecidas, los sitios webs más visitados durante la sesión de navegación, que duró cerca de 20 minutos, eran los siguientes:

http://www.vanitatis.com
http://www.elpais.com/gente
http://devilwearszara.com
http://www.fotoplatino.com

En la siguiente imagen se pueden observar algunas de las imágenes descargadas durante la sesión de navegación:

redes

Sin querer entrar en un debate y limitándome a relatar en este artículo cuáles fueron mis suposiciones y el proceso mental seguido, mi primera impresión fue que más que tratarse de un hacker, se trataba de o bien una hacker o bien la amiga, novia, madre, hermana o esposa de “Rober1”, pues eran todas páginas de lo que yo considero “marujeo”, orientadas más a un público femenino.

Realizando un análisis más profundo con herramientas como CookieCadger o Wireshark, también di con información exacta del equipo que estaba utilizando para conectarse a Internet, identificando peticiones HTTP, correspondientes a la comprobación de actualizaciones disponibles para un Notebook Asus F50SL:

Wifi

El siguiente paso consistiría en intentar conseguir más información mediante un ataque man in the middle, para intentar obtener alguna credencial en algún sitio web donde tuviera que identificarse, pero para eso debería de estar en casa esperando justo en el momento en que mi vecino/a fuese a utilizar mi red para navegar. Para ello, utilicé Cain + Wireshark en entorno Windows, y también arpsoof en entorno Linux. Coincidimos un par de veces a la misma hora, pero resultó que en esas ocasiones el único tráfico que generaba mi vecino, era el correspondiente a visualizar vídeos en Youtube de bebés. Esto alimentó aún más mi sospecha de que se tratara de una mujer.

Por supuesto, en aquellas ocasiones en que coincidía conectado a la vez que mi vecino/a, antes de intentar un ataque MITM, me propuse escanear su máquina con nmap, pero los puertos estaban filtrados por el Firewall de Windows.

Seguía sin poder identificar al vecino, pues a pesar de tener acceso al tráfico que generaba, no existía ningún rastro de sitios donde se autenticara con credenciales. Ni correo, ni Facebook, ni nada en un principio. Los días fueron pasando, y cada vez era más difícil coincidir en horarios para realizar un MITM. Entre el trabajo y mi reciente estrenada paternidad, complicado cuadrar con el vecino/a.

Por otra parte, este tipo de ataque, no siempre funcionaba del todo bien, hecho que podía achacar también a la distancia del equipo a mi router, pero no penséis ni por un instante que lo iba a dejar así, ¡qué me estaba hackeando la WiFi!

Paralelamente a estos intentos, siempre mantenía mi equipo capturando tráfico WiFi en modo monitor, y analizaba las capturas, además de las que obtenía con Cain + Wireshark. En estas nuevas capturas, obtuve información interesante para el análisis.

Mi vecino/a se conectaba dos o tres veces al día, alrededor de 15 minutos cada sesión. Las páginas webs más visitadas seguían siendo de marujeo, como las comentadas en los párrafos anteriores, pero además habían accesos a las siguientes páginas:

http://elimperiodelaley.blogspot.com
http://quieroserjuez.blogspot.com
http://vidadeunaopositora.blogspot.com
http://sufridroaenejercicio.blogspot.com
http://quenovoyaserlasecretariadeunjuez.blogspot.com

estafa

Analizando el nombre de los sitios web, así como el contenido que había en los mismos, me quedó claro que se trataba de una mujer, que estaba estudiando para oposiciones a judicatura. Es decir, que hablamos de una aspirante a juez robando WiFi. ¡Así va este país!. Por otro lado, entre todas estas sesiones de navegación, en las que los sitios webs visitados eran los mismos especificados hasta ahora, se colaban algunas sesiones cortas en la que los sitios visitados eran:

http://www.sport.es (Además leía la sección “El balón Rosa” )
http://www.marca.com
http://tenerifedeportivo.com

Estas sesiones, en principio parecía que correspondían más a “Rober1”, leyendo periódicos deportivos y echando un vistazo a las novias y mujeres de los futbolistas. En una de estas sesiones, concretamente un domingo, Rober1 consultó también la página de Yelmo Cines, pero al final parece que no se decidió a ir, porque más tarde presuntamente su pareja se volvió a conectar a ver vídeos de bebés, y leer un poco de prensa rosa, supongo que para desconectar de las arduas sesiones de estudio para la oposición.

Por la información de la que disponía hasta el momento, se trataba de una pareja de vecinos que utilizaba mi red para conectarse a Internet y ahorrarse la tarifa del ISP, no de un hax0r con muchos conocimientos. Esto último me quedó más claro, cuando en una de las capturas recogidas escuchando en modo monitor, pude ver accesos a páginas de banca electrónica, algo que alguien con conocimientos de seguridad informática jamás haría desde una WiFi ajena.

internet

Afortunadamente para los vecinos, dieron con alguien que no tenía malas intenciones, y en esta ocasión, incluso de haberlas tenido, no podría haber hecho ningún destrozo, ya que al tratarse de tráfico SSL las credenciales no habrían sido capturadas sin romper el cifrado.

En este punto ya tenía claro el perfil de los “atacantes”, así como su nivel de conocimientos, pero aún no los había identificado. Los ataques man in the middle no funcionaban siempre, así que se me ocurrieron varias alternativas. La primera de ellas, enchufarles un troyano haciendo DNS spooffing con alguna de las direcciones de los sitios webs más visitados. Pero en lugar de eso, decidí implementar un esquema “machine in the middle”, colocando una máquina a modo de router, para asegurar que todo el tráfico que generaban pasaba por la misma.

Para ello, habilité una máquina virtual Backtrack, a modo de puente con dos interfaces de red. Una de ellas conectada a la red en cuestión, 192.186.1.0, y la otra en una nueva red 192.168.2.0, con la dirección IP 192.168.2.1. Además de eso, deshabilité el servidor DCHP del router al que se conectaban los vecinos, y arranqué un servidor DHCP en la máquina virtual, que repartiera direcciones en la nueva red, especificando como puerta de enlace la dirección de esta máquina en la nueva red, la 192.168.2.1. El tráfico generado era redirigido de una interfaz a otra, en aras de poder llevar el tráfico hacia y desde Internet a través del router principal.

Por otra parte, también arranqué la herramienta SSLstrip, redirigiendo el tráfico SSL al puerto 10.000, para poder así interceptar sesiones de autenticación en algún sitio web que permitiese obtener alguna información para identificar a los malhechores. En este script de shell se puede observar la configuración final.

seguridad

Con este nuevo esquema, los vecinos se conectaban a mi router vía WiFi, pero era la nueva máquina puente la que hacía de router para ellos, dándoles una nueva dirección IP en el rango 192.168.2.0 y ofreciéndoles salida a Internet. Bastaba con arrancar tcpdump, dsniff, y visualizar el log de sslstrip para poder controlar todo el tráfico generado por los vecinos.

El esquema no tardó en funcionar. La siguiente vez que se conectaron, todos los paquetes pasaban por la nueva máquina puente, y tras una o dos sesiones de navegación, el log de SSLstrip reveló su dirección de correo electrónico y su cuenta de Facebook:

Robas Wi-Fi??, mirá lo que te pueden hacer....

En este punto había completado mi análisis, y con un poco de Google Hacking a partir de su dirección de correo pude averiguar quiénes eran los vecinos, y confirmar que en efecto, se trataba de una pareja de abogados, ella estudiando para presentarse a una oposición de juez. Podría haberles hecho alguna trastada, como publicar algo en su muro, o cosas por el estilo, pero simplemente me limité a enviarles un correo informándoles de que estaba al corriente de lo que habían hecho, dándoles algunos detalles que les mostraran que efectivamente tenía conocimiento de sus sesiones de navegación, y advertirle de los peligros que corrían realizando este tipo de prácticas.

Me contestaron ofreciendo sus disculpas, comentándome que estaban avergonzados de su comportamiento y que no tenían mucha idea de lo que estaban haciendo, ya que fue “un amigo informático” el que les consiguió la conexión a Internet gratis.

Como ya todos sabemos, es impresionante toda la información que se puede obtener de una persona simplemente echando un vistazo a los sitios que visita en Internet, pero si además resulta que no sólo navega por páginas de información, sino que utiliza servicios de correo electrónico, redes sociales, o banca electrónica desde una conexión “robada”, el destrozo podría ser de dimensiones considerables.

Por motivos de protección de datos se ha sustituido el nombre real del equipo vecino por “Rober1”, pero el host original sigue la misma nomenclatura. Por otro lado quiero deciros que este artículo está hecho por si alguno de los lectores de este blog tiene una pareja de amigos que un día le piden que le robe la WiFi a algún vecino para conectarse gratis a Internet. Tened cuidado que, como decía Chema, la víctima del robo puede que también tenga también un amigo informático y les metas en un verdadero problema a tus amigos.



De yapa, les dejo este código QR que dejó un taringuero con un código encriptado, y ofrecía 1000 Bits al que lo decifrara, no recuerdo el nombre del user ni tengo el link de shout, solo recuerdo que es creador y el avatar es como un ojo o algo así... Ahi se los dejo por si lo quieren decifrar....




robo

redes

Comentarios Destacados

no_lei_el_protocolo +37
Wifi

Muy astuto Sr Simpson, deja el Router de su WiFi sin contraseña para asi atraer a los vecinos y apoderarse de sus datos privados...

estafa
Que es un Router?

internet

Simpson, usted es Diabolico...
SrD4 +36
Sigo robando
SrD4
Si quieren les paso el post donde enseño a usar un movil como antena WiFi
Miampe +1
@SrD4 Yo quiero ese post pásamelo por msj Aunque mi celular lo hace sin aplicaciones :3 Aprender algo no hará nada malo.

28 comentarios - Robas Wi-Fi??, mirá lo que te pueden hacer....

SrD4 +36
Sigo robando
SrD4
Si quieren les paso el post donde enseño a usar un movil como antena WiFi
Miampe +1
@SrD4 Yo quiero ese post pásamelo por msj Aunque mi celular lo hace sin aplicaciones :3 Aprender algo no hará nada malo.
virut_q +12
No me imagino todo el cancer que ha visto algún hacker desde mi computadora con Windows XP.
evil_boy +2
Muy interesante, voy a descargar el network miner a ver que onda.
camilohidalgo +4
Dos cosas:

1- sirve para el incógnito?

2- tenes que enseñarme a hacer esoooo, te amaré toda la vidaaaa


Ojala y te llamen de Mr.robot y te contraten ejeje
shiopay
D: Yo tambien quiero :c
Apenas estoy estudiando BackTrack 5, ataques activos y pasivos y esas cosas q-q
camilohidalgo +1
@shiopay wut? y yo todavía en el colegio, que picardia
raiger
@shiopay pasa las guias tacataca!
Yovaninho
gracias por la información
dmga18 +5
Si hago todos estos procedimientos vere a mis vecinos viendo PORNO
loyd69 +1
lo mas seguro...
shiopay
sd_21
Interesante info
Shabubu
Yo robaba señal pero un dia me entro la paranoia de que me podrían robar datos importantes y mejor voy a la segura, pago uno de 10mb y esta buena la conexión y no me sale tan caro... curiosamente algunos vecinos ya le pusieron de nombre a su señal: "no más internet" y "virus"... creo que sabían que alguien les robaba
allan87 +3
Un uso útil, conectarse solo para bajar torrents
no_lei_el_protocolo +37
Wifi

Muy astuto Sr Simpson, deja el Router de su WiFi sin contraseña para asi atraer a los vecinos y apoderarse de sus datos privados...

estafa
Que es un Router?

internet

Simpson, usted es Diabolico...
ljuh +1
pff no es para tanto lo maximo que te puedes hacer es tener acceso a tus contrseñas archivos cuentas bancarias fotos desnudo tu pornografia amateur
pero solo eso creo que vale la pena por internet gratis
IP-anonima2 +1
Al toque, espiare a mi vecina y vere que clase de porno le gusta
pokoyuto
alto kaker súbete unos tutos kali tendrás mis 10 asegurados en cada post papu
baulmp3 +1
Y si era tan hacker por que usaba WEP?

Mensaje enviado usando la conexión del vecino (posta).
jeoss +1
Papá hace el tuturial completo y bien explicado, seguro sacas un top post histórico
elmetrosesual
Asi que yo haciendo lo que hiciste, podria averiguar las credenciales del facebook de mi vecinita y robarle fotos pornos?

Usted es diabolico
SMMH
buna info +10 .. si hicieras un tutorial sobre eso seria historico ..
topo666 -1
Tengo 4 años sin pagar internet
dmga18
Con respecto a esto,

robo

después de un arduo análisis todos los cifrados me arrojan el siguiente texto!

La clave es incorrecta, los datos están corruptos o la información proporcionada no es válida.