Wednesday, February 21, 2007

Cuídate de tu vecino (2)


Braveheart - Main theme


Dejé puesto el sniffer durante unas dos horas, mientras tanto iba paso a paso comprobando direcciones IPs y MACs. Observé la actividad que se realizaba tanto en red encriptada como en la red sin encriptar (pública). En la red encriptada no había ningún cliente conectado, pero en la pública aparecían dos! que exitazo de hotspot pensé yo, solamente hasta que miré un poco más allá y ví las direcciones MAC de los equipos allí presentes.
Por un lado teníamos la dirección (física e IP) de mi punto de acceso, luego otro cliente conectado, y por último un cliente con la misma dirección IP y MAC que la de mi punto de acceso. Habían envenenado el router, y también a cualquier equipo conectado a la red pública de la fonera.

"The implementation of the ARP protocol is so simple and straightforward that the receipt of an ARP reply at any time, even when there are no ARP requests outstanding, causes the receiving computer to add the newly received information to its ARP cache"

Así, mi cachondo vecino engañaba a los equipos que se conectaban a la red, les hacía creer que su propio ordenador era el router de acceso a Internet, y así todo el tráfico pasaría antes por él, con la posibilidad de analizar todo lo que enviara la víctima, y cuando digo todo es todo. Claves de correo, claves bancarias, conversaciones de messenger, telefonía IP... etc.,
En la actualidad, hay programas tanto para windows como para linux que permiten realizar éste ataque y dejar en bandeja toda intimidad de la victima, prefiero no enlazarlos pero los hay en buena medida.

¿Cómo reaccionaríais vosotros si os encontráis con esto? yo, después de repasar todos los insultos que me sabía, me calmé un poco y me puse a pensar qué datos habría podido enviar por la zona pública antes de darme cuenta del ataque. Pocos, muy pocos, pero importantes, como la contraseña del correo y la contraseña de acceso a Internet por Fon, algo más de tráfico pero sin importancia. Inmediatamente cambié las claves y resetee el router, por supuesto no apagué el ordenador y el modo monitor de mi tarjeta wireless seguía encendido...

Actualización: para los que les interese el tema he encontrado unos videos explicativos de ésta técnica de ataque, también llamada "Man in the middle", creados por Miggs.

Video1, Video2 y Video3

To be continued...

5 comments:

martuky said...

Vaya h... de p... por culpa de estas cosas es por las que no termina de funcionar Fon... una pena, una pena...

Dani said...

Martuky, no sé si Fon está funcionando o no, el caso es que cada vez hay más puntos de acceso, hay muchísimos y va en aumento. Me gustaría dejar claro, que toda esta historia no tiene nada que ver con Fon, la técnica de envenenamiento ARP se puede llevar a cabo con cualquier router o switch y en cualquier red de area local sea wireless o no. El problema está en los protocolos de comunicación que utilizamos, cuando fueron creados no se tuvo en cuenta estas cosas y no hay medidas de seguridad para evitarlo, como pudiera ser una autenticación.

Rafa Muñoz said...

Sea como sea, vaya puntazo. Vaya puntazo que la dieran también contigo jeje ;)

seguimos expectantes ... ;)

Anonymous said...

que putada macho...

Gracias por poner un link a mis videos, espero que te ayuden a entender mejor lo que pasa y sobretodo a detectar ataques.

Que acabaste haciendo con tu vecino?

Dani said...

al final no he querido denunciarle, conseguí averiguar quién es exactamente ya que su nombre de usuario de fon coincide con su nombre real y claro, con la primera carta que ví en el buzón de la casa supe quién era. Me lo cruzo de vez en cuando, no sé si él sabrá quien soy yo, pero seguro que se lo imagina por cómo le miro jeje.