You are on page 1of 10

RFID ABORTADO: Aunque inicialmente nuestro tema de análisis era el hacking RFID, desgraciadamente, tras dedicarle mucho tiempo

al tema en cuestión, nos hemos visto sobrepasados dado que, a pesar de haber encontrado información interesante al respecto, no hemos podido establecer una base adecuada sobre la que hacer el report, dado que se requiere que su naturaleza sea eminentemente práctica. Por todo esto nos hemos visto obligados a seleccionar un tema más asequible para el report, esperamos que no suponga inconveniente. De todos modos, en cuanto al intento de report de RFID nos gustaría hacer las siguientes observaciones. Como primera aproximación pensamos en obtener los datos de un dispositivo RFID como podría ser la tarjeta Millenium del autobús urbano de Coruña. Para ello utilizamos un dispositivo Pickit 2 conectado a un chip PIC16F84A. Como software para la programación del chip empleamos MPLAB IDE v8.56 y PICkit 2 v2.61 para la lectura del chip. Obtuvimos el código hexadecimal (extensión .HEX) aunque resultó ser más complicado de lo previsto y solo fue el inicio de las complicaciones.

Aún faltaba el dispositivo de lectura de emisiones RFID así que nos pusimos a buscar en internet dispositivos con un precio asequible. Tras mucho buscar encontramos algunos lectores con precios aceptables, pero cuando nos disponíamos a encargar el dispositivo nos dimos cuenta de que nuestro Pickit 2 dispone de un único puerto USB, que necesitamos para conectarlo al PC, que es donde tenemos instalado el software, así que ¿CÓMO LO CONECTAMOS AL LECTOR?..... De este modo vimos que nuestro proyecto fallaba desde los pilares y caímos en la cuenta de que , aún solucionando dicho problema solo conseguiríamos leer la información de los dispositivos, lo que no se trata de un hackeo propiamente dicho y los lectores/escritores que sí servirían a tal fin se disparan a precios sobre los 200 euros, lo que escapa a nuestras posibilidades. No contentos con eso, tras proferir una serie de improperios seguimos investigando y encontramos información interesante sobre un dispositivo casero de RFID capaz de obtener las claves de dispositivos Verichip, e incluso un esquema del circuito, pero nuestros conocimientos de electrónica distan mucho de ese nivel, y tampoco tendríamos forma de probar su funcionamiento así que finalmente tiramos la toalla. Espero que nos disculpes. Adjunto el enlace del dispositivo casero por si algún día algún alumno bienaventurado te pide información: http://cq.cx/vchdiy.pl Esquema del circuito: http://cq.cx/dl/vchdiy-schematic.pdf

IDLE SCAN

Por Jean Paul Pereira Príncipe y José Luis Valenzuela Iglesias

INTRODUCCIÓN: El “idle scan” es un tipo de escaneo mediante el cual los atacantes pueden escanear una máquina sin necesidad de enviar paquetes al host destino desde su propia dirección. En lugar de ello, este tipo de ataque permite que el escaneo sea una especie de rebote en una máquina inactiva (“zombie”). Los reportes de sistemas de detección de intrusión (IDS) indicarán a la máquina “zombie” como la atacante. Además de ser extraordinariamente invisible, este tipo de escaneo permite mapear las relaciones de confianza basadas en IP entre máquinas, dado que será mucho más sencillo tener éxito en el ataque si utilizamos como zombie una máquina “cercana” a la víctima (a poder ser dentro de su mismo segmento de red) y la información obtenida será más concreta y fiable. A continuación se muestra un esquema simplificado del funcionamiento de esta técnica a nivel de paquetería:

Para la realización de un idle scan suele ser recomendable que la máquina utilizada como zombie no posea mucho tráfico pero el principal factor limitante (dado que es un requisito imprescindible) es el hecho de que dicha máquina ha de ser de tipo incremental. CASO PRÁCTICO: Consideraciones previas. Con el objetivo de comprobar el funcionamiento de esta técnica hemos utilizado cuatro máquinas virtuales (una de ellas con Ubuntu 10, una con Ubuntu 12 y las otras dos con Backtrack 5.0) Como es lógico para la realización de las comprobaciones pertinentes hemos tenido que ejecutar comandos desde distintas máquinas con mayor y menor éxito, de modo que mostraremos solo una selección de las capturas que mejor ilustran las características del idle scan. Aunque evidentemente existen varias alternativas, hemos empleado como software nmap y metasploit (tanto combinados como por separado) para los escaneos propiamente dichos y snort como IDS. CASO PRÁCTICO: Realización.

En primer lugar realizamos con nmap un escaneo de las IPs activas en nuestra red mediante el comando nmap –sP :

A continuación necesitábamos conocer cuáles de las máquinas eran de tipo incremental, y por tanto susceptibles de ser utilizadas como zombie. Para ello podíamos utilizar nmap simplemente intentando el idle scan con el comando “nmap –Pn –p- -sI <zombie> <víctima>” poniendo en el campo zombie una de las IPs antes localizadas cada vez y en el campo víctima una IP o URL cualquiera. Otra alternativa, que nos pareció más acertada debido a su comodidad (al indicar varias IPs a la vez) y más sigilosa (puesto que nos indica cuáles son incrementales y cuáles no sin iniciar el idle scan en ningún caso) es usar el módulo auxiliar ipidseq de metasploit. A decir verdad usamos ambos métodos en distintas pruebas pero de metasploit recordamos hacer captura XD:

Esto es lo que devuelve show options en dicho módulo antes de introducir mediante set las IPs objetivo. Como se puede observar el campo RHOSTS está vacío.

Tras incluir las IPs en el campo RHOST volvemos a hacer show options para comprobar que están añadidas y tras ver que sí ejecutamos el comando run, que nos informa de que la IP 192.169.1.1 es de tipo incremental. ¡Ya tenemos un posible zombie! Una vez hecho esto, en la máquina que escogimos como víctima (192.168.1.42) arrancamos snort para visualizar la paquetería entrante y en la atacante (192.168.1.41) ejecutamos el ataque idle scan.

En esta captura de snort se observa como llega paquetería desde 192.168.1.1, es decir, desde la máquina zombie, en lugar de la atacante, que sí aparecería de tratarse de un escaneo directo de modo que hemos tenido éxito.

Nota: Por defecto el idle scan de nmap usa el puerto 80 del zombie.

En esta captura se puede ver lo que devuelve el idle scan en el atacante.

OBSERVACIONES: Probando desde otra máquina con Backtrack 5.0 desde una red distinta haciendo un escaneo directo de puertos y servicios de nmap obtuvimos lo siguiente:

Haciendo un idle scan desde esta misma máquina obtuvimos esto otro:

De esto concluimos que la utilización de idle scan con un zombie dentro del segmento de red de la víctima además de ser más sigiloso como demostramos antes es también más preciso.

DUDAS SURGIDAS DURANTE LA REALIZACIÓN DE LA PRÁCTICA: Aunque en absolutamente todas las pruebas quedó clara la ocultación de la máquina atacante mediante el uso del idle scan la efectividad y precisión en cuanto a resultado de dicho tipo de escaneo, así como del escaneo de puertos directo no fue tan satisfactoria. Observamos que en ejecuciones casi consecutivas de los escaneos obteníamos resultados distintos no incluyendo a veces puertos que habíamos abierto e incluyendo otros que no teníamos (o quizás no conocíamos tener) abiertos. Nos preguntamos si esto puede deberse simplemente al funcionamiento de los escaneos con nmap que carezcan de mayor precisión, si por el contrario puede tratarse de servicios que se abriesen en nuestras máquinas de forma automática o involuntaria, si quizás la causa sea (solo para el caso idle scan) que la IP 192.168.1.1 estuviese como default de varias máquinas, una combinación de varias de estas causas o alguna otra que no se nos ocurra.