Informe técnico 23/10/2013 PEREZ OLIVARES, SERGIO (FIRMA) Firmado digitalmente por PEREZ OLIVARES, SERGIO (FIRMA) Nombre de reconocimiento (DN): c=es, serialnumber=53658086y, sn=perez, givenname=sergio, cn=perez OLIVARES, SERGIO (FIRMA) Fecha: 2013.10.23 02:08:48 +02'00' Autor: Sergio Pérez Olivares Madrid, 23 de Octubre de 2013 1
Tabla de contenido Tabla de contenido... 2 Descripción general... 3 Herramientas empleadas... 4 Procedimiento seguido... 5 Análisis y resultados... 7 Apartamentos Roque Nublo... 8 Hotel Axel Beach... 10 Hotel Terrazamar Suite... 12 Hotel Riu Don Miguel... 14 Hotel Barbados... 16 Hotel Seaside Sandy Beach... 18 Hotel Caserío... 20 Hotel Corona Blanca... 22 Conclusiones... 24 2
Descripción general La empresa proveedora de servicios de Internet Cibersuite demanda una auditoría informática en varios de los complejos hoteleros a los que provee servicio en Gran Canaria. Los clientes que usan el soporte proporcionado por dicha empresa alegan que no pueden disfrutar de conexión inalámbrica a Internet, ya que sufren desconexiones continuas. Esta incidencia se lleva reportando desde Enero de 2013. Asimismo, se informa que otros proveedores, operando en la misma zona geográfica, tienen problemas similares, cada uno en diferentes complejos hoteleros y fechas de origen. El objetivo de la presente auditoría es identificar y analizar las principales causas del problema, y finalmente encontrar una solución que permita el restablecimiento del servicio con la calidad adecuada. 3
Herramientas empleadas Para constatar el problema en el servicio se han utilizado las siguientes herramientas: Antena inalámbrica Yagi direccional de 2.4GHz, marca Alfa con ganancia 10dbi Esta antena permite capturar el tráfico inalámbrico de manera direccional con la suficiente precisión para localizar el origen de los paquetes de datos que interceptaremos posteriormente. Dispositivo de red inalámbrica Alfa AWUS036H, con chipset RTL8187 Se ha elegido este dispositivo ya que su chipset es altamente recomendable para realizar las mediciones que se van a tomar. Además se puede configurar de manera sencilla para que trabaje en modo monitor, que es utilizado para capturar todos los paquetes y tramas que viajan por un medio, en nuestro caso de manera inalámbrica. Distribución Linux de auditoría informática "Kali Linux" (http://www.kali.org) Se ha escogido esta distribución por poseer las herramientas más utilizadas y conocidas en el ámbito de la seguridad y auditoría informáticas. Suite de herramientas aircrack-ng (http://www.aircrack-ng.org) Se trata de un conjunto de programas que permiten interactuar fácilmente con dispositivos inalámbricos. Serán útiles en concreto dos de ellas: airmon-ng y airodump-ng. La primera nos ofrece la posibilidad de cambiar el modo de operación del dispositivo inalámbrico a monitor. Airodump-ng se encarga de listar todos los puntos de acceso y clientes asociados a los mismos que se encuentran conectados dentro de la cobertura que nos ofrece la antena que usemos. Analizador de tramas Wireshark (https://www.wireshark.org) Esta herramienta nos permite capturar y analizar el tráfico de red que circulan por un medio. Wireshark detallará minuciosamente toda la información relativa a cada paquete que sea interceptado, lo cual será de gran ayuda para determinar el origen de cierta trama, el destinatario, y la atenuación con la que ha llegado la misma. 4
Procedimiento seguido En primer lugar se procede a verificar que, efectivamente, los clientes de los establecimientos afectados sufren desconexiones de manera continuada a la hora de acceder al punto de acceso inalámbrico del proveedor. Se observa que en algunos casos la desconexión de la red se produce a los pocos instantes de iniciar la conexión, en otros directamente no es posible asociarse al punto de acceso. Una vez comprobada la incidencia, para identificar el origen del problema se captura el tráfico que fluctúa por la red en el momento que se produce la desconexión. Para ello se utiliza la herramienta Wireshark. La captura se realizará utilizando la tarjeta de red en modo monitor. El modo monitor nos permitirá analizar todas las tramas que circulen de manera inalámbrica dentro del radio de recepción de la antena. Para establecer el modo monitor haremos uso de la aplicación Airmon-ng. Ilustración 1: Captura de tráfico En la figura 1 se observa que, desde Wireshark, se han recibido peticiones de desconexión ("deauthentication") por parte de la antena inalámbrica a la que está conectado el cliente en ese momento. Adicionalmente Wireshark ofrece información muy detallada sobre cada paquete, en el caso de esta trama de desconexión se aprecia que la petición es difundida a todos los clientes que se encuentran asociados al punto de acceso ("broadcast", dirección de destino FF:FF:FF:FF:FF:FF). Todos los clientes sufrirán una desconexión inmediata de la red en el momento de recibir dicha petición. En la ilustración 2 se ha aplicado un filtro para recoger solo los paquetes de desconexión. Ilustración 2: Captura de desconexiones 5
Se reciben una gran cantidad de paquetes de desconexión en unos pocos segundos. Además, dichas peticiones no solo van dirigidas al punto de acceso que se está auditando, sino también a distintas estaciones inalámbricas situadas en las proximidades. Los paquetes de desconexión, por norma general van dirigidos o salen de un dispositivo cliente concreto. Encontrar este tipo de paquete en difusión no es corriente, limitándose a casos de reinicio remoto del punto de acceso. Este comportamiento hace sospechar de la existencia de un ataque de denegación de servicio. Se hace necesario localizar el foco que está emitiendo los paquetes de desconexión. El objetivo es ahora comprobar si las tramas se emiten desde el punto de acceso legítimo del cliente conectado o, por el contrario, se trata de un dispositivo externo. Empleando una antena "Yagi" direccional, configurada en modo monitor, se va a tratar de certificar el origen de las tramas. El procedimiento es sencillo, basta con desplazarse por las distintas zonas del complejo comprobando la atenuación de la señal con la que se está recibiendo la petición en cuestión. Dicho valor se encuentra en la cabecera de radio-frecuencia ("Radiotap Header") que posee cada paquete. Ilustración 3: Atenuación de la señal En la imagen anterior, figura el valor de la atenuación de la señal ("SSI Signal"). Un valor de atenuación cercano a -90 indica que la antena Yagi no está dirigida hacia el dispositivo emisor. Sin embargo, un valor próximo a -20 muestra que se está enfocando hacia la fuente emisora. En el caso de la figura 3, se observa que, por ejemplo, el paquete número 53965 tiene un valor de atenuación muy bajo (-25 dbm), lo cual indica que la antena está apuntando directamente al punto desde el que se ha emitido el paquete. Una vez que se localiza, con mayor o menor exactitud, la ubicación de dónde procede la trama, se concluye si la petición de desconexión procede de una fuente legítima o no. 6
Análisis y resultados Se va a seguir el procedimiento indicado anteriormente en los siguientes complejos hoteleros: Apartamentos Roque Nublo Hotel AxelBeach Hotel Terrazamar Hotel Riu Don Miguel Apartamentos Barbados Hotel Sandy Beach Hotel Caserío Corona Blanca En todos los casos se adjunta una captura de paquetes que prueba la presencia de un ataque, la confirmación de que el ataque está siendo recibido por el hotel demandante, y un mapa indicador de la zona afectada. Adicionalmente se adjunta, en algunos casos, fotografías de las antenas que están emitiendo peticiones de desconexión. Finalmente se incluyen capturas de pantalla corroborando que: No se puede navegar por Internet con normalidad cuando un cliente se conecta a la red víctima del ataque de denegación del servicio. La conectividad y navegación funcionan perfectamente cuando la conexión se realiza con el punto de acceso perteneciente al complejo que emite el ataque en cuestión. 7
Apartamentos Roque Nublo Se ha realizado una captura de red desde las inmediaciones del complejo de apartamentos Roque Nublo con el fin de verificar que, efectivamente, se reciben peticiones de desconexión contra los clientes que se encuentren en dicha red. Ilustración 4: Recorte de captura de tráfico en Roque Nublo En la figura anterior se muestra un recorte de la captura de tráfico realizada en la que se recogen y aprecian peticiones de desconexión a dos redes (de manera predominante): "Tp-LinkT_74:40:99" y "00:b2:3d:34:f9:db" (ambas pertenecen a la red de Roque Nublo, ver siguiente figura). Ilustración 5: Información del punto de acceso atacado En la ilustración 6 se observa que la captura ha recogido 4.916 (columna "Deauth") ataques contra la red con nombre "RoqueNublo" y 2021 contra "RoqueNubloWifi", ambos pertenecientes al complejo compuesto por los apartamentos de Roque Nublo. Asimismo, se observa que no era el único recibiendo el ataque en el momento de la captura, también aparece la red "DONMIGUEL_PREMIUM", perteneciente al complejo Don Miguel, que recibió un volumen de desconexiones muy elevado. Ilustración 6: Mapa de la zona afectada desde Roque Nublo 8
La imagen anterior muestra el radio aproximado de recepción de los paquetes de desconexión. Se observa que el complejo Roque Nublo está afectado. A continuación se adjunta una fotografía tomada desde dicho hotel (figura 7) en la que se observa la antena desde la cual provienen los paquetes de desconexión. Ilustración 7: Antena emitiendo peticiones de desconexión desde el complejo Las Walkirias Resort Se ha elaborado una tabla, a modo de resumen, que recoge la información obtenida tras las mediciones: Puntos de acceso afectados Complejo atacante Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Apartamentos Roque Nublo RoqueNublo / RoquenubloWifi Las Walkirias Resort 1a-Las Walkirias Wavenet Canarias Es importante matizar que la red del hotel atacante (en este caso "1a-Las Walkirias") no es la que emite los paquetes de desconexión, ésta únicamente se encarga de dar servicio a los clientes de dicho complejo, que no sufren desconexiones como ocurre en el resto de complejos del entorno. El ataque proviene de una o varias antenas ubicadas dentro de ese complejo que se dedican exclusivamente a denegar el servicio a Apartamentos Roque Nublo y otros cercanos. 9
Hotel Axel Beach Desde el hotel AxelBeach se realizó el mismo procedimiento que en el caso anterior. En primer lugar se muestra un recorte de la captura de paquetes realizada (figura 8). Ilustración 8: Recorte de captura de tráfico en AxelBeach Las peticiones de desconexión en este caso son contra el punto de acceso: " Routerbo_a3:62:51". La siguiente imagen confirma que dicha red tienen como nombre (SSID) "AxelBeach Maspalomas" y, por tanto, pertenece al hotel AxelBeach. Ilustración 9: Información del punto de acceso atacado También observamos en la figura 2 que durante la captura se recogieron 13.867 peticiones de desconexión (ver columna "Deauth"). Ilustración 10: Mapa de la zona afectada desde AxelBeach 10
Ilustración 11: Antena emitiendo peticiones de desconexión desde el complejo Aparthotel Rondo En la fotografía anterior se ha capturado una de las antenas, pertenecientes al complejo Aparthotel Rondo, desde la que se emiten las tramas de desconexión. En la siguiente tabla se resume la información recogida en este caso: Puntos de acceso afectados Complejo atacante Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel AxelBeach AxelBeach Maspalomas Aparthotel Rondo 1a-HL IL Rondo Wavenet Canarias Al igual que en el caso de los apartamentos Roque Nublo, el proveedor de servicios del hotel desde el que se emiten los ataques pertenece a la empresa "Wavenet Canarias". 11
Hotel Terrazamar Suite El hotel Terrazamar Suite también había reportado problemas de conexión similares a los que ya hemos analizado, por tanto se hace necesario verificar si se trata del mismo patrón de ataque. A continuación, como en los casos anteriores, se muestra una captura parcial del tráfico de red desde las inmediaciones del hotel Terrazamar Suite. Ilustración 12: Recorte de captura de tráfico en Terrazamar Suite Entre las peticiones de desconexión hay dos redes afectadas: "Ubiquiti_34:55:96" y "Uniquiti_fe:a1:4b". En la siguiente figura se comprueba que ambos puntos de acceso afectados pertenecen a la red del complejo Terrazamar. Ilustración 13: Información del punto de acceso atacado Ilustración 14: Mapa de la zona afectada desde Terrazamar Suite 12
En la figura 14 se observa que el foco del ataque procede del complejo de Apartamentos Carlota. Se incluye una fotografía de la azotea del complejo Carlota donde se aprecia la presencia de varias antenas, una de ellas (amarrada a la barra metálica azul) se encuentra en la dirección exacta desde donde se experimenta y sufren los ataques. Las mediciones apuntan que el ataque procede de ese punto concreto. Ilustración 15: Antena emitiendo peticiones de desconexión desde el complejo de apartamentos Carlota En la siguiente tabla se resume la información recogida: Puntos de acceso afectados Complejo atacante Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel Terrazamar Suite Terrazamar Aparthotel Carlota 1a-Apartamentos Carlota Wavenet Canarias De nuevo la empresa "Wavenet Canarias" es la proveedora de servicios de Internet del complejo atacante. 13
Hotel Riu Don Miguel Desde el hotel Don Miguel se ha realizado la siguiente captura: Ilustración 16: Recorte de captura de tráfico en el hotel Don Miguel Ilustración 17: Información del punto de acceso atacado La dirección del punto de acceso afectado es: "Ubiquiti_C4:25:FB", como puede comprobarse en la figura 16. En la ilustración 17 se verifica que dicha dirección pertenece a la red "DONMIGUEL_PREMIUM", ubicada dentro del recinto del hotel Don Miguel. Ilustración 18: Mapa de la zona afectada desde Don Miguel El mapa de la imagen anterior es el mismo que se ha mostrado para el caso del complejo de apartamentos Roque Nublo, esto es así ya que la fuente del ataque es la misma, las Walkirias Resort. 14
La información resumida se muestra en la siguiente tabla: Puntos de acceso afectados Complejo atacante Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel Riu Don Miguel DONMIGUEL_PREMIUM Las Walkirias Resort 1a-Las Walkirias Wavenet Canarias 15
Hotel Barbados En este hotel el patrón observado en los apartados anteriores se repite. Se reciben peticiones de desconexión, en este caso, contra la dirección: "Ubiquiti_34:55:91", que pertenece a la red Barbados (como puede apreciarse en la figura 20). Ilustración 19: Recorte de captura de tráfico en el hotel Barbados Ilustración 170: Información del punto de acceso atacado Ilustración 181: Mapa de la zona afectada desde Barbados En esta ocasión solo ha sido posible estimar el mapa de recepción de las tramas de desconexión (figura 21). No se ha fotografiado una antena determinada de la que procedan los ataques, debido a la gran cantidad de antenas encontradas en el complejo Bungalows Santa Bárbara, que es desde donde se ha confirmado que procede el ataque. 16
Los datos recogidos se muestran a continuación: Puntos de acceso afectados Complejo atacante Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel Barbados Barbados Bungalows Santa Bárbara 1a-Santa Barbara Wavenet Canarias 17
Hotel Seaside Sandy Beach El procedimiento que se ha seguido en el hotel Sandy Beach ha sido el mismo que se ha descrito en casos anteriores. A continuación figura la captura de paquetes realizada (ilustración 22). Ilustración 22: Recorte de captura de tráfico en el hotel Sandy Beach Las desconexiones son dirigidas contra las direcciones: "Ubiquiti_9a:f4:7f" y "SunConve_a8:da:e9". Como se observa en la figura 23 ambos puntos de acceso pertenecen a la red Sandy. Ilustración 23: Información del punto de acceso atacado Ilustración 24: Mapa de la zona afectada desde Sandy Beach 18
En el mapa anterior muestra que las desconexiones son emitidas desde dos puntos distintos, con ello se asegura que el ataque cubra prácticamente la totalidad del complejo Sandy Beach. El primero de los focos procede de los apartamentos del complejo Monterrey, mientras que el segundo proviene de los apartamentos Las Góndolas. Los datos recogidos se muestran a continuación: Puntos de acceso afectados Complejos atacantes Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel Seaside Sandy Beach sandy Apartamentos Monterey / Apartamentos Las Góndolas 1a-Monterrey / 1a-Las Gondolas Wavenet Canarias 19
Hotel Caserío Se ha realizado una captura de red desde las inmediaciones del hotel Caserío con el fin de verificar que, efectivamente, se reciben peticiones de desconexión contra los clientes que se encuentren en dicha red. Ilustración 25: Recorte de la captura de tráfico desde el hotel Caserío En la figura anterior se muestra un recorte del archivo de captura en el que se recogen y aprecian peticiones de desconexión a dos redes distintas: "Ubiqui_34:38:7e" y "Ubiqui_76:17:35". La siguiente imagen confirma que ambas redes tienen como nombre (SSID) "El Caserio" y pertenecen al hotel Caserío. Ilustración 26: Información de los puntos de acceso atacados También observamos en la figura 26 que durante la captura se recogieron 17.056 peticiones de desconexión en la primera red de Caserío, y 4.795 en la segunda, se trata de cifras muy elevadas. No se ha podido trazar en un mapa un radio donde se determine qué complejo o complejos son los emisores de dichos paquetes de desconexión. Esto se debe a la existencia de una gran cantidad de puntos de acceso cercanos emitiendo paquetes de este tipo. En la figura 27 se listan las estaciones inalámbricas ubicadas en las inmediaciones del hotel Caserío. 20
Ilustración 27: Puntos de acceso cercanos Nótese que todas las redes cercanas encontradas pertenecen también a la compañía Wavenet Canarias. 21
Hotel Corona Blanca El último complejo afectado que se ha examinado durante el presente informe es el hotel Corona Blanca, del cual se detalla a continuación la captura de paquetes obtenida. Ilustración 28: Recorte de la captura de tráfico desde el hotel Corona Blanca Ilustración 19: Información de los puntos de acceso atacados Los paquetes de desconexión son emitidos contra la dirección: "Routerbo_e9:4c:d7", que pertenece a la red "corona-blanca-pool", localizada dentro del hotel Corona Blanca. El volumen de tramas de desconexión interceptadas es muy alto también en este caso (11679 peticiones). Ilustración 30: Mapa de la zona afectada desde el hotel Corona Blanca 22
Se han localizado de nuevo dos fuentes desde donde se emiten los paquetes, la primera de ellas pertenece al hotel Maritim Playa (icono azul de la figura 30), y la segunda a los Apartamentos Las Olas (icono morado). Los datos recogidos se muestran a continuación: Puntos de acceso afectados Complejos atacantes Red del complejo atacante Proveedor de servicios de Internet en el hotel atacante Hotel Corona Blanca Corona-blanca-pool / corona_blanca Hotel Maritim Playa / Apartamentos Las Olas 1a-Maritim Playa / 1a-Las Olas Wavenet Canarias 23
Conclusiones Tras 35 horas realizando capturas y análisis de tráfico de red en las inmediaciones de los hoteles afectados por los problemas de conectividad, se confirma que se trata de un ataque de denegación de servicio mediante desconexión de los clientes. Concretamente, el ataque utilizado es del tipo "deauth" por difusión. Este ataque consiste en mantener un dispositivo inalámbrico en modo monitor escuchando en un canal concreto, recoger todos los puntos de acceso que se encuentran en el mismo y posteriormente atacarlos denegando el servicio de conexión. La antena maliciosa continuará recorriendo el resto de canales disponibles en el rango de 2.4 GHz realizando el mismo procedimiento. Para poder realizar dicho ataque basta con usar las herramientas que pone a disposición la Suite Aircrack-ng, concretamente los comandos airodump-ng para listar las antenas cercanas y aireplayng para lanzar la petición de desconexión a cada una de las redes descubiertas. Se cumple un patrón de exclusión en dicho ataque, y es que las redes ubicadas en el recinto donde están los dispositivos atacantes no sufren este problema. Estas redes, como se ha descrito en las secciones anteriores, corresponden a las que provee servicio la empresa Wavenet Canarias. Un 40,8% del tráfico capturado durante el análisis(1.239.272 paquetes), pertenece a peticiones de desconexión. Se trata de un problema grave que, además de desconectar a clientes legítimos de sus puntos de acceso, genera un importante volumen de contaminación inalámbrica para todas las redes dentro de su rango de alcance. Para finalizar, se adjunta un listado de las redes que más paquetes de desconexión han recibido (figura 31). Se da la circunstancia de que las redes pertenecientes a los complejos desde los que se emiten estos paquetes (redes propiedad de la empresa Wavenet) no han recibido ninguna trama de desconexión por difusión este tipo (figura 32). 24
Ilustración 31: Top de Redes atacadas Ilustración 32: Red del proveedor sin ataques por difusión 25