Esta semana, con la noticia del pedófilo que espiaba a sus vecinos por la webcam
se ha creado mucho ruido mediático en televisiones, radios y medios de
comunicación. La noticia ha sido que se colaba en las redes WiFi
de su vecino, tomaba el control del equipo de la víctima y les
infectaba con un troyano para activar la webcam y grabarles en su casa,
lo que a muchos les parecía de ciencia ficción. Esto es porque no están
al día y no conocen casos como el del técnico de Mac que espiaba a sus clientes por la webcam, que los ladrones de tecnología caen en estas grabaciones y no saben que hasta a los espías les cazan de esta forma, así que quería escribir un poco sobre esto.
Figura 1: IndSocket RAT con soporte para grabación de webcam |
Defenderse contra la grabación en WebCam
Respecto al tema del software R.A.T. (Remote Administration Tool) que te graba con la webcam,
ya es muy conocido, y las recomendaciones son cuidar de tu sistema
operativo. En uno de los libros que más se han vendido de nuestra
colección, Sergio de los Santos (@ssantosv) se pasa más de 250 páginas hablando de cómo obtener la Máxima Seguridad en Windows
sin necesidad de utilizar un antimalware - el cual es archirecomendable
para saber más de seguridad -, pero para resumir todo en una pequeña
lista yo os propondría.
- Actualiza todo el software de tu equipo: No sé ni cuantas veces hemos hablado de esto, pero es que es verdad, hay que hacerlo. Para que el atacante pudiera tener control de tu máquina necesitaría saber las claves o explotar un bug al estilo de un pentester con Metasploit, así que evita que tenga bugs que explotar. Si lees este ejemplo te darás cuenta de que basta con que tengas el Flash sin actualizar y ... adios equipo. Actualiza el software de tu equipo o entrégalo al enemigo.
- Pon contraseñas robustas: Si no puede explotar un bug, evita que tus claves puedan ser adivinadas porque sean una basura, así que ten una política de claves seguras y cámbialas periódicamente.
- Usa un antimalware: Un antimalware reconoce casi todo el software comúnmente utilizado por ciber-acosadores para grabar con la webcam, así que ponte uno bueno con protección en tiempo real. Esto es también para ti que tienes Mac OS X y has oído que no hay malware en Mac OS X. Aquí tienes algunos tips para sobre cómo saber si tienes malware en tu Mac.
- Tapa la webcam y el micro: Lo mejor en estos casos es la seguridad física, así que como ya os he dicho muchas veces, tapa la webcam o ponte sexy para salir en Internet. Recuerda que las grabaciones tuyas se venden, tanto si estás desnudo como si no, porque muchos acosadores compran vídeos de gente haciendo cosas normales para engañar a sus víctimas. No te fies de un extraño ni aunque lo veas por la webcam.
- Deshabilitar la webcam en el sistema: Se puede deshabilitar la webcam por software en el sistema operativo, pero si el malware corre con privilegios en el sistema podría habilitar tanto la webcam como el sistema. Ojo, mucha gente se pierde a la hora de volver a habilitar los dispositivos multimedia en Windows.
- Usa webcams con tapa y luces: Muchas webcams tienen una tapa de privacidad, y otras tienen luces de aviso. Algunas de estas cámaras con luces de aviso no se iluminan cuando se sacan fotos, pero si el atacante no sabe si tiene luz o no, entonces se verá la luz encendida si alguien se conecta.
Asegurar tu WiFi contra la intrusión no deseada
Proteger tu red WiFi es algo que debes hacer sí o sí. Para ello, hace ya más de 6 años publiqué una serie de artículos por aquí sobre Cómo proteger tu red WiFi. En esos artículos os hablaba de como funciona WEP, WPA, WPA-PSK y cómo acabar montando WPA-Enterprise con un servidor Radius de Windows.
Para que te pongas una red de los más robusta. Para un entorno de
usuario doméstico este sería el resumen de cosas que deberías tener en
cuenta en cuatro areas diferentes:
1) Fortificar la configuración de la red WiFi
- Establece cifrado WPA/WPA2 - PSK: Es lo más robusto que hay hoy en día, aunque no es ni mucho menos infalible, ya que existen formas de atacar un red con WPA/WPA2-PSK, pero es lo más que podemos tener en cuanto a cifrado de red en entornos domésticos.
- Cambia el SSID: El SSID es el nombre de la red, y los SSID son necesarios para poder crackear WPA/WPA2-PSK con ataques de diccionario, así que si pones uno que nadie haya pre-calculado antes, mejor que mejor.
- Cambia la clave por defecto: Las redes WPA/WPA2 - PSK también se atacan por el descubrimiento de los algoritmos que usaron los fabricantes para establecer claves por defecto. Herramientas como Liberad a WiFi o el archifamoso e histórico WLanDecrypter se hicieron muy populares por hacer esto, pero hay muchas como WLanAudit, iWep y un largo etcétera para algoritmos de claves de redes WiFi de routers de todo el mundo.
Figura 2: WLAN Audit para iOS |
- Oculta el SSID: Al ocultar el SSID de tu red haces que tu punto de acceso WiFi no emita los beacon frames con el nombre de la red. Ocultarlo hace que sea un paso más de trabajo para el atacante descubrir los Probe de los clientes que se conectan, pero evita curiosos. Para ello, asegúrate de marcar la opción de "Conectar a esta red aún cuando no se detecte" en la configuración de la rede WiFi en tu sistema operativo Windows y antes de aplicar la ocultación de red WiFi ten en cuenta que esta medida puede afectar a tu privacidad personal.
- Cambia periódicamente el SSID y la clave: Aunque no te lo creas, aún así te pueden crackear la red, así que cambia de vez en cuanto estos valores para que no acabe tu configuración publicada en bases de datos de Wardriving. Estas bases de datos comparten las claves de redes WiFi geoposicionadas como WiFiGet, y algunas soluciones hasta usan Four Square, por lo que para cualquier que pase por allí podría venirle bien tu red WiFi.
- Desactiva WPS (WiFi Protected Setup): Esta característica permite que un equipo se conecte a la WiFi utilizando un código temporal que simplifica todo el proceso de "enrollment" de un nuevo equipo. Por desgracia las implementaciones de muchos routers no detectan los ataques de fuerza bruta y en unos minutos están en tu red WiFi. Así que desactívalo y evita estos ataques de un tirón.
- Filtra por direcciones MAC de conexión: Tampoco es una medida definitiva, pero complica un poco más el trabajo del atacante, y ayuda localizar mejor a los atacantes. Para ello, en el panel de administración crea un filtro por dirección MAC para todos los equipos de tu red doméstica.
- WPA/WPA2 - Enterprise: Si quieres quitarte de problemas en la rede tu empresa, pues piensa en utilizar WPA2 Enterprise con EAP-TLS, TLS-EAP-TLS, PEAP-TLS, o PEAP-MSCHAPv2 o algo similar para que tu red sea mucho más difícil de atacar.
- Apaga la WiFi cuando no la usas: Cuanto menos cómoda sea la red para cualquier atacante mejor. Menos tiempo tendrá para atacarla y menos podrá disfrutarla.
2) Fortificar la configuración de tu router WiFi
- Actualiza el firmware de tu AP: No solo tienes que actualizar el software de tu equipo, sino también el software de tu router o punto de acceso. Para ello busca en la web del fabricante y pon el último que haya disponible para tu hardware.
- Cambia la contraseña de administración de tu punto de acceso: Las passwords por defecto son un grave problema en estos dispositivos, así que procura cambiarla. Ya vimos como incluso desde un correo electrónico era posible atacar un router AP aprovechando alguna de las múltiples vulnerabilidades de CSRF que suelen tener.
- No permitas la consola de administración en la WAN: Ni la consola de administración WAN, ni la consola de comandos vía Telnet o SSH. Deja que solo alguien conectado a la LAN pueda configurar las características de tu dispositivo.
- Configura el Firewall de Internet y Filtra por IP: Evita que desde Internet se puedan conectar a los equipos de tu red a ningún puerto, y sobre todo evita configuraciones en las que envíes todo el tráfico de Internet a un equipo de la red, ya que lo van a brear. Si aparte de filtrado MAC, quitas el servidor DHCP y filtras por dirección IP de cliente, se lo pondrás un poco más difícil al atacante, aunque configurar y administrar tu red se hará un poco más trabajoso.
3) Fortificar la conexión desde el cliente
- Valida el BSSID de tu red WiFi: Los sistemas operativos Windows validan el BSSID, es decir, que no ha cambiado el identificador de la red que depende de la dirección MAC. Esto es así para evitar suplantación de routers y ataques de Rogue AP. En el caso de Mac OS X no se valida el BSSID y tampoco en los sistemas operativos iOS de iPhone o iPad.
- Utiliza una conexión VPN: Tanto si la red es tuya como si no, estar en una red WiFi compartida es como "living in the jungle", así que tira una VPN para evitar que alguien te intercepte cualquier comunicación. Recuerda el ejemplo de hackeando al vecino hax0r que me roba la WiFi y todos los ataques en redes IPv4 & IPv6 que se pueden hacer.
Figura 3: Firewall avanzado de Windows Vista |
- Configura el Firewall de tu sistema operativo: Una vez que abres la VPN, el firewall del tu router no va a ayudarte, así que tienes que tener el de tu sistema operativo activo y restringiendo todos los protocolos de entrada a tu equipo. Si tienes un equipo Windows, selecciona la opción de "Red Pública" en le perfil de la conexión, que es el más restrictivo de todos - si solo vas a conectarte a Internet - y configura en detalle luego tu firewall.
4) Monitoriza la red periódicamente
- Revisa los logs del router o punto de acceso Wi-Fi: Revisa las direcciones MAC y las direcciones IP de conexión a tu red. Si tienes filtrado de MAC, y alguien consiguiera entrar en la red, entonces en la red habrá varios equipos con la misma dirección IP sobre la misma dirección MAC. Esto genera alertas en software IDS (Intrusion Detection System). Si no tienes filtrado de dirección MAC, seguramente el atacante usará una falsa y tendrá otra dirección IP para no generar alertas de seguridad, pero será más fácil darse cuenta de que hay un nuevo equipo en la red.
- Utiliza escaneo pasivo de conexiones: Uno de los que más me gusta y menos ruido hace porque es pasivo aunque ya es un poco antiguo, es Satori (se puede descargar desde aquí Satori), un scanner de red que detecta los equipos en tu red por medio de las direcciones IPv4, IPv6 y direcciones físicas MAC que se usan en la red. Escanea el tráfico periodicamente de forma silenciosa a ver si tienes algún huésped no deseado. Puedes usar WireShark o lo que quieras para este trabajo.
Figura 5: Satori Sniffer |
Por último, no quisiera terminar este artículo sin decir que nada de esto vale si te descargas cualquier cosa de Internet, has desactivado UAC o das clic a cualquier Applet Java que te llega desde esa página que tanto te gusta de cheaters.
Fuente: http://www.elladodelmal.com/2013/05/asegurar-tu-red-wifi-para-que-no-te.html
No hay comentarios:
Publicar un comentario