En el mundo en constante evolución de la ciberseguridad, la necesidad de herramientas eficaces y portátiles es más acuciante que nunca. Durante una conferencia en Hack 2024, se presentó un dispositivo innovador basado en un router Glinet que responde perfectamente a esta necesidad. Este pequeño dispositivo, que cabe en un bolsillo, promete revolucionar las pruebas de penetración, las operaciones de Red Team y las intrusiones físicas al ofrecer potencia y versatilidad en un formato ultracompacto.
El ponente Clovis Carlier, más conocido por el seudónimo de Joytide, es un experto en ciberseguridad con varios años de experiencia. Cautivó a su público al demostrar cómo su sistema puede superar complejos retos ambientales y logísticos. Actualmente trabaja en Cogiceo, una empresa especializada en auditorías de seguridad.
La necesidad de dispositivos de red portátiles
Contexto y retos
Los profesionales de la ciberseguridad, especialmente los pentesters, se enfrentan a menudo a situaciones en las que los dispositivos voluminosos y pesados resultan sencillamente poco prácticos. Los entornos variados y, en ocasiones, hostiles en los que deben trabajar requieren herramientas capaces de adaptarse fácilmente sin comprometer el rendimiento. La discreción suele ser fundamental, lo que hace que los dispositivos de gran tamaño resulten poco convenientes, por ejemplo, durante las pruebas de intrusión.
Además, la posibilidad de evitar el traslado de aparatos voluminosos, o incluso frágiles, supone una ventaja tanto desde el punto de vista económico como ecológico.
Una de las principales limitaciones de las pruebas de intrusión informática es que, muy a menudo, es obligatorio estar físicamente en las instalaciones (o, en su defecto, configurar una VPN con el cliente, lo que puede resultar extremadamente complicado en muy poco tiempo, tanto desde el punto de vista logístico como en cuanto a plazos). La solución es, por tanto, enviar a una persona directamente al lugar, lo cual no es ni ecológico (dependiendo del medio de transporte), ni rentable (pérdida de tiempo para la persona), además de ser a menudo complicado desde el punto de vista logístico (emplazamiento fuera de la ciudad, combinación de medios de transporte, dificultades de alojamiento, restauración…).
Por lo tanto, es necesario disponer de un dispositivo lo más compacto posible, que se pueda enviar por paquetería y que sea capaz de funcionar de forma autónoma con acceso WAN, con el fin de establecer una VPN entre el dispositivo y el auditor y poder realizar la auditoría a distancia.
Desde el punto de vista de la seguridad de los datos del cliente, el implante no deberá contener ningún dato, con el fin de evitar su filtración en caso de pérdida o interceptación del paquete.
La solución deberá ser «llave en mano» para el cliente de la auditoría, ya que no siempre hay personal con conocimientos informáticos en todos los centros que se van a auditar.
Ejemplos de usos habituales
Ya he mencionado anteriormente las pruebas de intrusión. La ventaja de un dispositivo del tamaño de un smartphone es que, una vez instalado, se puede ocultar fácilmente, pero también permite al oyente desplazarse por las instalaciones con el dispositivo sin levantar sospechas.
Además, el hecho de enviar un dispositivo autónomo en cuanto a red y configuración permite, por ejemplo, instalarlo en una fábrica o en una sucursal, lo que permite que cualquier persona sin conocimientos de informática pueda conectarlo a la red de la empresa.
Presentación del sistema basado en el router Glinet
Descripción técnica del implante
El implante en miniatura se basa en un router 4G GLiNET XE300. Un router 4G del tamaño de un smartphone: pequeño, silencioso y económico. Sus dos puertos RJ45, imprescindibles, permitirán eludir el control de acceso a la red (NAC).
Funciona con OpenWRT (basado en Linux), un sistema operativo libre para routers que ofrece amplias posibilidades de desarrollo de complementos, y ya incluye algunas herramientas integradas, como servidores VPN.
El router cuenta con una batería integrada que, junto con la conexión 4G, le permite funcionar de forma totalmente autónoma.
Podrá utilizar herramientas que no funcionan a través del túnel VPN (limitación de ancho de banda, límite de datos mensual, cobertura móvil), como Responder, NMAP, etc.
Por lo tanto, su instalación y su transporte son muy sencillos.
Fijación del implante
Dado que el implante se envía por correo y puede instalarse en una zona no protegida, es imprescindible realizar una evaluación del estado de seguridad del implante.
En cuanto al almacenamiento, tanto la memoria interna como la tarjeta microSD están cifradas.
El firmware del router se ha personalizado, lo que complica la ingeniería inversa (TTY serie segura, cortafuegos local, refuerzo de la seguridad de Linux).
Queda por proteger físicamente el router, como los pines de depuración física (que permiten el acceso local al sistema), por ejemplo, aplicando Super Glue.
Situaciones prácticas
El dispositivo se puede utilizar fácilmente, por ejemplo, en una auditoría en una fábrica situada lejos de la ciudad (lo que evita que el auditor pierda tiempo desplazándose hasta allí para unas pocas horas de auditoría y, posiblemente, le ahorra noches de hotel), y se puede conectar a una toma de red convencional o a un armario de servidores.
Otra posibilidad sería entrar en las instalaciones de una empresa (en el marco de una auditoría) y conectar el dispositivo oculto entre un enchufe y un equipo (por ejemplo, un ordenador o una impresora), eludiendo así el NAC.
Limitaciones del implante y soluciones alternativas
La principal limitación del router son sus 128 MB de RAM, lo que restringe el uso de ciertas herramientas que consumen muchos recursos (por ejemplo, SCAPY, una herramienta que permite, entre otras cosas, manipular, interceptar o generar paquetes de red).
¿Cómo se puede hacer sin SCAPY? ¿Utilizando IPTABLES/NFTABLES (con la opción «tee» o «dup»)? Es imposible; es imprescindible especificar el destino del paquete (que no se conoce cuando se escucha la red, especialmente durante la fase de bypass del NAC).
Por ello, Clovis y Cogiceo han desarrollado una herramienta para suplir la ausencia de SCAPY; dicha herramienta se llama AAN. Consiste en crear un puente transparente entre las dos interfaces RJ45 del router y, de paso, recuperar la información del solicitante.
La tecnología 4G depende de la cobertura de los distintos operadores (zonas sin cobertura, etc.) así como de los límites del ancho de banda real (las categorías 4G 4 y 6 permiten teóricamente una velocidad de 300 Mbps, pero en realidad se observan velocidades más cercanas a los 30 Mbps), lo cual se puede solucionar conectando el router por wifi en casa del cliente o directamente a una conexión sin NAC, etc.
Función de omisión de 802.1X
Explicación del protocolo 802.1X
El protocolo 802.1X es un protocolo de red que permite autenticar los distintos dispositivos de la red. Se utiliza tanto en redes cableadas como en redes WLAN (inalámbricas).
Para autenticar los dispositivos, el 802.1X puede basarse, según la configuración, en los siguientes criterios: dirección MAC, usuario, certificado…
El funcionamiento del 802.1X se compone de los tres elementos siguientes:
- El solicitante: el dispositivo (ordenador, impresora, teléfono inteligente... u otro) que intenta conectarse a la red y que debe autenticarse.
- Se trata del iniciador del proceso de autenticación.
- El autenticador: es el equipo de red al que está conectado el solicitante. (Por ejemplo, un conmutador para la red cableada o un punto de acceso para la red WLAN).
Actúa como intermediario con el servidor de autenticación.
- El servidor de autenticación: suele tratarse de un servidor RADIUS.
- Su función es verificar la información del solicitante enviada por el autenticador.
- A continuación, determina si el solicitante está autorizado o no a conectarse a la red.
Proceso de autenticación 802.1X:
- Cuando el dispositivo (solicitante) se conecta a la red (tanto por cable como por WLAN), el puerto del dispositivo pasa al estado «no autenticado», es decir, el puerto ya no está inactivo, pero no tiene acceso a la red, por lo que no se le asigna una dirección IP si hay un servidor DHCP.
- El solicitante se comunicará a través del autenticador, que actuará como intermediario, utilizando el protocolo EAPOL (Extensible Authentication Protocol over LAN).
- El primer mensaje lo envía el solicitante, quien envía un mensaje EAPOL-Start para iniciar el intercambio. El autenticador le responde con un mensaje EAP-Request para solicitarle sus datos de autenticación.
- Una vez finalizado el intercambio entre el solicitante y el servidor de autenticación, este último enviará al autenticador (por ejemplo, un conmutador o un punto de acceso) un mensaje de «Éxito» o «Error», dependiendo de si se acepta o no la autenticación del cliente.
- Si se envía el mensaje EAP-Success, el puerto pasa al estado «autenticado» y se le permite el acceso a la red; de lo contrario, el puerto permanece en el estado «no autenticado», que no permite el acceso a la red.
Las comunicaciones entre el autenticador y el servidor de autenticación se realizan mediante una clave precompartida, a menudo en formato PSK, lo que hace que sea más difícil interceptar o modificar dichas comunicaciones.
En resumen, el protocolo 802.1X es fundamental para verificar si un dispositivo está autorizado a conectarse a la red de la empresa.
Principales vectores de ataque de 802.1X
Existen varios vectores de ataque muy utilizados para eludir el protocolo 802.1X; entre ellos cabe destacar el siguiente, cuyo objetivo es burlar el servicio de autenticación: el ataque «Man-in-the-middle». También hay ataques que provocan la caída del servicio de autenticación, como los ataques DDoS (denegación de servicio).
El ataque «Man-In-The-Middle» (MITM) consiste en espiar la red, a menudo mediante la colocación de un dispositivo de espionaje; por lo general, este dispositivo se coloca entre un equipo legítimo y un equipo de red, con el fin de interceptar todo el tráfico de red entre ambos equipos.
Una vez interceptado y analizado el tráfico de red, es posible recuperar cierta información relevante con el fin de autenticarse en la red: dirección MAC, nombre de usuario y su hash, certificado del equipo legítimo…
Ahora es posible llevar a cabo un spoofing de ARP utilizando la dirección MAC del equipo legítimo para hacerse pasar por él y, de este modo, obtener acceso a la red.
También es posible llevar a cabo el mismo tipo de ataque utilizando el certificado o la combinación de nombre de usuario y contraseña obtenidos durante las fases de interceptación.
Con un ataque MITM, también es posible llevar a cabo un ataque de suplantación de sesión EAPOL (protocolo utilizado en el proceso de autenticación); para ello, el implantado debe manipular los mensajes EAPOL cuando el solicitante legítimo se autentica, con el fin de obtener acceso a la red.
El ataque DDoS, o ataque de denegación de servicio, consiste en impedir que los usuarios legítimos puedan acceder al servicio. Este ataque puede llevarse a cabo de diferentes maneras: ataque a los servidores de autenticación (envío de un gran número de solicitudes EAPOL-Start no deseadas para sobrecargar el servidor, envío de un gran número de EAPOL-Logoff para desconectar a los usuarios legítimos de la red).
También son posibles otros ataques (que no trataremos aquí), como el aprovechamiento de vulnerabilidades en servidores RADIUS y equipos de red, con el fin de autenticarse o de interceptar el tráfico de red.
Herramienta de derivación para usar en el implante del router
El implante, gracias a sus dos interfaces de red, permite llevar a cabo ataques MITM: una interfaz conectada al lado del solicitante y otra al lado del equipo de red.
El auditor, conectado a través de 4G y su túnel VPN, puede así interceptar el tráfico de red y recopilar información con el fin de autenticarse.
Este ataque es muy eficaz, ya que resulta difícil de detectar en los servidores de autenticación (siempre que el implante replique exactamente el tráfico del solicitante y no envíe su propio tráfico, como su dirección MAC. Debe actuar como un puente transparente).
Esta herramienta puede utilizarse en caso de intrusión en las instalaciones de una empresa; basta con conectar el implante a un puerto de red conectado a un dispositivo legítimo, que a menudo no está vigilado y se encuentra en un espacio común (por ejemplo, una impresora, un televisor… o incluso un teléfono IP); lo ideal es conseguir conectar el implante entre el ordenador de un usuario y un dispositivo de red con el fin de obtener sus credenciales de red.
Teniendo en cuenta el tamaño del implante, esta maniobra puede resultar bastante fácil de realizar.
Conclusión
Resumen de los puntos clave
Las principales ventajas del implante son su tamaño (del tamaño de un smartphone) y su autonomía (batería y red 4G).
Estas dos ventajas simplifican enormemente las operaciones logísticas, tanto en lo que respecta al transporte del material como a la necesidad de contar con un auditor presente físicamente en las instalaciones.
El sistema también permite realizar varias auditorías simultáneamente en diferentes sedes.
La última ventaja es el bajo coste del implante, lo que permite colocarse varios.
La importancia de la ciberseguridad para el futuro
Estos implantes, de tamaño reducido al mínimo, son una ayuda muy valiosa tanto para los auditores o las pruebas legítimas... como para los piratas informáticos. De hecho, dada la facilidad con la que se transportan y se instalan, así como su bajo coste, a los piratas informáticos no les costará nada conseguirlos ni ponerlos en funcionamiento.
Por eso es imprescindible añadir capas de seguridad adicionales a la autenticación de red y al acceso a las instalaciones (seguridad física). También se puede pensar en sistemas anti-desconexión en las tomas no vigiladas, como las de las impresoras, además de la segmentación de la red de estas últimas.
