Archivi tag: wi-fi

WI-FI IP camera (made in China) ed il traffico di rete “anomalo”

Che io sia paranoico è risaputo, soprattutto se mi ritrovo ad aver a che fare con hardware made in China. Diciamo anche che nella mia rete tendo a tenere sotto controllo tutto il traffico, sia in entrata che in uscita.

Per farla breve, ho installato questa IP camera WI-FI ed ho iniziato a monitorare, mediante Iptables, tutto il traffico in uscita. Ecco uno stralcio del file di log:

Dec 10 14:04:25 nightbox kernel: [3094903.376462] HTTP direct traffic: IN=eth1 OUT=eth0 SRC=10.1.x.x DST=58.61.155.158 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=41186 DF PROTO=TCP SPT=3755 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 10 14:10:39 nightbox kernel: [3095278.163044] HTTP direct traffic: IN=eth1 OUT=eth0 SRC=10.1.x.x DST=58.61.155.158 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=20423 DF PROTO=TCP SPT=4005 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 10 14:10:42 nightbox kernel: [3095281.160190] HTTP direct traffic: IN=eth1 OUT=eth0 SRC=10.1.x.x DST=58.61.155.158 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=20424 DF PROTO=TCP SPT=4005 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 10 14:16:40 nightbox kernel: [3095639.086794] HTTP direct traffic: IN=eth1 OUT=eth0 SRC=10.1.x.x DST=58.61.155.158 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=26618 DF PROTO=TCP SPT=4724 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Dec 10 14:16:43 nightbox kernel: [3095642.083772] HTTP direct traffic: IN=eth1 OUT=eth0 SRC=10.1.x.x DST=58.61.155.158 LEN=60 TOS=0x00 PREC=0x00 TTL=63 ID=26619 DF PROTO=TCP SPT=4724 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

In soldoni, ogni 6 minuti (per un certo lasso di tempo), il giocattolino in questione provava a contattare l’IP 58.61.155.158 sulla porta 80. Per far cosa, poi?

Per capirci qualcosa in più ho deciso di effettuare una query DNS inversa mediante il comando host:

nightfly@nightbox:~$ host 58.61.155.158
Host 158.155.61.58.in-addr.arpa. not found: 3(NXDOMAIN)

Uhm, not found, brutto segno. Quindi ho eseguito un whois:

nightfly@nightbox:~$ whois 58.61.155.158
% [whois.apnic.net node-4]
% Whois data copyright terms    http://www.apnic.net/db/dbcopyright.html

inetnum:        58.61.155.152 - 58.61.155.167
netname:        shenzhenshirongdaxinxijishuyoux
descr:          shenzhenshilonggangqubujizhenbaolinglonggangdianxinfenjuIDCjifang¡£
country:        CN
admin-c:        SZ-AP
tech-c:         IC83-AP
mnt-by:         MAINT-CHINANET-GD
changed:        gdtel_ipreg@163.com 20100108
status:         Allocated non-portable
source:         APNIC

person:         SHENZHEN WANJIAN
address:        Communication Bldg, No.48 Yi Tian Rd., Futian Shenzhen, China
country:        CN
phone:          +86-755-28812000
e-mail:         ipadm@gddc.com.cn
remarks:        IPMASTER is not for spam complaint,please send spam complaint to abuse@gddc.com.cn
nic-hdl:        SZ-AP
mnt-by:         MAINT-CHINANET-GD
changed:        CHENYIQ@GSTA.COM 20080328
source:         APNIC

person:         IPMASTER CHINANET-GD
nic-hdl:        IC83-AP
e-mail:         ipadm@189.cn
address:        NO.1,RO.DONGYUANHENG,YUEXIUNAN,GUANGZHOU
phone:          +86-20-83877223
fax-no:         +86-20-83877223
country:        CN
changed:        ipadm@189.cn 20110418
mnt-by:         MAINT-CHINANET-GD
remarks:        IPMASTER is not for spam complaint,please send spam complaint to abuse_gdnoc@189.cn
abuse-mailbox:  abuse_gdnoc@189.cn
source:         APNIC

Ok, in realtà stava contattando un server cinese. Un portscan stealth mi ha restituito questo output:

nightfly@nightbox:/etc/apache2$ sudo nmap -sS 58.61.155.158

Starting Nmap 5.00 ( http://nmap.org ) at 2012-12-09 20:48 CET
Interesting ports on 58.61.155.158:
Not shown: 992 filtered ports
PORT     STATE  SERVICE
21/tcp   closed ftp
25/tcp   closed smtp
53/tcp   open   domain
80/tcp   open   http
110/tcp  closed pop3
1433/tcp closed ms-sql-s
5631/tcp open   pcanywheredata
8888/tcp open   sun-answerbook

Check veloce sulla porta 80, su cui gira una pagina in ASP (ecco lo screenshot):

ipcamera.png

Quale account non esiste? La pagina di configurazione dell’aggeggio non ha nessun form di registrazione, quindi di cosa stiamo parlando?

Altro check, stavolta sulla 8888:

ipcamera2.png

Porta differente, ma identico risultato.

I fantastici costruttori cinesi hanno pensato bene di mettere in ascolto quel server su due differenti porte, poichè spesso e volentieri la porta 80 in uscita è filtrata (proxy?).

Per andare ancora più a fondo alla questione ho deciso di usare uno sniffer, ovvero tcpdump:

22:30:16.159916 IP google-public-dns-a.google.com.domain > guest1.mialan.org.3076: 797 1/0/0 A 58.61.155.158 (47)
E..K; ../.5m....
....5...7Z..............www.nwsvr.com..............'..:=..
22:30:16.161941 IP 10.1.x.x.3718 > 58.61.155.158.www: Flags [S], seq 1520784463, win 5840, options [mss 1460,sackOK,TS val 464$
E..<..@.@...
...:=.....PZ.TO...................
.F..........

Non sembrava che venissero inviate informazioni sensibili (aka password di account email ed FTP), ma piuttosto sembrava del semplice polling.

Qualcosa di utile tcpdump però l’ha fatto, ovvero mi ha rilevato l’hostname dell’IP 58.61.155.158, ovvero www.nwsvr.com, il cui whois è il seguente:

Registrant:
  Organization   : shenzhenshi hui yan shi xun dian zi you xian gong si
  Name           : LuoYingchun
  Address        : 6 northern zone,shangxuekejicheng, shenzhen ,china
  City           : shenshi
  Province/State : guangdongsheng
  Country        : china
  Postal Code    : 518000

Administrative Contact:
  Name           : LuoYingchun
  Organization   : Luo yingchun
  Address        : 6 northern zone,shangxuekejicheng, shenzhen ,china
  City           : shenzhen
  Province/State : Guangdong
  Country        : CN
  Postal Code    : 518000
  Phone Number   : 86-755-26988288
  Fax            : 86-755-26988233
  Email          : robbi_luo@163.com

Technical Contact:
  Name           : LuoYingchun
  Organization   : Luo yingchun
  Address        : 6 northern zone,shangxuekejicheng, shenzhen ,china
  City           : shenzhen
  Province/State : Guangdong
  Country        : CN
  Postal Code    : 518000
  Phone Number   : 86--83333333
  Fax            : 86--83333333
  Email          : robbi_luo@163.com

Billing Contact:
  Name           : LuoYingchun
  Organization   : Luo yingchun
  Address        : 6 northern zone,shangxuekejicheng, shenzhen ,china
  City           : shenzhen
  Province/State : Guangdong
  Country        : CN
  Postal Code    : 518000
  Phone Number   : 86--83333333
  Fax            : 86--83333333
  Email          : robbi_luo@163.com

Alla fine ho scoperto che si trattava di un servizio di DDNS. Ho spulciato le configurazioni dell’IP camera e mi sono ritrovato questo settaggio abilitato (di default):

 

ipcamera3.png

Ovvero, l’aggeggino non faceva altro che tentare di comunicare al server (cinese) l’indirizzo IP pubblico della mia WAN. E con la privacy come la mettiamo?

Ho tolto la spunta ed il traffico “anomalo” ha cessato di esistere.

Alla prossima.

Concetti di sicurezza informatica: attacchi wireless

L’introduzione delle tecnologie wireless nell’ambito del networking è stata una vera a propria rivoluzione. Per contro, però, tali tecnologie hanno messo in luce numerose falle di sicurezza, alcune delle quali piuttosto serie.

Vediamo ora quali sono gli attacchi che mirano all’integrità delle reti wireless.

Parking lot

Tale attacco è molto semplice da perpetrare: si parcheggia in prossimità di uno stabile in cui è presente una rete wi-fi aperta o vulnerabile (vedi WEP) e la si usa come ponte per compromettere le macchine della rete interna oppure per navigare su Internet gratuitamente.

Come contromisura a tale tipologia di attacco si potrebbe:

1) definire una chiave di cifratura che sfrutti un algoritmo robusto (aka WPA o ancora meglio WPA2);

2) utilizzare un filtro basato sui MAC address (anche se tale contromisura è facilmente aggirabile mediante il MAC spoofing);

3) nascondere l’SSID (anche questa contromisura è molto blanda, in quanto esistono degli strumenti software in grado di rilevare gli SSID nascosti, vedi NetStumbler).

4) regolare la potenza erogata alle antenne e posizionarle in modo da non superare eccessivamente i confini dello stabile.

Inoltre, è sempre opportuno piazzare gli AP in una VLAN apposita (dirty), prevedendo una politica di NAC (Network Access Control), che consenta di verificare lo stato di sicurezza dei PC (patch di sicurezza, presenza di un software antivirus, eventuali policy di firewalling lato client e così via). Nel caso in cui le condizioni minime di sicurezza non vengano rispettate, viene imposta un’azione di remediation che potrebbe operare nei modi più disparati, ad esempio:

1) non consentire ai PC client di avere accesso a nessuna risorsa di rete interna o esterna;

2) consentire ai suddetti PC di navigare su Internet, previo inserimento di opportune credenziali temporanee (alias ticket) nell’ambito di un captive portal;

3) consentire la navigazione solo tramite transparent proxy.

Wardriving

Questa tecnica consente di individuare e mappare (mediante GPS) gli AP vulnerabili o senza cifratura presenti lungo un percorso prestabilito. Successivamente, tali percorsi potrebbero essere resi pubblici affinchè anche altri soggetti possano usufruire dei suddetti punti di accesso gratuiti, mediante le modalità viste nell’ambito del parking lot.

 

wi-fi,evil twin,rogue access point,blue snarfing,blue jacking,parking lot,war driving,war chalking

Warchalking

Molto simile al wardriving, essa prevede che vengano marcati con dei simboli specifici gli stabili che ospitano reti wi-fi libere o vulnerabili.

 

wi-fi,evil twin,rogue access point,blue snarfing,blue jacking,parking lot,war driving,war chalking

Rogue Access Point

Questo attacco presuppone che si abbia accesso fisico presso l’edifico che ospita la rete target. In particolare, l’attaccante collega un AP di sua proprietà su una torretta di rete e lo usa come ponte per accedere alla rete interna.

Anche in questo caso, le contromisure applicabili sono molteplici:

1) evitare di patchare le torrette di rete non utilizzate;

2) nel caso in cui esse siano già state patchate, implementare un meccanismo di port security sugli switch;

3) utilizzare un meccanismo di accesso alla rete basato sul protocollo 802.1X.

 

wi-fi,evil twin,rogue access point,blue snarfing,blue jacking,parking lot,war driving,war chalking

Evil twin

Di questa tipologia di attacco ho già parlato qui. In soldoni, viene tirato su un secondo AP con lo stesso SSID e del primo e viene sniffato tutto il traffico in chiaro proveniente dai client connessi (mediante appositi tool, ad esempio Ettercap o più semplicemente Wireshark).

Bluejacking

A differenza delle minacce fin’ora descritte, che riguardano principalmente le reti wi-fi, questa tipologia di attacco coinvolge le reti bluetooth, altrimenti conosciute come piconet.

Nella fattispecie, il bluejacking consiste nell’inviare alla vittima messaggi indesiderati, dunque non provoca alcun danno materiale se non una pesante seccatura.

 

wi-fi,evil twin,rogue access point,blue snarfing,blue jacking,parking lot,war driving,war chalking

Bluesnarfing

Più invasivo invece è il cosiddetto bluesnarfing. Questo attacco consente di ottenere accesso abusivo sul dispositivo mobile, in modo da scaricare i dati in esso contenuti (immagini, rubrica, ecc.)

In entrambi i casi esistono delle contromisure efficaci, ovvero:

1) abilitare il bluetooth solo quando strettamente necessario;

2) prevedere l’inserimento di una password per le suddette connessioni, magari modificando quella di default (poichè troppo facile da individuare).

Interferenze ed isolamento

Per disturbare il corretto funzionamento delle reti wi-fi o delle reti di telefonia mobile possono essere utilizzati dei dispositivi appositi, denominati jammer.

 

wi-fi,evil twin,rogue access point,blue snarfing,blue jacking,parking lot,war driving,war chalking

Il post termina qui.

Alla prossima.