Saturday, February 4, 2017

Intercepter NG Auditar la red WiFi desde tu Android

Intercepter NG Auditar la red WiFi desde tu Android


Intercepter-NG es una herramienta para Android que nos permite capturar el tráfico de una red local a la que estemos conectados por medio de ataques de tipo ARP poisoning. Podemos encontrarlo directamente en Google Play Store, pero para que funcione en nuestro dispositivo tendremos que tenerlo rooteado. Su principal utilidad es para hacer auditorías de seguridad de caja negra sin ser descubiertos, desde redes WiFi inseguras a las que se tenga acceso en la empresa de manera similar a como se pueden hacer como DSploit.

Figura 1: Intercepter-NG. Auditar la red WiFi desde tu Andrioid

Tras descargar la aplicación y darle permisos root podremos comenzar a explotar todo su potencial. Al ejecutar el programa accederemos al menú principal, en el que se nos indicará la interfaz de red en la que estamos trabajando, la red WiFi a la que estamos conectados, la dirección IP de nuestro dispositivo Android y nuestro Gateway.

Figura 2: Arrancando Intercepter-NG

En la parte superior encontraremos un icono con forma de radar, el cual pulsaremos para comenzar a explorar la red. A continuación se nos mostrara en pantalla los dispositivos que estén conectados indicándonos su sistema operativo mediante técnicas de fingerprinting pasivo - similares a las de Satori -. Una vez seleccionados los objetivos nos aparecerá un menú en la parte superior de la pantalla, en el que encontraremos las distintas herramientas que podremos usar.

Figura 3: Opciones para los ataques. Tiene también DNS Spoofing

En la esquina superior derecha encontraremos un icono una con rueda dentada, sobre el que pulsaremos para establecer la configuración que usaremos para realizar nuestro ataque, aquí será donde podemos activar ataques como SSLStrip para atacar las conexiones HTTPs y otras funciones como el bloqueo de la pantalla para evitar que se nos apague el terminal mientras se ejecuta la aplicación.

La primera pestaña - con el icono radiactivo - nos permitirá comenzar un ataque de ARP Poisoning con el que se realizará el man in the middle y permitirá capturar el tráfico de red. Esta herramienta es la parte más importante de Interceptor-NG, ya que es necesaria para el funcionamiento del resto de opciones. Una vez pulsado el botón “Play” cada vez que la víctima visite una página esta quedara registrada. Si el protocolo de la página es HTTP y la víctima se conecta con sus credenciales, automáticamente nos aparecerá su usuario y contraseña en la pantalla al estilo del clásico Cain & Abel. Sin embargo si el protocolo es HTTPs no nos permitirá hacer esto, excepto en algunos casos que seremos capaces de burlar la capa SSL por medio de los ataques SSLStrip si no hay un Certificate Pinning configurado de forma robusta.

Figura 4: Dispositivos en la red WiFi

A la derecha encontramos otra pestaña cuyo icono es similar al de Wireshark pero de color verde. Esta herramienta nos será útil para capturar todos los paquetes que viajen por la red y realizar un análisis más exhaustivo de ellos, ya que es un snifer de tráfico general.

Figura 5: Captura de tráfico en la red

En la tercera pestaña - icono con forma de galleta - podremos encontrar las cookies que posteriormente podremos utilizar para secuestrar sesiones - hijacking -. Será tan sencillo como pulsar sobre la cookie que queramos utilizar e iniciaremos la sesión en nuestro dispositivo al estilo de FireSheep o de como se hace con DSploit.

Figura 6: Historial de navegación y cookies para hacer hijacking de session

Por ultimo tenemos una pestaña con el icono de galería, donde podremos ver las fotografías que el usuario ha visto en su pantalla durante su sesión de navegación al estilo de Network Miner. Como podréis comprobar, esta aplicación dispone de un gran potencial ya que podrá ser utilizada en cualquier lugar sin llamar la atención, lo que nos demuestra que nunca estaremos seguros al conectarnos a una red pública ya que podríamos ser víctimas de un ataque sin ni siquiera darnos cuenta de ello.

Los ataques que incorpora esta herramienta están todos descritos en el libro de Ataques en redes de datos IPv4&IPv6, pero aquí contamos con una herramienta que los implementa cómodamente para llevarlos siempre encima en nuestro terminal Android para auditorías. Aún así, antes de hacer uso de estas herramientas en redes que no son tuyas, primero asegúrate de que sabes qué es lo que estás haciendo en cada caso.

Autor: Sergio Sancho Azcoitia

Available link for download