Seguretat Sense Fils

1.1 Descripció General

Solucions de seguretat Protego

Molts dels nostres clients estan preocupats per la seguretat de les seves xarxes Wi-Fi, i amb raó. Com que els senyals sense fils es poden rebre fora de les instal·lacions i les xarxes sense fils són essencialment xarxes internes, és essencial verificar periòdicament l'eficàcia de les mesures de seguretat Wi-Fi. La fortalesa de la seguretat d'accés a la xarxa no està directament relacionada amb el Wi-Fi, però és igualment crucial; d'aquesta manera, si un atacant aconsegueix accedir a la xarxa sense fils, encara no podrà accedir a recursos confidencials.

Part del nostre acord amb Pixel Paradise inclou proves exhaustives de la seguretat de la seva xarxa Wi-Fi. Pixel Paradise està ubicat en un entorn urbà d'alta densitat, per la qual cosa moltes persones podrien detectar la seva LAN sense fils i intentar penetrar-hi. Els actius de producte de Pixel Paradise són digitals, de manera que un compromís exitós de la xarxa interna podria provocar pèrdues comercials considerables.

A les seccions següents, aprendràs sobre diferents atacs sense fils i vulnerabilitats.

1.2 Punts d'accés no autoritzats (Rogue AP)

Un dels atacs sense fils més simplistes implica que un atacant instal·li un punt d'accés (AP) fals en una xarxa per enganyar els usuaris perquè es connectin a aquest AP. Bàsicament, l'atacant pot utilitzar aquest AP dubtós per crear una porta del darrere (backdoor) i obtenir accés a la xarxa i als seus sistemes, com s'il·lustra a continuació:

1.3 Atacs de bessons malvats (Evil Twin)

En un atac de bessó malvat, l'atacant crea un punt d'accés fraudulent i el configura exactament igual que la xarxa corporativa existent, com s'il·lustra a la següent imatge:

En general, l'atacant utilitza la suplantació de DNS (DNS spoofing) per redirigir la víctima a un portal captiu clonat o a un lloc web. Quan els usuaris inicien sessió al bessó malvat, un hacker pot injectar fàcilment un registre DNS falsificat a la memòria cau del DNS, canviant el registre DNS de tots els usuaris a la xarxa falsa. Qualsevol usuari que iniciï sessió al bessó malvat serà redirigit pel registre DNS falsificat injectat a la memòria cau.

Un atacant que realitza un atac d'enverinament de la memòria cau del DNS (DNS cache poisoning) vol que la memòria cau accepti un registre falsificat. Algunes formes de defensar-se contra la suplantació de DNS són l'ús de filtratge de paquets, protocols criptogràfics i funcions de detecció de suplantació proporcionades per les implementacions sense fils modernes.

CONSELL: Els portals captius són portals web que s'utilitzen normalment en xarxes sense fils en llocs públics, com aeroports i cafeteries. En general, s'usen per autenticar usuaris o simplement per mostrar els termes i condicions que s'apliquen quan s'utilitza la xarxa. Els atacants poden fer-se passar per portals captius per realitzar atacs d'enginyeria social o robar informació confidencial.

1.4 Atacs de dissociació (o desautenticació)

Un atacant pot fer que clients sense fils legítims es desautentiquin de punts d'accés legítims o encaminadors sense fils per provocar una condició de denegació de servei (DoS) o per forçar aquests clients a connectar-se a un bessó malvat. Aquest tipus d'atac també es coneix com a atac de dissociació perquè l'atacant dissocia (intenta desconnectar) l'usuari de l'AP d'autenticació i després realitza un altre atac per obtenir les credencials vàlides de l'usuari.

Un identificador de conjunt de serveis (SSID) és el nom associat amb una xarxa d'àrea local sense fils (WLAN) 802.11. Els noms SSID s'inclouen en text pla en molts paquets sense fils i balises (beacons). Un client necessita conèixer el SSID per associar-se amb un AP. És possible configurar eines passives com Kismet o KisMAC per escoltar i capturar SSID i trànsit de xarxa. A més, eines com Airmon-ng (part de la suite Aircrack-ng) poden realitzar aquest reconeixement.

Exemple - Inici d'Airmon-ng

A l'exemple anterior, la sortida mostra que la interfície wlan1 s'utilitza per al monitoratge. La comanda ip -s -h -c link show wlan1 serveix per verificar l'estat. Quan poses una interfície en mode monitor, Airmon-ng verifica si hi ha processos que interfereixin. Per aturar-los, pots usar airmon-ng check kill.

L'eina Airodump-ng es pot utilitzar per detectar i analitzar el trànsit, com es mostra a l'exemple.

Exemple - Ús de l'eina Airodump-ng

Pots fer servir Airodump-ng per rastrejar xarxes i obtenir els seus SSID i canals. Moltes corporacions configuren els seus AP per no anunciar (difondre) els seus SSID. No obstant això, si espies una xarxa el temps suficient, eventualment atraparàs un client intentant associar-se i obtindràs el SSID.

A l'exemple, pots veure el BSSID (adreça MAC de l'AP), l'ESSID (nom de la xarxa) i el protocol de xifratge (ENC), que pot ser WPA, WPA2, WPA3, WEP o Obert (OPN).

Realització d'un atac de desautenticació:

A la imatge es veu l'eina Aireplay-ng llançant l'atac. L'atacant envia paquets de desautenticació (DeAuth) al BSSID 08:02:8E:D3:88:82 i al client víctima. L'opció -c accelera l'atac enviant els paquets directament al client.

L'estàndard 802.11w defineix la protecció de trames d'administració (MFP), que ajuda a defensar-se d'aquests atacs.

NOTA: Molts adaptadors sense fils no permeten injectar paquets. Per a una llista d'adaptadors compatibles, consulta theartofhacking.org/github.

1.5 Atacs a la llista de xarxes preferides (PNL)

Els sistemes operatius i els suplicants (clients) mantenen una llista de xarxes preferides (PNL) amb els SSID i contrasenyes. Els clients utilitzen aquestes xarxes per associar-se automàticament. Els atacants poden escoltar aquestes sol·licituds i fer-se passar per les xarxes preferides perquè els clients s'hi connectin, permetent escoltar o manipular la comunicació.

1.6 Interferència i bloqueig del senyal sense fils (Jamming)

L'objectiu d'interferir (jamming) és crear una condició de DoS total o parcial generant soroll aleatori en les freqüències utilitzades. Amb les eines adequades, un atacant pot desconnectar clients legítims.

1.7 Conducció de guerra (War Driving)

El War Driving és un mètode per trobar punts d'accés desplaçant-se (conduint o caminant). Amb poc temps, es pot obtenir molta informació. El War Flying és similar però utilitzant drons o vehicles aeris.

CONSELL: Un lloc popular és WiGLE (https://wigle.net), on els usuaris pugen informació de xarxes detectades.

1.8 Atacs per vector d'inicialització (IV) i protocols no segurs

Atacs contra WEP

WEP és un protocol obsolet i s'ha d'evitar. Utilitza claus de 40 o 104 bits i un Vector d'Inicialització (IV) de 24 bits enviat en text pla. WEP utilitza l'algorisme RC4 d'una manera que permet desxifrar la clau (PSK) amb poc esforç, ja que l'IV es reutilitza i es pot predir. Un atacant pot utilitzar Aircrack-ng per recuperar la clau WEP:

Iniciar mode monitor: airmon-ng start wlan0 11
Capturar trànsit: airodump-ng -c 11 --bssid 08:02:8E:D3:88:82 -w ciber_capture wlan0
Injectar paquets ARP per accelerar la recollida d'IVs: aireplay-ng -3 -b [BSSID] -h [MAC_ORIGEN] wlan0
Crackejar la clau: aircrack-ng -b [BSSID] ciber_capture.cap

Atacs contra WPA/WPA2

WPA i WPA2 són susceptibles a atacs, tot i que WPA3 soluciona moltes vulnerabilitats. WPA no és susceptible als atacs d'IV del WEP, però es pot capturar el protocol d'enllaç de quatre vies (4-way handshake) i aplicar força bruta.

Passos de l'atac:

Monitorar la xarxa i trobar clients.
Enviar paquets DeAuth per desconnectar el client.
Quan el client es reconecta, l'atacant captura el handshake.
Utilitzar aircrack-ng amb una llista de paraules (diccionari) per desxifrar la contrasenya.

A la següent il·lustració podem veure aquest cicle de manera gràfica:

Detall pas a pas:

Pas 1. L'atacant utilitza Airmon-ng per iniciar la interfície sense fils en mode de monitoratge, mitjançant l'ordre airmon-ng start wlan0.

Pas 2. Després de localitzar la xarxa corp-net, l'atacant utilitza l'ordre airodump-ng per capturar tot el trànsit en un fitxer de captura anomenat wpa_capture, especificant el canal sense fils (11), el BSSID i la interfície sense fils (wlan0).

Ús d'Airodump-ng per veure les xarxes i capturar el trànsit

Pas 3. L'atacant utilitza l'ordre aireplay-ng per realitzar un atac de desautenticació. L'atacant ha recopilat el protocol d'enllaç (handshake) WPA.

Ús d'Aireplay-ng per desconnectar els clients

Pas 4. L'atacant utilitza l'ordre aircrack-ng per desxifrar la PSK de WPA mitjançant una llista de paraules (diccionari).

Pas 5. L'eina triga una mica a processar-se. Després de desxifrar la PSK WPA, una finestra mostra la PSK (corpsupersecret en aquest exemple).

Atacs KRACK

Mathy Vanhoef i Frank Piessens van revelar vulnerabilitats que afecten WPA i WPA2, anomenades KRACK (Key Reinstallation Attack). Una explotació reeixida podria permetre que atacants reinstal·lin una clau de xifratge utilitzada anteriorment. La majoria de proveïdors han llançat parches per a això, i WPA3 també aborda aquestes vulnerabilitats.

Vulnerabilitats de WPA3

WPA3 introdueix el "handshake Dragonfly" (basat en EAP). Tot i ser més segur, s'han descobert vulnerabilitats (com els atacs Dragonblood) que permeten atacs de canal lateral o de degradació. També existeixen els FragAttacks (fragmentació i agregació).

Atacs WPS (Wi-Fi Protected Setup)

WPS simplifica la connexió mitjançant un PIN. Molts dispositius no bloquegen els intents fallits, fent-los susceptibles a atacs de força bruta amb eines com Reaver.

1.9 Atacs de KARMA

KARMA (Karma Attacks Radio Machines Automatically) és un atac en ruta on l'atacant escolta les sol·licituds de sondeig (probe requests) dels dispositius i crea un AP fals amb el mateix SSID que el dispositiu està buscant.

1.10 Atacs de fragmentació

Aquests atacs contra WEP permeten adquirir elements de l'algorisme PRGA per generar paquets amb eines com Packetforge-ng i injectar-los a la xarxa.

Exemple - Ús de Packetforge-ng

Podem trobar un document que descriu i demostra aquest tipus d’atac a: Fragmentation-Attack-in-Practice.pdf.

🔬 Part Pràctica — Laboratori (Cheat Sheet)

Resum de comandes essencials per a l'auditoria de xarxes amb la suite Aircrack-ng.

Captura de Handshake i atac de diccionari (WPA/WPA2)

Activa mode monitor:
```
airmon-ng start wlan0
```
Localitza l'AP (Escaneig):
```
airodump-ng wlan0mon
```

Fixa canal i captura (Sniffing):

airodump-ng -c [CANAL] --bssid [MAC_AP] -w captura wlan0mon

(Opcional) Força desconnexions (Deauth):

aireplay-ng -0 4 -a [MAC_AP] -c [MAC_CLIENT] wlan0mon

Prova diccionari (Cracking):
```
aircrack-ng -w wordlist.txt captura.cap
```

Accelerar IVs i crack WEP

Mode monitor i sniffing amb airodump-ng.
Injecta ARP per generar trànsit (Replay Attack):
```
aireplay-ng -3 -b [BSSID] -h [MAC_TEVA] wlan0mon
```
Quan hi hagi prou IVs, executa:
```
aircrack-ng captura.cap
```

Bluetooth — Bluejacking vs Bluesnarfing

Escaneja dispositius: hcitool scan, bluetoothctl.
Bluejacking: enviament de vCards; prova amb dispositius en mode discoverable.
Bluesnarfing: accés no autoritzat a dades (⚠️ no executar en entorns productius sense permís).

1.11 Pràctica - Qüestionari

Pregunta 1:
Veritat o fals: El protocol WPA3 va introduir un nou protocol d'enllaç anomenat "handshake libèl·lula" que utilitza EAP. Això garanteix que el protocol WPA3 sigui immune als atacs KRACK o DoS.

Veritat Fals

Pregunta 2:
Pixel Paradise no transmet els seus SSID. Has configurat Airodump-ng. Què ha de passar per interceptar un SSID?

Un client legítim ha d'iniciar el procés d'associació amb un AP. S'ha de desxifrar la PSK WPA. S'ha de configurar una adreça MAC falsificada a la interfície sense fils del vostre ordinador de prova. Els clients han de ser redirigits al vostre AP dubtós a través de la suplantació de DNS.

Exercicis (Multichoice clàssic)

1. Quin xifrat utilitza WPA2 per defecte?

2. Què fa l'atac de deauth?

3. Quina longitud té l'IV de WEP?

1.12 Recopilació de credencials

Implica obtenir credencials d'usuari mitjançant enginyeria social (phishing), APs falsos o portals captius falsos. Eines com Ettercap o SET (Social Engineering Toolkit) poden falsificar DNS i clonar llocs web per robar dades.

1.13 Bluejacking i Bluesnarfing

Bluejacking: Enviar missatges no sol·licitats (com vCards) via Bluetooth a dispositius vulnerables. És molest però generalment inofensiu.
Bluesnarfing: Més perillós. Permet l'accés no autoritzat i el robatori d'informació (contactes, imatges, correus) del dispositiu. També pot obtenir l'IMEI.

Eina d'exemple: bluesnarfer.

1.14 Atacs de Bluetooth de Baixa Energia (BLE)

Molts dispositius IoT usen BLE. Són susceptibles a atacs en ruta (Man-in-the-Middle), modificació de missatges o DoS. Investigacions han demostrat atacs d'empremta digital (fingerprinting) per revelar errors de disseny.

1.15 Atacs d'Identificació per Radiofreqüència (RFID)

RFID usa camps electromagnètics per rastrejar etiquetes (actives o passives).

LF (Baixa freqüència): 120-140 kHz (curta distància).
HF (Alta freqüència): 13.56 MHz (targetes intel·ligents, NFC).
UHF (Ultra alta freqüència): 860-960 MHz.

Atacs comuns:

Robatori d'informació amb lectors com Proxmark3 passant a prop de la víctima.
Clonació d'etiquetes RFID per accedir a edificis.
Implantació de skimmers en lectors legítims.
Atacs d'amplificació (Relay attacks) per llegir targetes a més distància.

1.16 Difusió de contrasenyes (Password Spraying)

Un atacant prova una contrasenya comuna (ex: "Password123") contra molts noms d'usuari diferents per evitar el bloqueig de comptes. El Farciment de credencials (Credential Stuffing) utilitza parells d'usuari/contrasenya robats en altres bretxes per intentar accedir a nous sistemes.

1.17 Encadenament d'explotacions

Els atacs sofisticats "encadenen" múltiples exploits (coneguts o de dia zero) per comprometre sistemes progressivament.

1.18 Pràctica - Atacs sense fils

Instruccions: Relaciona cada descripció de la columna de l'esquerra amb el tipus d'atac corresponent de la llista de la dreta. Arrossega la Lletra correcta a la columna "Opció".

Llistat de categories:

A Dissociació
B Interferència (Jamming)
C Bluejacking
D Evil Twin (Bessons malvats)
E Password Spraying
F KARMA
G War Driving

A

B

C

D

E

F

G

Descripció de l'Atac	Opció
1. En aquest tipus d'atac, l'atacant intenta desconnectar l'usuari de l'AP d'autenticació i després realitza un altre atac per obtenir les credencials vàlides de l'usuari.
2. En aquest tipus d'atac, l'atacant es desplaça per trobar punts d'accés sense fils on sigui que es trobin.
3. En aquest tipus d'atac, l'atacant utilitza la suplantació de DNS per redirigir la víctima a un portal captiu clonat o un lloc web falsificat.
4. En aquest tipus d'atac, l'atacant intenta crear una condició de DoS total o parcial a la xarxa sense fils generant soroll aleatori en les freqüències.
5. En aquest tipus d'atac, un atacant podria iniciar un atac en ruta modificant els missatges de Bluetooth de baixa energia entre sistemes.
6. En aquest tipus d'atac, l'atacant escolta les sol·licituds de sondeig (probes) de dispositius sense fils i les intercepta per generar el mateix SSID que el dispositiu està buscant.
7. En aquest tipus d'atac, un atacant prova per força bruta inicis de sessió basant-se en una llista de noms d'usuari amb contrasenyes predeterminades o comunes.

Resultats Finals

Introdueix el teu nom per corregir tots els exercicis (1.11, Multichoice i 1.18).

Seguretat Sense Fils i Vectors d'Atac