Taller de Wardriving y excursión en Barco Pirata en la Ekoparty #13


Como quizás ya saben, el Wardriving en Barco Pirata es una de las actividades más populares cada año en Ekoparty. Luego de subirse al bus barco pirata, los participantes recorren las partes más turísticas de la ciudad de Buenos Aires buscando redes WiFi para trazarlas en un mapa.



Debido a la demanda popular, este año se realizaron dos rondas en lugar de una; la primera el miércoles y otra el viernes.

En ambas ocasiones se utilizaron notebooks, celulares y una Raspberry Pi para registrar el tráfico inalámbrico. Las localizaciones se guardaron utilizando un módulo GPS conectado a la Raspberry Pi y como copia de seguridad se utilizó wigle en los teléfonos celulares.

Este año Infobyte fue el encargado de organizar la actividad, incluyendo un taller.

El tour completo del miércoles incluyó:

  • Un breve taller realizado en el Konex (aproximadamente 30 minutos)
  • La excursión de Wardriving

El día viernes el barco fue "capturado por piratas" que lo apuntaron hacia el Centro de Exposiciones y Convenciones de la Ciudad de Buenos Aires donde se estaba llevando a cabo la Exposición Smart Cities. La exhibición incluía una sección con máquina de voto electrónico, que atrajo la atención de algunos de los participantes de la Ekoparty. Aquí se puede encontrar una reseña de la experiencia por Javier Smaldone.

Creamos un nuevo repositorio en Github, para que puedas encontrar todos los recursos de la actividad, incluídas las slides del taller en PDF.


Para centralizar toda la información recopilada durante el tour decidimos utilizar Faraday, mostrando cómo se puede empujar hasta el límite el motor de Plugins de la herramienta.

Con este fin creamos tres plugins que analizan tráfico abierto buscando información de paquetes DNS y HTTP, generan un mapa y  estadísticas para cuantificar la seguridad de las redes WiFi localizadas.



Plugin de tráfico abierto


El archivo import_dns_pcap.py lee todos los paquetes de redes abiertas. Crea vulnerabilidades para cookies no encriptadas y data de autorización.

Plugin de wigle

El archivo import_wigle.py crea una vulnerabilidad con severidad Informational y adjunta un mapa como evidencia. Este plugin utiliza la base de datos SQLite de Android como entrada.

Plugin de estadísticas

El archivo import_wardriving_pcap.py genera objetos en Faraday de acuerdo a las opciones de seguridad de las redes encontradas en un archivo PCAP. Los usuarios pueden obtener estadísticas consultando el Dashboard de Faraday, incluyendo la cantidad de redes que utilizan WPA, WPA2, etc. Crea vulnerabilidades para aquellas redes abiertas o WEP.

Si alguno de los archivos PCAP contiene un 4way handshake, éste será agregado como vulnerabilidad.

Además, crea una vulnerabilidad que contiene los 10 probe requests que más se encontraron.

Resultados

Mapa

Los mapas a continuación muestran los resultados del wardriving.

Los puntos en verde corresponden a redes seguras, los amarillos a WPA y los rojos a redes abiertas y WEP.

Día 1 - Miércoles

Encontramos que el porcentaje de APs utilizando WEP fue sorprendentemente bajo. Por otro lado, la mayor parte de los APs abiertos corresponden a proveedores de internet que ofrecen WiFi de manera gratuita.

Día 2 - Viernes

Dashboard

El Dashboard de Faraday a continuación muestra una versión resumida de los resultados.


Para complementarlo generamos algunos gráficos de torta, que permiten comprender los resultados de manera más profunda.

Estadísticas de los APs encontrados. En total se capturaron 3623 APs, 2990 tenían seguridad WPA2, 427 tenían WPA, 91 WEP y 23 eran abiertos.

APs por vendor. El gráfico muestra los 10 vendors más populares. La categoría "Others" comprende aquellos que recibieron menos del 1%.

Para obtener el código de los plugins y más info, acceder al repositorio de Github acá: https://github.com/infobyte/wardriving

Queremos aprovechar para agradecer a todos los participantes del taller, en particular a los que nos acompañaron en la vuelta en Barco Pirata! Esperamos verlos pronto :)

El equipo de Infobyte
www.infobytesec.com
https://twitter.com/infobytesec






Post a Comment
Thanks for your comment