Un hack *****GL

Un hack *****GL

Tiempo estimado de lectura: 6 minutos


Esta conferencia magistral pertenece a la sección 5 del Módulo 0 de C1b3rWall Academy 2021, "Ciberseguridad". En ella se trata la historia de un Red Team donde se permitió hacer lo que quisiera al equipo auditor en "condiciones difíciles".

¿Qué es un Red Team?

Un Red Team se encarga de hacer auditorías reales, una compañía contrata a otra para que le intente hackear, vulnerar sus sistemas de seguridad como sea. 

En la ponencia se explica una operación realizada en un hotel 5 estrellas gran lujo, que son establecimientos extremadamente caros y muy informatizados. Ya que tienen muchas de sus actividades digitalizadas, quisieron comprobar su nivel de seguridad.

Desarrollo de la operación

Características:

  • El director del hotel no sabía que se iba a realizar este ejercicio.
  • Contactó la cadena para simular un ataque real.
  • Se contaba con un teléfono / tarjeta de la cadena principal para evitar ir a la cárcel.

La actividad se realizó en tres días, por lo que los objetivos tenían que estar claros:

1. Control de acceso a las habitaciones

Evidentemente, para un hotel es importante que otros clientes no puedan entrar a las habitaciones. Las tarjetas eran RFID y la habitación contaba con lector. Se identificó que era una tarjeta que se podía leer fácilmente con un lector HackCUBE. Con grabar con este lector el ID de la tarjeta en cuestión en otra, era suficiente para poder entrar en la habitación, comprobando así que el control de acceso era deficiente.

2. Análisis de las comunicaciones

Se hizo la prueba de realizar un man in the middle desde el teléfono de la habitación, ya que era un dispositivo de red IP.  Desde el ordenador, se capturó cómo se comunicaba el teléfono con la centralita. En el sistema estaban usando cifrados para vídeo y voz, usando certificados propios, el problema (para ellos) estaba en que los teléfonos aceptaban cualquier certificado, aunque fueran autofirmados. Luego quedó poder escuchar la conversación, que iba por SRTP, un cifrado basado en una clave que se negocia en el SIP. Así, teniendo acceso al SIP, puedes coger la clave de cifrado del SRTP. Se pudo acceder a todas las comunicaciones de todas las habitaciones, si alguien llamaba, podía pasar a través del ordenador utilizado.

3. Controles de seguridad física

Se encontraron armarios donde estaba la electrónica de red, viendo que no tenían llave usual, sino una triangular giratoria que era fácil de sustituir con alicates. Desde ahí se tuvo acceso a las cajas y electrónica de red:

Como era en medio de unos pasillos, el plan era ponerse un uniforme de mantenimiento, pero desde la cadena de hoteles se dijo que había que hacerlo en un momento dado porque algunos técnicos se iban de vacaciones y no podrían arreglar en caso de que hubiera desperfectos. Se tuvo que hacer a plena luz del día y sin disfraces, viendo la acción tanto las camareras de piso como un bedel y personal de mantenimiento del hotel, y nadie dijo nada, algo que alarmó mucho a la cadena en el informe final

En la electrónica de red, impresionó mucho que se utilizaba una Raspberry Pi (puede verse en la siguiente imagen) que funcionaba bastante bien y había acceso físico a ella.

Para hackearla, simplemente se copió al ordenador el contenido de la tarjeta SD de la Raspberry Pi, accediendo a los scripts y pudiendo sacar usuarios, contraseñas, etc. También se tenía acceso al switch y con ello a bases de datos e incluso a la propia aplicación que asigna las llaves (tarjetas).

Con esto, se podía poner que cualquier tarjeta tuviera acceso a absolutamente todo.

De esta forma, se habían realizado todas las comprobaciones necesarias (control de acceso, comunicaciones y seguridad física), quedando todo ello vulnerado. 

Finalmente, cuando se le confesó a la dirección del hotel que se había hecho un ejercicio de Red Team, dijeron que les parecieron raras algunas cosas, pero no habían dicho nada. 


Ponente: Leonardo Nve

Leonardo trabaja como Red Team Leader, respuesta ante incidentes e investigador desde el año 2000 (actualmente en CSA), pero estaba ya antes involucrado en temas de seguridad informática desde los 90. Ha sido ponente en diferentes congresos nacionales e internacionales.