En mi último artículo, hablaba de las bondades del hacking sin tecnología, donde explotábamos las debilidades intrínsecas del ser humano mediante ingeniería social. Todo esto es muy bonito y seguro que más de un psicólogo tendría algo que aportar a mis palabras…pero hoy voy a irme al lado opuesto: el uso de la tecnología.
No voy a centrarme en ninguna categoría concreta, pero si voy a hacer una especie de menú de degustación para que podáis tener una visión general y seáis vosotros mismos los que decidáis en cual queréis invertir.
Normalmente cuando hablamos de esto solemos ceñirnos a un contexto de software y nos quedamos ahí, pero lo que veo que habitualmente no se menciona es la tremenda cantidad de hardware físico que existe para facilitarnos el arte de la intrusión. Suele ser el gran olvidado, y por este motivo creo que un artículo que aporte algo de información puede ser útil a todas las personas que estén interesadas en esta disciplina.
Obviamente cada dispositivo es útil en un contexto y aunque suele ser de consenso común el conocimiento de en cual aplicamos cada cacharrito os aseguro que hay gente con una capacidad increíble de encontrar utilidades nuevas continuamente.
Dispositivos inyectores de teclado
Hay muchos a este respecto actualmente, pero de los primeros en salir al mercado, por no decir el primero, fue Rubberducky de Hak5. Este dispositivo con el aspecto de un simple pendrive permite inyectar comandos simulando un teclado conectado al equipo. ¿Qué significa esto? Significa que si consigues enchufarlo a un puerto USB de la víctima podrás escribir a velocidad de vértigo toda una serie de comandos, scripts o lo que se os ocurra que pueda hacerse con un teclado convencional. Podría pareceros poco, pero imaginad un escenario donde lo llevamos en un bolsillo y en el momento en el que alguien se levanta para ir al baño aprovechamos para conectarlo. Solo necesitamos 1 segundo para abrir una consola de comandos e insertar un usuario administrador en el sistema, incluirlo en el grupo de administradores de escritorio remoto y permitir todas las conexiones en el cortafuegos de Windows.
Y quien dice esto dice filtrar hashes ntlmv2, abrir una shell inversa mediante powershell, invocar mimikatz…y un inmenso etcétera de funcionalidades, solo limitadas por vuestra imaginación o capacidades de scripting.
Y la guinda del pastel es que a todos los efectos es un teclado. Ningún endpoint va a enfadarse por un teclado ¿verdad? Por muy quisquilloso que sea el antivirus de turno para el solo es una persona escribiendo, no un diabólico software (salvo que nos invoquemos mimikatz desde internet, claro).
Originalmente cuando buscábamos un efecto de este calibre teníamos que limitarnos a Rubberducky, pero actualmente han aparecido muchas marcas blancas mediante la denominación Badusb o HID Injector que podéis encontrar en plataformas como Aliexpress o Amazon. Básicamente son clones de Rubberducky con hardware libre y con algunas mejoras.
¿Cuáles son estas mejoras? Si bien antes teníamos que conectar el dispositivo y de inmediato lanzaba su secuencia única de teclado previamente programada, ahora disponemos de algunos que incluyen wifi y nos permiten conectarnos desde una aplicación del móvil para activarlo a voluntad, con espacio de almacenamiento incluido para poder seleccionar el efecto que más nos convenga. Eso abre la posibilidad de simplemente esperar sentado cómodamente a que la persona se despiste y ejecutar el pandemónium en su equipo en el momento adecuado.
Keyloggers de hardware
Todos conocemos los de software, un programita malvado que instalamos cuando tengamos acceso al equipo en cuestión que registra las pulsaciones de teclado para robar contraseñas, conversaciones privadas y esas cosas que los que amamos la privacidad no nos hace gracia que nos roben.
Este tipo de dispositivos hacen la misma labor, pero mediante hardware, donde los molestos antivirus no pueden buscarnos las cosquillas. Los más conocidos son los de Airdrive que únicamente tenemos que poner entre el puerto USB y el teclado como si un extensor se tratase y él ya se encargará de registrar todas las pulsaciones a las cuales podremos acceder cómodamente desde su punto de acceso wifi.
Evidentemente debemos esperar un descuido de la persona para poder colocarlo en su lugar y con equipos portátiles no nos sirve de mucho salvo que tengan un teclado conectado, pero en estaciones de trabajo es maravilloso para obtener passwords cuando todo el mundo vuelve de la hora de comer.
Drones de intrusión
¿Qué ocurre cuando queremos robar un handshake de una red inalámbrica y en la empresa han hecho bien su trabajo y han reducido el rango de cobertura únicamente al interior de su perímetro? Pues que o lloramos en un rincón o usamos un dron.
Si amigos, actualmente hay distribuciones para Kali que funcionan en una raspberry pi mediante ARM y en algún momento alguien pensó “¿un momento…y si ato una a un dron?”.
De eso tratan este tipo de proyectos. Pilotas el dron hasta el tejado del edificio, donde tengamos cobertura de la red inalámbrica y desde ahí hacemos todas las maldades que nos plazca. Discreto y eficaz. Es habitual usar el kernel de Re4son para proporcionar una forma fácil de acceder a ciertas funcionalidades clave a través de una pantalla táctil situada en el dispositivo volador.
Y muchos chismes más
El abanico es inmenso, dispositivos de clonado NFC, falsos cables de carga con un badusb incluido, pendrives que fríen los componentes electrónicos solo con conectarlos, interceptadores tipo Man in the Middle de hardware, jammers wifi como apoyo para nuestros ataques…existe de todo lo que os podáis imaginar, y cada vez habrá más, porque la tecnología evoluciona constantemente y su abaratamiento nos permite integrarla en casi cualquier cosa.
Así que, cuando ese misterioso comercial de una empresa que nunca habéis oído hablar os regale un ratón con su logo quizás deberíais plantearos si conectarlo es la mejor opción. Yo he llegado a incluir sorpresas hasta en un calentador de tazas USB ¿queréis café calentito? Tened cuidado ahí fuera.
Consultor de Ciberseguridad y Responsable del Departamento de Auditoría y Pentesting en Global Technology