elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


  Mostrar Temas
Páginas: [1]
1  Seguridad Informática / Hacking Wireless / Han entrando en mi WiFi - Necesito consejos para contrarrestar/localizar en: 14 Julio 2014, 11:42 am
Muy buen día,
 
     Pues nada señores, me estreno en el foro con este tema. Espero hacerme asiduo visitante. Siempre me ha gustado el hacking pero del lado de la luz  :laugh: , no tengo intenciones de andar metiéndome con los demás. Aunque soy informático soy bastante neófito en temas de hacking.


     Os cuento mi odisea que ha empezado este viernes por la noche. Yo siempre he sido un poco paranoico con esto de que alguien se conecte a mi WiFi y más aún porque soy admin/DBA y muchas veces trabajo desde casa y manejo información bastante delicada, llevo en españa un par de años pero apenas hace unos meses instalé un par de programas en mi PC para monitorizar mi WiFi: Who's On My WiFi y Wireless Network Watcher, no los uso simultáneamente, por defecto siempre arranca el primero y el otro lo ejecuto bajo demanda.

    Para mi sorpresa el viernes bien entrada la noche escucho "Unknow computer found" saliendo de los altavoces a través del Who's on my wifi, abro la ventana y veo 2 equipos conectados a mi wifi. Entro al router y en efecto están en la lista de conexiones a la wifi.

     Lo que hago a continuación es cambiar la password de la red, cambiar el SSID y el rango de IPs; también cambié la password administrativa del router. Yo dije "pues bueno, ya está, asunto solucionado" y hasta cierto punto era cierto, a los pocos minutos vuelve a saltar la alerta y veo nuevamente una de las MAC que ya se habían registrado. Repito el mismo proceso nuevamente, sólo que ahora también escondo el SSID, a los pocos minutos PUM, nuevamente. Total, repetí el proceso al menos unas 16 veces mas sin suerte, pero también hice un par de cosas extras cómo cambiar la cantidad de dispositivos permitidos y reduje el rango del DHCP a sólo 6 IPs, sin importar lo que hiciera allí estaba de nuevo la misma MAC.

     Ayer por la mañana decidí hacer filtrado por MAC y he puesto la del intruso en lista negra, por unos minutos funcionó hasta que pum, nuevamente tenía una IP asignada en el rango de mi WiFi.


     Cosas que he observado durante el proceso:

1.- Si bien es cierto que tanto Who's on my Wifi como Wireless Network Watcher vuelven a detectar la misma MAC ya no aparece en las estaciones autenticadas en el router ni en la lista ARP, pero sin embargo si que se le ha asignado una IP en mi red.

2.- Previo al filtrado por MAC el device name de mi router cambió COMTREND a "xxx-xxx-xxx-1.dls.xxxx.xxx.net. Donde xxx-xxx-xxx-1 es la ip del router dentro del rango de ip de mi red wifi.

3.- Durante el filtrado de MAC he visto que ahora el device name del intruso cambió de estar en blanco a xxx-xxx-xxx-2.dls.xxxx.xxx.net, siendo esta la 2da ip de la red.

4.- La MAC del intruso (asumiendo que sea su MAC real) pertenece a Zinwell Corporation 00:05:9E:xx:xx:xx (no la he puesto porque ya se que se prohibe ponerla entera).

5.- Hice una escaneo con netsurveyor y Xirrus Wifi Inspector y las MAC de las redes cercanas (incluso las que tienen el SSID oculto) no coinciden con la del atacante, asumiendo que la MAC sea real.

6.- Sin importar que tan rápido me conectara nuevamente a la Wifi posterior a cada cambio, el DHCP siempre le asignaba primero una IP a él antes que a mi.

7.- Cómo última medida reduje la cantidad de IP's a 3 en el DHCP y cuando lo hice seguía con internet pero perdía automáticamente acceso al router. Luego de perder acceso al router, observé que la dirección IP de mi PC dejaba de ser una interna de la Wifi y se convertía en una IP pública (lo vi por Wireless Network Watcher).



Mi WiFi:

- El SSID de mi red y las passwords (router y red) no eran estándar.
- Uso WPA2/AES (hubo un momento que activé el WPS hasta que leí aqui que era una caca).
- La contraseña era/es de 16 dígitos, combinando letras (mayúsculas y minúsculas), números y caracteres especiales.
- No comparto la contraseña con nadie.  
- El router básicamente es basofia (es de Jazztel).
- El router tiene usuarios por defecto para las interfaces WAN y tenía puertos de eMule abiertos en el área NAT del router.  Edit: El ISP cambió las passwords de las interfaces y yo borré los puertos del área NAT.


     Ahora mismo estoy descargando el Moocher Hunter y sólo estoy navegando por una tablet totalmente en blanco sin programas o cuentas con contraseñas por lo acojonado que estoy :(. ¿Podría este atacante haber establecido un evil twin haciéndose pasar por mi router? Lo peor es que todos mis vecions por lo que veo tienen WPS activo, otros tantos con WEP y más de uno con la red abierta (incluyendo una impresora HP).

    Lo dicho, pues nada, básicamente lo que quiero es que esa persona vaya a la cárcel sin mas. Estoy dispuesto a escuchar sugerencias, tips, advertencias, consejos, medidas para contrarrestar o localizarle, etc. Y de más está decir que estaré eternamente agradecido.

Un saludo.
Páginas: [1]
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines