lunes, 5 de marzo de 2012

ByPass cutre-HotSpot

Como todos los que viajais algo por ahí como yo sabeis, en los hoteles está de moda ofrecer conexión a Internet (Bien!) a través de HotSpots de pago (Ouch!). Yo nunca he sido usuario de esta tecnología, porque por suerte tengo un pincho 3G y como cuando voy de hoteles tampoco suelo necesitar descargarme nada, me resulta más que suficiente.

Sin embargo, el tema de la seguridad de los HotSpot es algo que siempre oigo en boca de todos, que si tunelización por DNS (lento, lento, lento...), que si sniffar la red y hacer un MAC Spoofing para suplantar a un usuario legítimo, ... pero nunca había oído algo como lo que me encontré el otro día:


Hasta ahí todo normal ¿verdad? Hemos conectado a una Wifi abierta (nunca entenderé por qué...), y al intentar visitar cualquier página, por ejemplo Google, el HotSpot nos salta y nos pide usuario y contraseña.

Como una de las técnicas típicas que siempre se oyen es lo de "pues te pones la Mac de alguien que esté conectado y a correr!", quise pegarle un vistazo a ver cuantas personas estaban conectadas a ésta misma Wifi. Lo podría haber sacado con Airodump o algún otro software similar, pero ya que estaba conformado, me conformé con usar NMap.

# nmap -sP 10.0.0.0/22
Nmap done: 256 IP addresses (24 hosts up) scanned in 206.54 seconds

De primeras me llamó la atención de que hubiera tanta gente conectada ¿tan lleno estaría el hotel? Me decidí a pegarle un vistazo en detenimiento a los equipos, para ver si dejaba de tener esa sensación de "oler a bug" que suelo tener en estas situaciones.

# nmap -sS -PN -T5 -p 1-65535 10.0.0.69

Nmap scan report for localhost (10.0.0.69)
Host is up (0.000068s latency).
Not shown: 65533 closed ports
PORT      STATE SERVICE
53/tcp       open  domain
80/tcp       open  www-http
3129/tcp   open  squid
8080/tcp   open  http-proxy

Mmmm, ¿un equipo de usuario con los puertos 53, 80, 3129, 8080 abiertos? Uy que peste...

La misma situación se puede observar para todos los equipos conectado a la wifi, así que podemos deducir que ABSOLUTAMENTE TODAS las conexiones que pasan a través del AP son redirigidas a la pantalla de login del HotSpot, siempre que sea una conexión a alguno de estos puertos.
¿Podré conectarme a casa por VPN? ¿Y usar el correo por el puerto de IMAPs? ¿Y bajarme cosas del Emule?

Como podeis imaginar, la respuesta es SI, va a funcionar sin emplear ningún tipo de técnica, siempre y cuando los servicios a los que accedes no estén en ninguno de estos cuatro puertos.

Pero... ¿y si queremos navegar? La verdad es que este HotSpot es nuestro amigo y nos ayuda a mejorar nuestro nivel de seguridad, y más tratándose de una Wifi compartida, ya que nos obliga a emplear HTTPS para visitar las webs, ya que al ir por el puerto 443, no está dentro de los puertos "capturables", y por tanto vamos a poder salir a Internet de una forma segura... y gratis ¿qué más se puede pedir?


Ya podemos navegar, entrar en nuestro correo de GMail, visitar FaceBook, y en general cualquier web que tenga opción de ser visitada empleando HTTPS, que no son todas, pero si las más "imprescindibles".

¿Y si la web que queremos ver no dispone de HTTPS? Bueno, siempre podemos intentar acceder a alguna que sí que podamos acceder por HTTPS, y que desde esta nos muestre el contenido de la web que queremos ver. Un ejemplo, aunque no muy cómodo, es usar la propia caché de Google, consultada a través de HTTPS.


Pues la verdad es que es mucho más sencillo de lo que pensaba, al menos con el fabricante de estos HotSpots ¿ Habéis jugado con los HotSpots? ¿ Tenéis alguno cerca? ¿ probáis esto y me decís?

Imagino que esto será un error de diseño de este fabricante de HotSpots en concreto, pero por asegurarnos...

12 comentarios :

Adrián dijo...

Yo casi voto por un fallo de configuración más que de diseño. O que sea un "hotspot casero", que se lo haya montado el sobrino que sabe de informática con un linux y 4 scripts en PHP.

Jose Selvi dijo...

El HotSpot está hecho por una empresa española, seguramente de esas de "yo te hago LO MISMO que el producto este pero por la tercera parte de precio", que conozco varios casos de empresas que venden sus productos así.

Hay gente que aún no sabe que los duros a cuatro pesetas no existen :P

xfw® dijo...

El comportamiento que describes yo lo encuentro normal en equipos dpi mucho mayores, por ejemplo para las conexiones desde móviles; normalmente cortan todo el tráfico hasta que ven (vía snoopers)algo de tráfico http, y a partir de ahí se tarifica. (Hablo de ISPs obviamente)

Digo que tiene cierto sentido porque los operadores quieren poder avisarte de roaming, de limites de uso , etc.. y les viene bien forzar


en un hotspot wifi no le veo sentido alguno, aunque tal como están no es pa quejarse precisamente :P )


Saludos!

Rubén Díaz dijo...

Hace poco descubrí esto mismo de casualidad el pasado verano mientras estaba en un hotel en Madeira.

Me intenté conectar al WiFi del hotel, que estaba abierto, y como ya me esperaba, vi que me pedía pagar. Total, que curiosee pero poco más. Pero de repente, veo que me salta la notificación de nuevo email en Gmail...

El móvil había sincronizado! Automáticamente probé a acceder por otros puertos (por ejemplo, Twitter por HTTPS) y funcionó...

Por supuesto que no pagué. ¿3 € por 20 minutos? :D

Jose Selvi dijo...

La verdad es que las tarifas suelen ser bastante abusivas, cierto.

Interesante esto de que sirva con otros fabricantes de HotSpots. Cutre al máximo, pero interesante.

pcastagnaro dijo...

HTTPS Everywhere (https://www.eff.org/https-everywhere) para todos!

Jose Selvi dijo...

@pcastagnaro: La verdad es que debería haber alguna opción build-in en los navegadores para decirles que en lugar de probar primero por HTTP, probara primero por HTTPS y si no está abierto entonces probara por HTTP.

Jesús Pérez dijo...

Buenas, pues la wifi del hotel de Rooted estaba sin contraseña también y si querías saltarte el login simplemente tenías que configurar en navegador para que saliese a través del proxy (1.1.1.1 en ese caso) y el típico puerto 3128, y desde consola pues lo mismo export http_proxy=... xDD

Jay dijo...

A mi me pasó algo raro en el aeropuerto de lisboa, como estaba aburrido decidí intentar conectarme a los servidores por ssh, telnet, etc. y probar contraseñas por defecto en los distintos routers que encontraba (a base de traces) a ver si conseguía conectarme a algún equipo.

Curiosamente no conseguí loguearme en ninguno pero conseguí wifi gratis sin cambiar mi MAC ni mi IP.

Todavía sigo sin comprender que pasó y por qué pasó, es una pena que estuviese haciendo algo ilegal porque me dieron ganas de ir a hablar con el administrador de la red a ver si entre los dos encontrabamos una explicación xD.

Anónimo dijo...

como se llama la extension del firefox que aparece en la captura?

Jose Selvi dijo...

@Anónimo: Supongo que te refieres a la HackBar. Muy muy útil, os la recomiendo.

Anónimo dijo...

Gracias!.. excelente Post! y el blog ni que decir! siempre os sigo!.