header






Proyecto Trece Introducción

Autor: ChaosNet Publicación en: 2017-05-17 00:00:00 Ultima actualización con fecha: 2017-05-18 14:42:26

PROYECTO PARA LA RASPBERRY PI:

Después de largo tiempo sin escribir quiero iniciar un nuevo proyecto que me parece bastante interesante, os cuento. La idea es dar un uso divertido a una vieja Raspberry Pi B+ que tengo abandonada y, hacer de ella una herramienta multiusos que pueda ser usada para vulnerar y tomar el control de una red local o bien conectándola directamente a un puerto ethernet, o bien rompiendo una seguridad inalámbrica deficiente. Aquí dejo el primer esbozo de lo que tengo pensado hasta ahora:

_¿Qué se pretende conseguir?
-Quermos hacer de la PI una herramienta multiusos que nos permita vulnerar una red local, tanto rompiendo la seguridad inalámbrica, cómo conectándola directamente con un cable ethernet. Una vez dentro de la red tendrá la habilidad de comprobar la dirección externa de ésta y comunicarse con un servidor externo (por correo, por ejemplo) para enviarle un primer esbozo de como está construida la infraestructura vulnerada. Su siguiente objetivo será ofrecer al exterior una shell remota (tendría que ser inversa por el tema de puertos cerrados en AP o firewalls) por si no fuera posible conectarse de forma local. De forma local, debería tener la capacidad de crear un punto de acceso inalámbrico con rutas que permitan la conexión entre las dos capas de red. Este recurso no tiene por qué ser exclusivo en 802.11 y lo idóneo sería contar también con un recurso para redes bluetooth.


 Una vez el dispositivo se asienta en la red y se consigue una conexión con el atacante, se necesitan herramientas de intrusión que permitan vulnerar sistemas físicos, falsear servidores (spoofing) y registrar el tráfico mal protegido o vulnerado (sniffers y mitm). También se han de incluir herramientas de networking que den alternativas en entornos controlados, como proxys escáneres de red... Incluiremos también arsenal que nos permita mantener un sistema vulnerado (backdoors, malware) de forma efectiva y duradera.
El último punto vital para el proyecto ha de ser el control del mismo en caso de que el dispositivo fuera encontrado y su contenido pudiera poner en peligro al usuario. El botón del pánico no solo debe asegurar la destrucción por reescritura o corrupción de sus datos, sino que debe poder hacerlo en todos directorios de logs o lugares clave de todos y cada uno de los sistemas bajo nuestro control. Como medida adicional, se sugiere la implementación de un sistema físico que destruya o imposibilite la recuperación de la información almacenada tanto en la tarjeta microSD como en la RAM.

 

Ese es más o menos el plan. No es muy concreto e iré desarrollándolo sobre la marcha según se vayan presentando problemas e ideas nuevas, así que empecemos por el principio.

 

Preparando el sistema: Raspbian

El primer paso es descargar la imagen del que será nuestro sistema operativo. Desde la página oficial, con este enlace, nos descargamos el torrent para la versión Jesie Lite, que pesa unos 307 MB. Cuando finalice la descarga, nos desplazamos al directorio donde hallaremos el archivo comprimido en zip con la imagen de la distribución. Lo descomprimimos, insertamos, localizamos y desmontamos, si procede, la tarjeta microSD (en mi caso /dev/sdc) para después copiar el archivo .img en ella con el comando dd.

cd ~/Descargas; unzip 2017-04-10-raspbian-jessie-lite.zip; sudo dd if=./2017-04-10-raspbian-jessie-lite.img of=/dev/sdÑ status=progress

Como ya sabemos if define el parámetro con la ruta de la imagen que queremos grabar mientras que of es la ruta de destino, en este caso nuestra tarjeta microSD.

Para lo próxima entrada configuraremos Raspbian y nos metermos con el tema del networking preparando nuestra Raspberry para crear un punto de acceso inalámbrico permita compartir una conexión ethernet. Hoy no tengo tiempo para más.

¡Un saludo!


2017-05-17 00:00:00

0No hay comentarios

Parece que nadie ha comentado aún esta entrada.

Publicar comentario:

Complete el formulario para publicar su comentario.

Nombre de usuario:
Correo electrónico: *

* El correo electrónico se usará para enviarle un enlace de confirmación antes de publicar el comentario. Si introduce una dirección equivocada o a la que no tenga acceso, no podrá seguir el enlace y por tanto, no verá su comentario publicado. Los comentarios sin confirmación se eliminarán pasadas 4 horas.

Mensaje: