Seguridad Física: Clonado de tarjetas de acceso con Proxmark en Operaciones Red Team (2)
1. Introducción y objetivos
Nivel de conocimientos técnicos: Medio; Tiempo de lectura: 7 min. ; Hashtags: #proxmark #redteam
En este artículo vamos a ver lo fácil que resulta clonar ciertos tipos de tarjetas cuyo uso está muy extendido, no solo en controles de accesos de organizaciones privadas (hoteles, etc.), sino también en organizaciones públicas.
Para ello vamos a hacer uso de Proxmark3, la cual se puede adquirir desde su página oficial:
En este artículo no vamos a demostrar cómo se instala el escenario para llegar a poder usar Proxmark3, ya que para eso hay varios tutoriales en Internet que lo dejan muy claro:
Así pues, para llevar a cabo esta práctica deberemos tener el escenario preparado según se indica en los anteriores artículos, y unos conocimientos básicos del uso del framework Proxmark3.
2. Clonado de tarjeta en menos de 1 minuto
Lamentablemente y como vamos a ver, hay gran cantidad de tarjetas que pueden ser clonadas en menos de 1 minuto.
Únicamente indicar que cuando se realiza una auditoría de seguridad de este tipo de tarjetas, se testean siempre que cumplan con los principios fundamentales de la Ciberseguridad, los llamados principios del CID: Confidencialidad, Integridad y Disponibilidad.
En este caso no nos vamos a enfocar más que en el clonado de la tarjeta, ya que no vamos a realizar una auditoría de seguridad de la tarjeta, sino que vamos a simular cómo un grupo criminal puede llegar a clonar la tarjeta de un trabajador de una empresa (víctima) para poder ingresar dentro suplantando su identidad, y comprometer de esta manera los activos de dicha empresa a nivel físico.
a) Proxmark y tarjetas
Para no perder más tiempo, vamos a ponernos manos a la obra. Los materiales que necesitamos son los siguientes:
b) Obteniendo datos y claves del llavero (chip) víctima
A continuación se muestra cómo se realiza el clonado del llavero (chip) legítimo de acceso con dos sencillos comandos. Mediante el comando «auto» se automatiza directamente todo el checkeo del llavero que está físicamente sobre la Proxmark3. En este caso vemos cómo nos indica tras realizar el checkeo de la tarjeta víctima que ésta trabaja en LF y que se desconoce de qué tipo de chip se trata, lo cual, como veremos más adelante, no será problema para poder realizar el clonado.
c) Clonación de la tarjeta víctima
Con la información conseguida en el punto anterior procedemos a clonar el llavero (chip) víctima sobre una tarjeta virgen tipo «tag T55x7», como se muestra a continuación:
Una vez clonada lo verificamos mediante el comando «lf em 410x reader» y vemos que se obtiene el resultado esperado. De la misma manera, si lanzamos el comando «auto» sobre la tarjeta clonada veremos mismos resultados que los obtenidos sobre el llavero (chip) víctima.
d) Probando el éxito de la tarjeta clonada
Como podemos ver a continuación la tarjeta clonada funciona correctamente:
3. Automatizar el clonado de tarjetas en Operaciones Red Team
Como hemos visto en el punto anterior, se puede llegar a realizar el clonado de tarjetas mediante el lanzamiento de tres comandos sobre la terminal.
El escenario deseable en una Operación Red Team física es el de poder automatizar este clonado de tal manera que se pueda realizar en cualquier lugar, con el solo hecho de acercarse a la persona adecuada que tenga su tarjeta de accesos de la organización víctima en el bolsillo, o que la haya dejado descuidada un momento encima de una mesa. Estos dos son solo ejemplos de una gran cantidad de posibilidades que pueda haber.
Para ello se propone realizar el montaje de un ecosistema compuesto por una Raspberry autónoma mediante el uso de una Powerbank, y una Proxmark3 conectada vía USB. Todo ello puede ir bien oculto en un pequeño estuche bajo la ropa o donde mejor proceda según el escenario.
La Raspberry con el framework de Proxmark queda a la espera de recibir la entrada de datos de la Proxmark3, de tal manera que al acercarse una tarjeta, la Raspberry ejecuta automáticamente el comando «auto» y finalizado este, mediante la lectura de su salida, el comando que proceda concatenado con «autopwn», capturando así todos los datos y claves de la tarjeta víctima quedando estos guardados en los archivos correspondientes.
Posteriormente, el operador puede retirarse a un lugar más cómodo donde llevar a cabo el volcado de los datos obtenidos de la tarjeta víctima en una nueva tarjeta, realizando de esta manera el clonado.
Lo descrito en los dos párrafos anteriores se puede llegar a realizar mediante la programación de un sencillo script que por motivos profesionales no vamos a poner a disposición.
4. Qué es lo que puede pasar a nivel físico en una Operación Red Team
En una Operación Red Team física el operador busca comprometer este tipo de seguridad para poder ingresar en los distintos departamentos de la empresa víctima, con la intención de obtener información confidencial e instalar distintos dispositivos informáticos con los que dar acceso a sus compañeros que se encuentran en el exterior a la espera de obtener el control de las máquinas de la empresa víctima.
Algunos de los dispositivos que pueden emplearse para estos objetivos son:
- Tortuga LAN: https://shop.hak5.org/products/lan-turtle
- Keylogger hardware: https://www.keelog.com
- Piña WiFi: https://shop.hak5.org/products/wifi-pineapple
- USB Rubber Ducky o BadUSB: https://jaymonsecurity.com/ataque-badusb-o-rubber-ducky/
- Shark Jack: https://shop.hak5.org/products/shark-jack
- Screen Crab: https://shop.hak5.org/products/screen-crab
Una vez el operador haya conseguido dar acceso cibernético a sus compañeros, debe proceder a abandonar la organización sin ser detectado. Será el momento en que entren a jugar sus compañeros para llegar a comprometer la empresa víctima al completo: Instalando malware de espionaje con persistencia en los equipos informáticos, exfiltrando información confidencial a servidores de Mando y Control (C2) comprometiendo el principio de Confidencialidad, alterando datos de los sistemas con los que comprometer el principio de Integridad, realizando ataques de Denegación de Servicio (DOS) con los que comprometer el principio de Disponibilidad, y un largo etcétera.
Huelga decir la gravedad que tiene el que un grupo criminal pueda llegar a este punto, en el que la empresa víctima quedaría completamente comprometida.
5. Conclusiones y mitigaciones
A lo largo de este artículo hemos visto la facilidad que puede tener un grupo criminal de realizar el clonado de tarjetas de acceso.
Así mismo, hemos podido comprobar cómo un fallo en la seguridad física puede ser aprovechado por un grupo criminal para llegar a comprometer una Organización empresarial. Es por ello que se debe tratar con la seriedad que merece a la seguridad física, la cual está encargada de proteger los sistemas informáticos de la empresa.
Para mitigar estos sucesos se deben utilizar medios de acceso robustos y actualizados (tarjetas y tornos de última generación, etc.) con unas buenas políticas de seguridad.
Es clave que a la hora de montar nuevos sistemas de accesos, tanto físicos como cibernéticos, se realice siguiendo una guía de configuración segura mediante métodos ya testados, con la finalidad de asegurar su buen funcionamiento.
Para finalizar, decir que lo más importante y el mayor reto para cualquier organización es el poder mitigar la falta de concienciación de sus empleados, ya que de nada sirve que todos los sistemas físicos e informáticos estén bien parcheados y actualizados si éstos posteriormente hacen un mal uso de los mismos.
De estar interesado en cursos de concienciación en ciberseguridad puede escribirnos directamente para más información. De querer adquirir conocimientos introductorios al hacking ético puede optar por matricularse en nuestro curso básico de hacking ético, o si prefiere adquirir conocimientos más avanzados en ciberseguridad ofensiva puede adquirir nuestro curso avanzado.
Si te ha gustado, o te ha sido de utilidad este artículo, puedes invitarnos a un cripto-café bien calentito 😉
BTC: bc1qexsdm4auh6gf7fvdteas8s0lyvvdhmf8m030z3
ETH: 0x87b3d25A9bc19F653aE597D4Cd256C8D49465da6
ZCASH: t1JtTthdmeB9pgqqQqokQRARuGzSXgypieZ
Ver también: https://jaymonsecurity.es/seguridad-clonar-tarjeta-proxmark-red-team/
