Como hackié al proveedor de Internet más grande de Brasil

En esta historia contaré como tomé control de más de 3.000 modems de clientes la empresa NET y sin querer queriendo. La empresa es el proveedor con mayor cantidad de clientes de internet banda ancha en Brasil con más de 5,5 millones de usuarios.

Contexto

Diciembre del 2014 , vivía en Río de Janeiro y estaba trabajando en la migración de servidores físicos a servidores virtuales en una empresa que vendía servicios de internet. Necesita realizar ciertas tareas durante la noche y revisar otras tareas de larga duración, así que instalé un servidor VPN en una de las tantas máquinas disponibles.

La mayoría de los servidores no tenía IP publica y estaban en el rango de ips privadas 10.0.0.0/8. Una vez seteada la VPN intenté conectarme utilizando ssh a un servidor con IP 10.0.0.100 y por algún rato no lo conseguí. Empecé a probar con otro servidor, el 10.0.0.101, tampoco conectaba por ssh. Ambos respondían a los llamados de ping. Sin entender porque los servidores estaban activos pero no se conectaban por ssh desconecté la VPN y accidentalmente hice ping a uno de los servidores y este respondió.

Mmmmm, como sin una VPN activa el servidor iba a responder? ¡Imposible!

Me puse a investigar que IPs eran las que estaba viendo (claramente no eran los servidores) para mi gran y tremenda sorpresa no eran solo esas IPs que lograba ver, eran 32.000 direcciones que respondían a los gritos de fping. Utilicé fping para detectar los hosts que daban señales de vida.

Ahora la pregunta era, que eran todas estás IPs? Me parecía extremadamente raro que el switch/router al que se conectaban los clientes no tuviera aislamiento de bocas. Pero con el tiempo he aprendido que referente a la ciberseguridad todo es posible. Todo.

Al hacer nmap sobre algunas, tenían el puerto 80 abierto. Al ingresar la IP y el puerto en el navegador favorito, esto fue lo que apareció:

Pantalla de login del router

En el código fuente de la página de logeo aparecia el modelo del equipo Motorola SVG1202, una simple búsqueda en Google me permitiría saber que el usuario y clave por defecto son admin:motorola.

¿Genial y ahora que?

Por un rato me puse a pensar que podía hacer con este hallazgo, y se me ocurrió que podía utilizar un script para obtener todos los SSID de las redes wifi, la clave, la IP pública y el código WPS. Así que me puse a programar en mi querido shell scripting en bash y este fue el resultado.

Este script genera la siguiente salida (archivo completo con todas las claves al final del artículo):

10.10.0.11, netvirtua.3a, 25213370,
10.42.13.236, thaisalmeida, 13011993, 06288310
10.42.133.206, Caroline, 76111623, 35930358
10.42.137.80, net-mello, 73024829,
10.42.141.236, MOTOROLA-6A103, faf2d19c4c323d14223d,
10.42.143.168, Victor_fla, victorlucio, 79890656
10.42.143.62, lucinharg.net, vida060307, 36708062
10.42.14.76, Erick Cardoso, 25165974,
10.42.1.6, MARCAL, masj0715,
10.42.1.75, netvirtua373, 2734423000,
10.42.2.130, GABRIELA, 1757249800, 06134655
10.42.2.157, net-virtua-bruno, 311282820,
10.42.2.68, MOTOROLA-881CF, 0b8b1b7865ce08a561a4,
10.42.3.175, netvirtua_Pedrosa, 8309208392,

Durante todo el tiempo que estuve investigando y obteniendo credenciales de los modems nunca lo vi como un hackeo ni como algo relevante, más bien me pareció una anécdota, principalmente por lo simple que fue conseguir la información.

Contacto con la empresa

Durante un viaje a São Paulo, donde visité a una amiga, tuve la suerte de conocer a un tipo que trabajaba en el área de seguridad informática, tenía su contacto así que le escribí para preguntarle que tan relevante/seria era la vulnerabilidad que había encontrado y si la información obtenida podría servir para algo. Me contestó que le parecía importante, que informara a la empresa, pero que lo hiciera con cuidado, no fuera el caso que pensaran que los estaba intentando chantajear.

Me dió los contactos de los encargados de seguridad (que afortunadamente eran conocidos de él), les escribí contando sobre el problema pero también dando una muestra de la información que había obtenido. Me respondieron que efectivamente el problema había sido corroborado, que era de extrema gravedad y que querían mi CV para una posible contratación. Luego que envié mi CV nunca más me contactaron ni respondieron. Pagué el noviciado.

Las claves

Del total de 32.000 routers, sólo probé con el modelo Motorola mencionado anteriormente, que en total eran 3.655 y de estos 3.490 tenían la clave por defecto, un 95,48%.

Después de varios años liberaré las claves obtenidas en este trabajo. Son claves WIFI definidas por cada usuario/a. Creo que son relevantes para el análisis de como se conforman las claves de redes WIFI en comparación con otras claves, que tanta influencia cultural hay en la selección, largo promedio, etc. Aquí el link al documento (PDF).