Cose da sapere su Tactical Control Center

Introduzione

Tactical Control Center è un applicativo installato su computer portatile, chiamato Tactical Network Injector.

Riesce a collegarsi a reti WiFi protette, infettare dispositivi grazie alle regole di identificazione e injection di RCS o infettare dispositivi identificati manualmente.

Le regole di identificazione e di infezione sono identiche a quelle usate per il Network Injector Appliance, con l'unica differenza che il Tactical Network Injector offre in più una regola di identificazione "manuale". È quindi l'operatore a riconoscere il dispositivo da infettare e dà il comando di applicare le regole di injection a quel dispositivo.

Funzionamento del Tactical Control Center

Con il Tactical Control Center è possibile:

NOTA: la rete di injection può essere esterna oppure una rete WiFi aperta simulata dallo stesso Tactical Control Center.

Processo di infezione tramite identificazione automatica

Di seguito i passaggi tipici per infettare dispositivi identificati automaticamente dalle regole di RCS. L'attacco può essere sferrato su reti cablate o WiFi:

Fase Descrizione Dove
1 Preparare le regole di identificazione e injection per i dispositivi target conosciuti che si vogliono attaccare. Inviare le regole al Tactical Network Injector. RCS Console, System, Network Injector
2 Abilitare la sincronizzazione con RCS per ricevere le regole aggiornate. Tactical Network Injector, Network Injector
3 Se i dispositivi target sono connessi a una rete WiFi protetta acquisirne la password. Tactical Network Injector, Wireless Intruder
4

Il sistema fa lo sniffing del traffico, identifica i dispositivi target grazie alle regole di identificazione e li infetta grazie alle regole di injection.

Tactical Network Injector, Network Injector
5 Se necessario, forzare una riautenticazione di eventuali dispositivi che le regole non sono riuscite a individuare.
Processo di infezione tramite identificazione manuale

Di seguito i passaggi tipici per infettare dispositivi identificati manualmente. L'obiettivo dell'operatore è individuare i dispositivi target.

L'attacco può essere sferrato su reti cablate o WiFi:

Fase Descrizione Dove
1 Preparare le regole di identificazione che prevedono l'intervento manuale e le regole di injection per tutti i tipi di dispositivi target che si vogliono attaccare. Inviare le regole al Tactical Network Injector. RCS Console, System, Network Injector
2 Abilitare la sincronizzazione con RCS per ricevere le regole aggiornate. Tactical Network Injector, Network Injector
3 Se i dispositivi target sono connessi a una rete WiFi protetta acquisirne la password. Tactical Network Injector, Wireless Intruder
4 Se i dispositivi target possono connettersi a una rete WiFi aperta, provare a emulare un Access Point conosciuto dai target. Tactical Network Injector,Fake Access Point
5

Il sistema propone tutti i dispositivi connessi all'interfaccia di rete selezionata. Utilizzare i filtri per cercare i dispositivi target oppure controllare la cronologia web di ogni dispositivo.

Tactical Network Injector, Network Injector
6 Selezionare i dispositivi e infettarli.
Abilitazione sincronizzazione con RCS

Il Tactical Control Center deve ricevere da RCS le regole di identificazione e di injection aggiornate e contestualmente spedire i propri log.

In questa comunicazione è RCS che a intervalli di tempo prestabiliti (circa 30 sec.) cerca di comunicare con il Tactical Network Injector. Dal Tactical Control Center, con la funzione Network Injector si può decidere quando abilitare la sincronizzazione.

Acquisizione password di rete WiFi protetta

Se il dispositivo target è collegato a una rete WiFi protetta occorre ottenerne la password di accesso per poter entrare.

La funzione Wireless intruder permette di collegarsi a una rete WiFi e fare il cracking della password. La password viene visualizzata e l'operatore la può copiare per utilizzarla con la funzione di sniffing e injection (funzione Network Injector).

Infezione tramite identificazione automatica

Questa modalità di lavoro si adatta a scenari dove si hanno già alcune informazioni sul dispositivo target (es.: indirizzo IP).

In questo caso le regole di injection provenienti da RCS contengono già tutti i dati necessari per identificare automaticamente i dispositivi target.

L'avvio dell'identificazione automatica da parte della funzione Network Injector mette mano a mano in evidenza i dispositivi target che vengono subito infettati dalle regole di injection.

Forzatura autenticazione dei dispositivi sconosciuti

In una rete WiFi protetta con password, è probabile non riuscire ad agganciare qualche dispositivo. I dispositivi di questo tipo compariranno nell'elenco come sconosciuti.

In questo caso è possibile forzare una loro autenticazione: il dispositivo si disconnetterà dalla rete per riconnettersi e verrà identificato.

Infezione tramite identificazione da operatore

Nelle regole di identificazione provenienti da RCS è possibile indicare che l'identificazione sarà a cura dell'operatore. Questa prassi è frequente quando a priori non si hanno informazioni sul dispositivo da infettare e occorre identificarlo direttamente sul campo.

In questo caso l'operatore ha a disposizione una serie di funzioni per selezionare i dispositivi connessi alla rete:

Una volta determinati i dispositivi target è sufficiente selezionarli e avviare l'infezione: le regole di identificazione vengono "personalizzate" con i dati dei dispositivi per permettere alle regole di injection di agire.

Impostazione di filtri sul traffico intercettato

Nel caso di identificazione dei target tramite operatore, ci si potrebbe trovare in uno scenario con una rete con diversi dispositivi connessi dei quali però non si riesce a individuare il dispositivo target. In questo caso è possibile utilizzare la funzione Network Injector per impostare dei filtri sul traffico intercettato.

Tactical Control Center mette a disposizione due tipi di filtri:

Filtro con espressioni regolari

Le espressioni regolari sono un filtro ad ampio spettro. Per esempio se il nostro target sta consultando una pagina di Facebook e sta parlando di windsurf è sufficiente inserire la parola "facebook" oppure la parola "windsurf".

Tactical Network Injector intercetta tutto il traffico dati e cerca le parole inserite.

Per una descrizione dettagliata di tutte le espressioni regolari ammesse fare riferimento a https://en.wikipedia.org/wiki/Regular_expression .

Filtro BPF (Berkeley Packet Filter) di rete

Serve per filtrare con maggiore precisione i dispositivi utilizzando la sintassi BPF (Berkeley Packet Filter). Questa sintassi prevede l'inserimento di parole chiave accompagnate da qualificatori:

Per esempio se il nostro target sta consultando una pagina di Facebook potremmo inserire "host facebook.com"

Per conoscere nel dettaglio tutti i qualificatori della sintassi fare riferimento alla pagina http://wiki.wireshark.org/CaptureFilters.

Individuazione del target tramite analisi cronologia

Una ulteriore possibilità per filtrare e ridurre l'elenco dei possibili target, è analizzare il traffico web di ogni dispositivo per riconoscerlo come target.

Emulazione di un Access Point conosciuto dal target

In certi scenari è necessario attrarre i dispositivi target in una rete WiFi aperta per poter poi intercettare i dati, identificarli e infettarli.

Per farlo Tactical Network Injector emula un Access Point già conosciuto dal dispositivo target.

Quando il dispositivo target (se configurato) cerca nelle vicinanze una rete WiFi aperta, trova quella del Tactical Network Injector, la riconosce e vi si connette.

In questo modo le regole di injection possono operare liberamente.

RCS8.2 | Manuale di installazione e uso | © COPYRIGHT 2012