Tactical Control Center è un applicativo installato su computer portatile, chiamato Tactical Network Injector.
Riesce a infettare dispositivi presenti in una rete WiFi o cablata grazie alle regole di identificazione e infezione di RCS. L'identificazione dei dispositivi può essere automatica o manuale. In questo secondo caso è l'operatore che riconosce il dispositivo da infettare e dà il comando di applicare le regole di infezione a quel dispositivo.
IMPORTANTE: la modalità di identificazione va concordata con la sede operativa.
Con Tactical Control Center è possibile:
NOTA: la rete di infezione può essere una rete esterna oppure una rete WiFi aperta simulata dallo stesso Tactical Control Center.
Tactical Control Center si sincronizza con RCS per ricevere le regole di infezione aggiornate, per controllare se è disponibile una nuova versione del Appliance Control Center e per inviare i log.
La sincronizzazione può avvenire in due modi:
Durante la sincronizzazione, il Network Injector comunica con RCS a intervalli di tempo prestabiliti (circa 30 sec.).
La comunicazione avviene tramite un Anonymizer. Da Tactical Control Center, dalla scheda System Management si configura l’Anonymizer da utilizzzare per la sincronizzazione con RCS e si può decidere quando abilitare la sincronizzazione.
Per comunicare in sicurezza con il server RCS, sul Network Injector deve essere installata una chiave di autenticazione. La chiave deve essere generata quando si crea l'oggetto Network Injector sulla RCS Console e installata tramite Tactical Control Center alla prima sincronizzazione del Network Injector con RCS
Se il traffico generato dal target non è infettabile con le regole presenti nel Network Injector è necessario richiedere l'intervento di un operatore sulla RCS Console per generare nuove regole e aggiornare il Network Injector. Alla successiva sincronizzazione Tactical Control Center riceve le nuove regole e sarà possibile visualizzarle e abilitarle per l'infezione.
In fase di attacco sono disponibili due diverse interfacce di rete, una per lo sniffing e una per l'infezione. L'utilizzo di due interfacce separate è indicato per garantire una continuità soprattutto nello sniffing.
In fase di emulazione dell'Access Point e in fase di acquisizione della password di rete si lavora con la sola interfaccia di sniffing.
Le interfacce di sniffing possono essere interne o esterne: le interfacce esterne sono indicate per lo sniffing perché la velocità di trasmissione è migliore.
Di seguito i passaggi tipici per infettare dispositivi identificati automaticamente dalle regole di RCS. L'attacco può essere sferrato su reti cablate o WiFi:
Fase | Descrizione | Dove |
---|---|---|
1 | Preparare le regole di identificazione e infezione per i dispositivi target conosciuti che si vogliono attaccare. Inviare le regole al Tactical Network Injector. | RCS Console, System, Network Injectors |
2 | Abilitare la sincronizzazione con RCS per ricevere le regole aggiornate e abilitare le regole da utilizzare per l'infezione. | Tactical Network Injector, Network Injector |
3 | Se i dispositivi target sono connessi a una rete WiFi protetta acquisirne la password. | Tactical Network Injector, Wireless Intruder |
4 |
Il sistema fa lo sniffing del traffico, identifica i dispositivi target grazie alle regole di identificazione e li infetta grazie alle regole di infezione. |
Tactical Network Injector, Network Injector |
5 | Se necessario, forzare una ri-autenticazione di eventuali dispositivi che le regole non sono riuscite a individuare. |
Di seguito i passaggi tipici per infettare dispositivi identificati manualmente. L'obiettivo dell'operatore è individuare i dispositivi target.
L'attacco può essere sferrato su reti cablate o WiFi:
Fase | Descrizione | Dove |
---|---|---|
1 | Preparare le regole di identificazione che prevedono l'intervento manuale e le regole di infezione per tutti i tipi di dispositivi target che si vogliono attaccare. Inviare le regole al Tactical Network Injector. | RCS Console, System, Network Injectors |
2 | Abilitare la sincronizzazione con RCS per ricevere le regole aggiornate e abilitare le regole da utilizzare per l'infezione. | Tactical Network Injector, Network Injector |
3 | Se i dispositivi target sono connessi a una rete WiFi protetta acquisirne la password. | Tactical Network Injector, Wireless Intruder |
4 | Se i dispositivi target possono connettersi a una rete WiFi aperta, provare a emulare un Access Point conosciuto dai target. | Tactical Network Injector,Fake Access Point |
5 |
Il sistema propone tutti i dispositivi connessi all'interfaccia di rete selezionata. Utilizzare i filtri per cercare i dispositivi target oppure controllare la cronologia web di ogni dispositivo. |
Tactical Network Injector, Network Injector |
6 | Selezionare i dispositivi e infettarli. |
Se il dispositivo target è collegato a una rete WiFi protetta occorre ottenerne la password di accesso per poter entrare.
La funzione Wireless intruder permette di collegarsi a una rete WiFi e fare il cracking della password. Per le reti con protezioni WPA e WPA 2, oltre al dizionario standard è possibile caricare un dizionario aggiuntivo. La password viene visualizzata e l'operatore la può copiare per utilizzarla con la funzione di sniffing e infezione (funzione Network Injector).
In una rete WiFi protetta con password, è probabile non riuscire ad agganciare qualche dispositivo. I dispositivi di questo tipo compariranno nell'elenco come sconosciuti.
In questo caso è possibile forzare una loro autenticazione: il dispositivo si disconnette dalla rete per riconnettersi ed essere identificato.
Questa modalità di lavoro si adatta a scenari dove si hanno già alcune informazioni sul dispositivo target (es.: indirizzo IP).
In questo caso le regole di infezione provenienti da RCS contengono già tutti i dati necessari per identificare automaticamente i dispositivi target. Per ogni infezione è importante abilitare tutte e solo le regole utili in quel momento.
L'avvio dell'identificazione automatica da parte della funzione Network Injector mette mano a mano in evidenza i dispositivi target che vengono subito infettati dalle regole di infezione.
Nelle regole di identificazione provenienti da RCS è possibile indicare che l'identificazione sarà a cura dell'operatore. Questa prassi è frequente quando a priori non si hanno informazioni sul dispositivo da infettare e occorre identificarlo direttamente sul campo.
In questo caso l'operatore ha a disposizione una serie di funzioni per selezionare i dispositivi connessi alla rete:
Una volta determinati i dispositivi target è sufficiente selezionarli e avviare l'infezione: le regole di identificazione vengono "personalizzate" con i dati dei dispositivi per permettere alle regole di infezione di agire.
NOTA: è comunque possibile infettare manualmente dispositivi che sono già stati infettati tramite identificazione automatica.
Nel caso di identificazione dei target tramite operatore, ci si potrebbe trovare in uno scenario con una rete con diversi dispositivi connessi dei quali però non si riesce a individuare il dispositivo target. In questo caso è possibile utilizzare la funzione Network Injector per impostare dei filtri sul traffico intercettato.
Tactical Control Center mette a disposizione due tipi di filtri:
Le espressioni regolari sono un filtro ad ampio spettro. Per esempio se il nostro target sta consultando una pagina di Facebook e sta parlando di windsurf è sufficiente inserire la parola "facebook" oppure la parola "windsurf".
Tactical Network Injector intercetta tutto il traffico dati e cerca le parole inserite.
Per una descrizione dettagliata di tutte le espressioni regolari ammesse fare riferimento a https://en.wikipedia.org/wiki/Regular_expression.
Serve per filtrare con maggiore precisione i dispositivi utilizzando la sintassi BPF. Questa sintassi prevede l'inserimento di parole chiave accompagnate da qualificatori:
Es.: se il nostro target sta consultando una pagina di Facebook possiamo inserire "host facebook.com".
Per conoscere nel dettaglio tutti i qualificatori della sintassi fare riferimento alla pagina http://wiki.wireshark.org/CaptureFilters.
Una ulteriore possibilità per filtrare e ridurre l'elenco dei possibili target, è analizzare il traffico web di ogni dispositivo per riconoscerlo come target.
In certi scenari è necessario attrarre i dispositivi target per potere intercettare i loro dati, identificarli e infettarli.
Per farlo Tactical Network Injector emula un Access Point già registrato sul dispositivo target.
In questo modo, se il dispositivo è abilitato alla connessione automatica alle reti WiFi disponibili, appena entra nell'area WiFi si connette automaticamente all'Access Point emulato dal Tactical Network Injector.
Sblocco della password di un sistema operativo
È possibile sbloccare la password di un sistema operativo. Per saperne di più vedi "Cose da sapere per lo sblocco della password del sistema operativo".
Accesso remoto al Tactical Control Center
È possibile accedere al Tactical Control Center da remoto. Per saperne di più vedi "Cose da sapere per l'accesso remoto al Control Center".
RCS9.5 | Manuale utente | © COPYRIGHT 2014