lunes, 3 de junio de 2013

Review: Acrylic por Tarlogic

Hace unos meses, en una de las crónicas de la Rooted2013, os hablé de OWISAM: Una metodología, que, tal y como la entendí, se parecía mucho a las métricas del ISO... ¿27.001? Exacto. ISO 27.001. Pero, como digo, eso es tal y como yo me encargué de hacérmelo entender cuando nos lo contaron.

A su vez, ya finalizando la ponencia, hicieron una demo de su herramienta. A partir de ésta, se podían sacar un montón de datos de las wifis. Sobretodo, teniendo en cuenta que está montada para Windows.

La historia es que hace apenas unos días, el 31 de mayo, enviaron un correo a la lista de distribución de OWISAM informando de que habían liberado una versión beta de la herramienta, cuyo nombre ha recibido Acrylic Wifi. Así, la podríamos probar y dar nuestra opinión. Yo, por mi parte, me comprometí a darle una vuelta este fin de semana. Y en eso estoy ahora mismo.

Lo primero de todo es que ya hay gente que ha dado su feed back. Entre otras cosas, hace falta saber que para instalar la herramienta hay una serie de dependencias que no vienen con el paquete de instalación. Por mi parte, me ha hecho falta instalar:
Si hacen falta más cosas, yo no las he necesitado.

Lo primero que llama la atención cuando empiezas a ejecutarla es que vas a necesitar permisos de administrador para poder utilizarla. Es más, te avisa con su propia UAC:

Acrylic Wifi UAC
Acrylic Wifi UAC
y su pantalla de carga (incluyendo el fondo en el que se ve parte de este post):

Cargando Acrylic
Cargando Acrylic
Eso sí, no ha pedido elevación de privilegios. Por lo tanto, me voy a permitir cerrar la aplicación y arrancarla con el botón derecho del ratón seleccionando "Ejecutar como Administrador". Sobretodo, teniendo en cuenta de que quiero probarlo en modo monitor. Lo que no quita a que me ponga a hacer pruebas también en modo "normal". 

Nada más llegar, y si tienes la conexión activa, verás que la aplicación tiene un navegador incorporado en el que se muestran las noticias más recientes:

Noticias de Tarlogic vistas en Acrylic
Noticias de Tarlogic vistas en Acrylic
En el siguiente pantallazo, podremos ver cómo es posible navegar por las distintas secciones utilizando el menú de la izquierda, o, el menú windows de arriba:

Menú windows mostrando mismos accesos que el menú de la izquierda
Si vamos más allá, podemos ver que ahora mismo he accedido al packet viewer desde el menú de arriba, mientras que en la derecha no me lo permiten. También he de decir que ahora mismo no he probado más cosas de ese menú, por lo que tanto packets como packet viewer podrían ser dos pantallas totalmente distintas. 

El menú file ahora mismo no me deja hacer nada. Tengo que averiguar si es porque en esta versión no está activado o si tengo que hacer más cosas para que me lo permita. Algo que ya me avisa en el menú tools, el cual tiene un acceso a una herramienta que convierte ficheros pcap a kml.

Ahora, si queremos configurar el sistema para realizar un análisis, tendremos que ir al botón "config+" que está arriba al a derecha:

Configurando las opciones de captura
Configurando las opciones de captura
A la hora de configurar la aplicación, nos permite seleccionar distintas fuentes. En mi caso, y de momento, sólo me permite dos opciones: 
  • Seleccionar una tarjeta de red inalámbrica
  • Seleccionar un fichero .pcap de una captura ya realizada.
  • Network Monitor 3.4: Mira la parte de opciones para activarlo.
Como se puede ver, me está advirtiendo de que no encuentra un GPS configurado. Aún no teniéndolo, si hacemos click sobre el botón del GPS arriba a la derecha, éste se activará sin advertirnos de nada (poniéndole un color verde). 

Una vez hemos seleccionado de dónde procederán los datos, tendremos que hacer click sobre el botón "start". Si hemos seleccionado la lectura de un fichero .pcap (al menos tendremos una pantalla de espera:

Acrylic procesando un fichero .pcap
Acrylic procesando un fichero .pcap
En mi caso, se trataba de un fichero antiguo, recuperado de una captura hecha con airodump. Y no se ve ningún dato. 

Antes de arrancar el escaneo, vamos a ir a la sección de opciones:

Opcines en Acrylic
y, si os dais cuenta, a la derecha, un poco oculto, tenemos un menú que dice scriptiong. He de decir que lo he visto de chiripa:

Opciones de scripting en Acrylic
Opciones de scripting en Acrylic
Las opciones generales, nos permiten configurar tiempos de refresco de la información mostrada, los colores que queremos que tengan cada uno de los tipos de información, tiempos en los que se quiere catalogar cierta información o que se quiere que marque de en un categoría u otra o realizar alguna acción con ella... Todo eso según se puede deducir del pantallazo. 

¿Qué más podemos configurar? Por ejemplo, una de las cosas más importantes: Indicarle dónde está instalado el Network Monitor. Después, si hacemos click sobre el botón copy, tendremos que Network Monitor Capable se nos pone a YES. Es en este momento cuando en la configuración de la fuente de la captura se nos activa ese radiobutton.

Tambien nos permitirá configurar un GPS, que tendrá que estar conectado por un puerto serie. 

De momento voy a dejar estas configuraciones tal cual están. Ahora, voy a realizar una prueba de captura seleccionando la opción de Network Monitor. La configuración sería lanzar esta opción, con la tarjeta de red conectada a mi wifi, y sin el sniffer arrancado. Si cuando inicias el scan la aplicación se rompe, en tal caso, seguro que Windows no te permite volver a conectarte. Por lo tanto, tendrás que ir a las conexiones de red de Windows, deshabilitar y habilitar la tarjeta de red. Incluso, aunque lo lances con el NM arrancado, la aplicación casca. Como aún no he avisado, no se puede saber si el problema está en que me pueda faltar algo (aunque me diga que sí que puedo utilizar esa opción) o si es por encontrarse en versión beta, con todo lo que ello conlleva. 

Ahora, toca capturar datos seleccionando la tarjeta inalámbrica. Si esperas un instante, irás obteniendo más valores que los que salen nada más empezar el scaneo:

Análisis de wifis desde Acrylic
Análisis de wifis desde Acrylic

Aquí podemos ver varias secciones: 
  • 2,4 GHz y 5GHz: muestra las bandas en las que se encuentran cada uno de los puntos de acceso, cuántos hay en cada uno de los canales...:
Canales ocupados vistos desde Acrylic
Canales ocupados vistos desde Acrylic
  • Networks requested: la verdad, no lo se ahora mismo
  • GPS: En teoría, debería de poder mostrar las coordenadas de las wifis escaneadas:
GPSs desde Acrylic para las coordenadas de la wifi capturada
GPSs desde Acrylic para las coordenadas de la wifi capturada
Sobretodo esto último puede servir, por ejemplo, para guardar el lugar donde se ha detectado cierta red, si, por ejemplo, se ha hecho algún tipo de wardriving

Por último, queda la parte de stations, que se encuentra justo en el lateral derecho de la sección de networkds, donde hay que hacer click para poder ver ese panel. Además de aparecer en la cuadrícula los mismos puntos de acceso, también me aparece otro más que pone que es de tipo broadcast. ¿Será que esta detectando algún electrodoméstico como una red más (por ejemplo: un teléfono inalámbrico)? Teniendo en cuenta que los hay que operan a la misma frecuencia... No se. El hecho es que aparece algo más que no parece una red inalámbrica:

Acrylic: Networks --> Stations
Acrylic: Networks --> Stations
Si hacemos click sobre alguna de las entradas de networks, podremos enviarla a inventory, y darle un alias que será el que muestre en vez de enseñar su dirección MAC.

Y esto es todo lo que he podido probar de la herramienta. Recuerdo que está en fase beta, por lo que podría cambiar algunos comportamientos en un futuro, y alguno de los casques que me han dado solucionarse. 

No hay comentarios:

Publicar un comentario