La conferencia que presenté trató sobre la implementación de Laboratorios de Entrenamiento en Seguridad Informática, y de como el Proyecto Sec-Track puede ser una magnífica herramienta para cumplir con ese objetivo.

El contenido temático de dicha conferencia, es el siguiente:

• Descripción del Proyecto Sec-Track
• Por qué implementar laboratorios de entrenamiento?
  • Facil inicio para aprendices
  • Diferentes niveles de complejidad
  • Portables
  • Simulación de entornos reales
  • Implicaciones legales
  • Problemas de conexión
  • Tiempo de desarrollo de escenarios
  • Costos
  • Tu lo construyes… Tu sabes como resolverlo
  • Posibilidad de crear comunidad
• Implementación de Hardware
  • Computadores (Dispositivos)
  • Herramientas de Red
  • Cables
  • Hubs
  • Switches
  • Routers
  • Dispositivos de almacenamiento
  • Firewalls
  • Acces Points
  • Reguladores eléctricos
• Implementación de Software
  • Virtualización
  • VirtualBox
  • XEN
  • QEMU
  • Virtual PC
  • VMWare
  • Diferentes S.O
  • Tools
• Laboratorios de Test de Penetración
  • Evaluación activa de las medidas de seguridad de la información
  • Metodologías
  • ISSAF
  • NIST SP 800-42
  • EC-Council (CEH)
  • De-Ice PenTest LiveCDs
  • PwnOS
  • DVL
  • WebGOAT
  • Damn Vulnerable Web App
  • Sauron 1.0
  • FoundStone
  • BadStore
  • TurnKey Linux
  • Libros Recomendados
• Laboratorios de Hardening
  • Honeywall CD-Rom
  • Labs Hardening Windows-GNU/Linux
  • Libros Recomendados
• Laboratorios de Análisis Forense Digital
  • Retos Forenses UNAM
  • Reto Forense Comunidad DragonJAR
  • HoneyNet Project Challenges
  • Libros Recomendados
• Laboratorios de Análisis de Malware
  • Windows-GNU/Linux
  • Libros Recomendados
• Muchos otros Entornos/Ideas/Posibilidades
  • CTF
  • Campus Party
  • Criptogramas
  • Crackmes
  • Hackme
  • WarGames

En el transcurso de algunos días estaré publicando en detalle cada uno de estos (y mucho más) entornos de entrenamiento, como objetivos de aprendizaje colaborativo en el Proyecto Sec-Track.

Un cliente acaba de enviarnos un archivo comprimido con clave y nos dice que las pistas para encontrar dicha contraseña de 9 caracteres se encuentra oculto de alguna forma en este otro par de archivos (MD5: 159aa63c90c0a2692562d3414a39eaca).

Se debe determinar cual es la contraseña buscada sin realizar ataques de fuerza bruta sobre ningún archivo y dejarla en los comentarios de este post. La primera persona en describir la forma de llevar a cabo el proceso para obtener dicha clave, se llevará una Licencia del Antivirus de ESET.

Las ideas, comentarios y sugerencias para resolver este reto pueden ser tratadas en la lista de Sec-Track o por medio de los comentarios de nuestro Blog.

]]> http://www.sec-track.com/en/desafio-10-de-eset-criptoanalisis/feed 0 http://www.sec-track.com/en/solucionario-del-reto-1-de-esteganografia-by-hackplayers-and-juanma-merino http://www.sec-track.com/en/solucionario-del-reto-1-de-esteganografia-by-hackplayers-and-juanma-merino#comments Tue, 02 Feb 2010 04:54:57 +0000 4v4t4r http://www.sec-track.com/?p=397 Estos son los solucionarios publicados por parte de HackPlayers (desarrolladores del primer reto de esteganografía publicado en Sec-Track y de quienes esperamos publiquen muchos más (Y)) y de Juanma Merino (quien desde un comienzo intentó resolverlo hasta conseguirlo, Felicitaciones Juanma ).

Solucionario por HackPlayers

Nos ponemos manos a la obra y en primer lugar descargamos las imágenes, primero la original (muñecodenieve1.jpg) y posteriormente la modificada (muñecodenieve2.jpg).

Lo primero que observamos a simple vista es que la imagen con el texto oculto tiene un tamaño mayor, concretamente 0,9KB.

Esto puede evidenciar que el método seguido para ocultar la información ha sido de inyección en lugar de técnicas como la del bit menos significativo (LSB) que no incrementarían el tamaño del original.

Estegoanálisis manual

A continuación y dado que tenemos el fichero original (sin modificaciones) podemos realizar en primera instancia un estegoanálisis manual que, como su nombre indica, consiste en buscar de forma manual diferencias entre el fichero original y el ‘esteganografíado’, identificando cambios en la estructura para localizar datos ocultos.

Pero antes de compararlos, aprovechando que tenemos los ficheros abiertos con nuestro editor hexadecimal favorito y, como además somos bastante desconfiados, comprobaremos si realmente se trata de una imagen con formato jpg.

Observamos el valor FF D8, que indica el comienzo de un fichero de imagen jpg. Normalmente estos dos bytes bastan para certificar que se trata realmente de un jpg, por lo que parece que no nos han engañado. Los siguientes bytes indican el fabricante de la aplicación y corresponden al formato típico de un jpg:

Y además al final del fichero observamos los bytes FF D9, que precisamente nos indican el final de la imágen “end of JPG file”.

Continuamos con el análisis de ambos ficheros y, comparándolos, observamos que al final de la segunda imagen modificada se evidencia claramente la presencia de datos ocultos. Además aparecen múltiples bytes 20 (espacio) que podrían indicar un buffer vacío.

Ya sabemos que se trata de una imagen jpg y que la herramienta utilizada para ocultar el texto en la imagen ha inyectado al final del fichero (algoritmo EOF) un buffer en el que se encuentra la información oculta que queremos desvelar.

Estegoanálisis automático

El siguiente paso es intentar descubrir cual ha sido la herramienta esteganográfica utilizada buscando alguna huella (footprint).

Para automatizar el proceso existen algunas herramientas de esteganoanálisis que automatizaran la búsqueda. Entre nuestras favoritas está Stegsecret de Alfonso Muñoz (UPM), por cierto un excelente ponente que vimos en el Asegúr@IT IV de Getafe (2008).

Stegsecret es un proyecto de código abierto hecho en Java que detecta EOF, LSB, DCTs y otras técnicas, e incluye una base de datos de fingerprints para más de 40 herramientas de esteganografía.

Al analizar la imagen modificada, Stegsecret detecta que la imagen contiene 73 bytes de información oculta al final del fichero (EOF) y ¡también descubre la herramienta utilizada!

Se trata de Camouflage 1.2.1 y lo ha descubierto a través del siguiente el patrón:

Una vez que conocemos la herramienta utilizada, procedemos a instalarla para hacer más pruebas e intentar obtener el texto oculto.

Posicionamos el cursor sobre el fichero modificado ‘muñecodenieve2.jpg’, pulsamos el botón derecho de nuestro ratón y seleccionamos ‘Uncamouflage’.

Como podemos ver en la imagen anterior, Camouflage nos solicita contraseña para acceder al contenido oculto: no podía ser tan fácil.

Análisis de la herramienta Camouflage

El siguiente paso será estudiar el funcionamiento de Camouflage para intentar romper esa contraseña. Para ello, creamos un fichero ‘pruebas.txt’ con el texto ‘Esto es una prueba’ y procedemos a ocultarlo en el fichero original ‘muñecodenieve1.jpg’.

Posicionamos el cursor sobre el fichero de texto creado ‘prueba.txt’, pulsamos el botón derecho de nuestro ratón y seleccionamos ‘Camouflage’.

Seleccionamos el fichero imagen que contendrá el fichero de texto oculto (portador),

guardamos el fichero resultante como ‘muñecodenieve_prueba.jpg’,

Y asignamos la password ‘1234’

A continuación repetimos la misma operación pero ocultamos el fichero de texto sin asignar contraseña.

El resultado es que tenemos dos ficheros ‘muñecodenieve_prueba.jpg’ y ‘muñecodenieve_prueba_sinpassword.jpg’ que podemos comparar.

Y con esta comparación descubrimos algo que llama poderosamente la atención: cuando la contraseña cambia (‘1234’ o vacía ‘ ‘) la mayoría de los datos no son modificados, por lo que nos percatamos inmediatamente de uno de los grandes fallos de diseño de Camouflage: ¡el cifrado no depende directamente de la contraseña!

Obteniendo la posición y sobrescribiendo la contraseña

Centrándonos en la búsqueda de la clave y sabiendo que nuestra contraseña de pruebas es ‘1234’ es fácilmente deducible que su posición es seguramente esos 4 bytes aislados que cambian:

‘muñecodenieve_prueba.jpg’ : 33 A7 49 16
‘muñecodenieve_prueba_sinpassword.jpg’ : 20 20 20 20 (contraseña en blanco)

Si sobrescribimos esos bytes por espacios, podremos obtener el fichero secreto sin problemas:

Si repetimos estas operaciones para identificar la posición y sobre escribir la contraseña del fichero “muñecodenieve2.jpg” habremos resuelto el reto.

Obteniendo la contraseña

Ahora queremos ir más allá: queremos además saber la contraseña que se ha utilizado para generar el fichero ‘muñecodenieve2.jpg’.

Al pasar la supuesta clave 6A E5 03 13 de hexadecimal a ASCII obtenemos ‘jå ’ y, evidentemente, no parece ser la contraseña real.

Esto nos hace suponer que Camouflage debe realizar una operación intermedia para codificar nuestra contraseña.

A través del análisis de varias imágenes cifradas con la misma clave es posible deducir que Camouflage utiliza cifrado XOR, un cifrado muy vulnerable que nos permitirá obtener la clave.

Brujuleando por Internet encontramos herramientas que automatizan este proceso de descifrado, como Camouflage_Password_Finder de Guillermito, cuyo artículo (¡del 2002!) nos ha servido para la creación de este reto.

Simplemente lo ejecutamos, seleccionamos el fichero ‘muñecodenieve2.jpg’ y terminanos de destripar completamente el reto:

El camino fácil

Muchas veces le decía a un amigo que para cruzar un río y llegar a la otra orilla lo antes posible no hacía falta bucear por todo su caudal.

Lejos de ser un proclama ‘lammer’, lo que quiero decir es que quizás algunos de vosotros hayáis resuelto el reto sin necesidad de realizar ningún análisis manual y sin conocer exactamente el funcionamiento de Camouflage.

Digamos que la forma rápida hubiese sido:

- Analizar la imagen con una herramienta de estegoanálisis (por ej. StegSecret) y descubrir que ha sido tratada con Camouflage 1.2.1.

- Buscar un poco por Internet y utilizar alguna de las herramientas capaces de crackear Camouflage: Camouflage_Password_Finder, CamouflageCrack, CamouflageCrack o Camodetect

Solucionario por Juanma Merino

En el reto proporcionan dos imágenes, la portadora limipia, que es una imagen en formato jpg (mu_ecodenieve.jpg y la portadora con otro archivo “secreto” dentro (mu_ecodenieve2.jpg).

Comparándolas con un editor hexadecimal se puede ver la información de más que presenta la imagen 2.

Con la herramienta StegSecret, que encontré en Cryptored pude ver que se había utilizado Camouflage 1.2.1 para insertar el archivo “secreto” en la portadora.

Instalé Camouflage 1.2.1 pero al intentar extraer el mensaje secreto vi que se solicitaba contraseña.

Buscando un poco encontré en Packetstorm detalles sobre como averiguar o saltarse la contraseña en archivos camouflage 1.2.1

Con un editor hexadecimal localicé la contraseña y la sobre-escribí para que fuera nula. Posteriormente guardé el archivo modificado como imagen3.

Abrí imagen3 con camouflage y esta vez no era necesario escribir contraseña. Siguiente, siguiente y aparece el archivo de nombre secreto.txt que contenía la siguiente frase: Para que los milagros ocurran es imprescindible que alguien crea en ellos

Antes veamos una corta definición para quienes no están familiarizados con el tema:

La esteganografía es la disciplina en la que se estudian y aplican técnicas que permiten el ocultamiento de mensajes u objetos, dentro de otros, llamados portadores, de modo que no se perciba su existencia. Es una mezcla de artes y técnicas que se combinan para conformar la práctica de ocultar y enviar información sensible en un portador que pueda pasar desapercibido. (Leer más >>)

Pasemos entonces al reto:

Imagen Original:

Imagen Modificada:

Recuerden que la finalidad de los retos que se publican en Sec-Track no es dar una solución, la idea es presentar un procedimiento de cómo se realiza cada una de las actividades propuestas. Tratando así de retroalimentar a cada uno de los usuarios del Proyecto Sec-Track.