Nuestro amigo Servant desde la lista de discusión de Sec-Track se dió a la tarea de realizar este criptograma con el objetivo de introducir y acercar de una manera más práctica a los interesados en esta amplia y compleja ciencia. Veamos:

” Buen día:
Sé que esto es muy básico y la mayoría lo manejan pero pues quiero aportar en lo poco que puedo.
Mientras cojo mas cancha en este campo… (y)

Cifrado por sustitucion o Cifrado Cesar

Utilizamos el alfabeto americano [26 Letras]
Creamos una llave de sustitucion [N]
Este método fue utilizado por Julio César y de ahí viene su nombre, consiste en cambiar cada letra del texto por la que esté N lugares más adelante en el abecedario.

Por Ejemplo:

Abecedario: ABCDEFGHIJKLMNOPQRSTVWXYZ
Llave N: 14
Abecedario + N: OPQRSTUVWXYZABCDEFGHJKLMN

Mensaje: sectrack dot com the do to security
Mensaje + N: eqofdmow paf oay ftq pa fa eqogdufk

Este método es muy conocido en foros para dar respuestas a adivinanzas por ejemplo y evitar que sin querer alguien la lea.
También conocido como ROT13 cuando N = 13 y su relativo para los números ROT5 donde N = 5

ROT13:
Abecedario: ABCDEFGHIJKLMNOPQRSTVWXYZ
Llave N: 13
Abecedario + N: NOPQRSTUVWXYZABCDEFGIJKLM

ROT5
Numeros: 0123456789
Llave N: 5
Numeros + N: 5678901234

Ahora podemos utilizar una funcion en PHP para evitar hacer este proceso a mano:

Codigo.php

<?php
$mensaje=”Este es un mensaje cifrado”;
$mensaje_cifrado= str_rot13($mensaje);
echo $mensaje_cifrado;
echo ‘<br>’;
echo $mensaje;
?>

Bytes
Servant ”

Muchas gracias a Servant por realizar el solucionario para este Criptograma (Y)

También publicaré uno que otro acertijo matemático y lógico que tanto me gustan.

Primero hagamos una pequeña introducción a estas temáticas. Para ello utilizaré como base un magnífico libro que lleva por título: Técnicas criptográficas de protección de datos. (Más información >>) de este extraeré algunos apartados/frases/resúmenes que considero importantes y de interés para nuestros objetivos.

• De forma esquemática podría decirse que la Criptología tiene dos objetivos fundamentale, que dan lugar a dos parcelas de la misma, claramente dependientes: La Criptografía y el Criptoanálisis. La Criptografía estudia cómo mantener secretas las comunicaciones que se efectúan por medio de los denominados canales inseguros (teléfonos, tarjetas electrónicas, computadores, etc), y el Criptoanálisis analiza cómo descifrar tales comunicaciones. El proceso básico seguido para conseguir que las comunicaciones sean seguras, es decir, que sean secretas para un criptoanalista, consiste en enmascarar el texto que se desea transmitir mediante el uso de las claves.

• Los fundamentos en los que se basa esta moderna disciplina proceden, fundamentalmente, de diferentes y muy variados campos de la Matemática (Álgebra Lineal, Teoría de Números, Estadística, Teoría de la Complejidad, etc.), de las Ciencias de la Computación y de las Telecomunicaciones.
• La Criptografía se divide en dos grandes campos: Clave secreta y Clave pública.
• La Criptografía de clave secreta puede definirse como aquella que hace uso de  claves secretas para cifrar y descifrar el mensaje que se envía o se recibe.
• La Criptografía de clave pública utiliza una clave pública, conocida y utilizada por cualquier persona (como si de un número telefónico se tratara) que desee enviar un mensaje, y otra clave privada, sólo conocida por el destinatario, que le permite descifrar el mensaje recibido.
• La criptografía como medio de proteger la información personal es un arte tan antiguo como la propia escritura. Como tal, permaneció durante siglos vinculada muy estrechamente a los círculos militares y diplomáticos, puesto que eran los únicos que en principio tenían auténtica necesidad de ella.
• A y B son, respectivamente, el emisor y receptor de un determinado mensaje. A transforma el mensaje original (texto claro o texto fuente), mediante un determinado procedimiento de cifrado controlado por una clave, en un mensaje cifrado (criptograma) que se envía por un canal público. En recepción, B con conocimiento de la clave transforma ese criptograma en el texto fuente, recuperando así la información original.

Lecturas y temáticas recomendadas para el desarrollo de este primero Criptograma:

• Cifrado por Sustitución

Libro recomendado (Libro Electrónico de Seguridad Informática y Criptografía)

Página Web recomendada (Es.Kioskea.es)

Para este primer acercamiento a la Criptología por parte de Sec-Track publicaré un muy sencillo criptograma. Con el objetivo de poner a prueba los conocimientos adquiridos en las lecturas recomendadas.

Criptograma I (nivel muy muy muy bajo):

eqofdmow paf oay ftq pa fa eqogdufk

Recuerden que la finalidad de los ejercicios, pruebas,  retos, wargames, etc. de Sec-Track no es dar una simple solución. El objetivo es generar conocimiento (documentación, debates, artículos, videos, etc) de como se realizó dicho objetivo.

Para ello citaremos la solución sugerida por Fernando Quintero en la lista de discusión de Sec-Track.

1. ¿En el archivo /etc/passwd aparece una pista? o es algo real:
Esto nos indica el camino a seguir. Dos palabras claves: FTP y ENCRYPTION

bbanter@slax:~$ cat /etc/passwd
root:x:0:0:DO NOT CHANGE PASSWORD – WILL BREAK FTP ENCRYPTION:/root:/bin/bash

2. Al listar los permisos de los usuarios podemos ver que solo el home del FTP tiene permisos de root:
Esto nos dice que hay algo oculto allí.

bbanter@slax:/home$ ls -la
total 0
drwxr-xr-x  8 root    root  120 Jun 29  2007 ./
drwxr-xr-x 68 root    root  240 Nov  4 12:28 ../
drwxr-x—  2 aadams  users  80 Jun 29  2007 aadams/
drwxr-x—  2 bbanter users  80 Jun 29  2007 bbanter/
drwxr-x—  2 ccoffee users  80 Jun 29  2007 ccoffee/
drwx——  3 root    root   60 Jun 29  2007 ftp/
bbanter@slax:/home$

3. El usuario aadams a diferencia del usuario bbanter esta en un grupo llamado wheel, normalmente el grupo wheel es un grupo privilegiado con GID=0, pero aquí esta con GID=10, de todos modos es una pista para  decirnos que este usuario es más administrador que el otro. Por eso se  intenta el sudo:

aadams@slax:~$ sudo bash

We trust you have received the usual lecture from the local System Administrator. It usually boils down to these three things:

#1) Respect the privacy of others.
#2) Think before you type.
#3) With great power comes great responsibility.

Password:
Sorry, user aadams is not allowed to execute ‘/usr/bin/bash’ as root on slax.
aadams@slax:~$ sudo sh
Sorry, user aadams is not allowed to execute ‘/bin/sh’ as root on slax.
aadams@slax:~$ sudo ls
aadams@slax:~$ sudo nano
sudo: nano: command not found
aadams@slax:~$ sudo vi
Sorry, user aadams is not allowed to execute ‘/usr/bin/vi’ as root on slax.
aadams@slax:~$ sudo cat /etc/shadow
root:$1$TOi0HE5n$j3obHaAlUdMbHQnJ4Y5Dq0:13553:0:::::
bin:*:9797:0:::::
daemon:*:9797:0:::::
adm:*:9797:0:::::
lp:*:9797:0:::::
sync:*:9797:0:::::
shutdown:*:9797:0:::::
halt:*:9797:0:::::
mail:*:9797:0:::::
news:*:9797:0:::::
uucp:*:9797:0:::::
operator:*:9797:0:::::
games:*:9797:0:::::
ftp:*:9797:0:::::
smmsp:*:9797:0:::::
mysql:*:9797:0:::::
rpc:*:9797:0:::::
sshd:*:9797:0:::::
gdm:*:9797:0:::::
pop:*:9797:0:::::
nobody:*:9797:0:::::
aadams:$1$6cP/ya8m$2CNF8mE.ONyQipxlwjp8P1:13550:0:99999:7:::
bbanter:$1$hl312g8m$Cf9v9OoRN062STzYiWDTh1:13550:0:99999:7:::
ccoffee:$1$nsHnABm3$OHraCR9ro.idCMtEiFPPA.:13550:0:99999:7:::

Se puede ver que el usuario aadams solo tiene sudo habilitado para algunos comandos.

aadams@slax:~$ sudo cat /etc/sudoers
# sudoers file.
#
# This file MUST be edited with the ‘visudo’ command as root.
#
# See the sudoers man page for the details on how to write a sudoers file.
#

# Host alias specification

# User alias specification

# Cmnd alias specification

# Defaults specification

# Runas alias specification

# User privilege specification
root    ALL=(ALL) ALL

# Uncomment to allow people in group wheel to run all commands
# %wheel        ALL=(ALL)       ALL
%wheel  ALL = NOEXEC: /bin/ls, /usr/bin/cat, /usr/bin/more, !/usr/bin/su *root*

# Same thing without a password
# %wheel        ALL=(ALL)       NOPASSWD: ALL

# Samples
# %users  ALL=/sbin/mount /cdrom,/sbin/umount /cdrom
# %users  localhost=/sbin/shutdown -h now
aadams@slax:~$

Miren que el grupo wheel tiene permisos para ejecutar solo unos comandos, esto se hace para que no se convierta en root directamente.
Tambien observen que los comandos tienen las rutas completas, para evitar ataques de IFS.

Existe un truco que es invocar un comando privilegiado y tratar de salirse de ese comando para ejecutar otro, pero… no funcionó, por ejemplo abriendo un archivo con : sudo more, y luego usar el caracter bang para escapar un shell.

aaaa
!sh
exec failed
————————
–More–(0%)

4. Con los permisos de usuario sudo, podemos sacar el archivo sin necesidad de ser root  ;)

aadams@slax:~$ sudo ls -la  /home/ftp/incoming
total 140
dr-xr-xr-x 2 root root     80 Jun 29  2007 .
drwx—— 3 root root     60 Jun 29  2007 ..
-r-xr-xr-x 1 root root 133056 Jun 29  2007 salary_dec2003.csv.enc
aadams@slax:~$

aadams@slax:~$ sudo cat /home/ftp/incoming/salary_dec2003.csv.enc >
miarchivo.csv.enc
aadams@slax:~$ ls -la miarchivo.csv.enc
-rw-r–r– 1 aadams wheel 133056 Nov  4 13:01 miarchivo.csv.enc
aadams@slax:~$

¿Bonito no?, solo imaginación.

5. Si pensamos nuevamente en lo que nos dice el archivo passwd:
DO NOT CHANGE PASSWORD – WILL BREAK FTP ENCRYPTION

Podemos deducir varias cosas, por ejemplo que este archivo que encontramos cifrado usa un password, por lo tanto si no se usa ese password correcto el archivo se rompe o no funciona, esto me lleva a pensar que es un algoritmo simétrico y que la clave del algoritmo debe ser la del root, esto lo deduzco porque el mensaje está en el usuario root y la advertencia es para su usuario. En este punto sabemos que es necesario encontrar la clave del root.

5. Ahora que tenemos el archivo ¿Qué hacemos?, es dificil saber que tipo de formato es, porque no nos dan pistas.

aadams@slax:~$ file miarchivo.csv.enc
miarchivo.csv.enc: data
aadams@slax:~$

Algo que a veces hago es mirar el encabezado del archivo y tratar de buscar pistas:

Cuando hago un hexdump al archivo encuentro lo siguiente:

0000000 6153 746c 6465 5f5f 126e 8020 f282 04b8
0000010 ff31 f29c 774c 4124 d260 a71e 6986 7e4d
0000020 378c 9dd4 1311 7ecb b7f0 1a0f a967 019a
0000030 ee13 5088 56ce e4c5 8974 8400 7ff5 9ecd
0000040 fe6a 494d 1756 116c 9011 e6b4 d1cb 57dc
0000050 ace4 8f00 2b4e 98fd da7e 3479 1ef0 253d
…

Si tomo las primeras líneas (6153 746c 6465 5f5f ) y las pongo en google encuentro 1 sitio donde hablan cosas de descifrar:
http://www.pafis.shh.fi/~ponstr03/ISACWS1.htm
En uno de los ejemplos encuentro la cabezera y me dice que es de un archivo .des, ya sabemos lo que es DES..

Intentamos:

aadams@slax:~$ openssl enc -des -d -in  miarchivo.csv.enc -out miarchivo.csv
enter des-cbc decryption password:
bad decrypt
13679:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
aadams@slax:~$

No funciona la clave, o el algoritmo es incorrecto.

¿Cómo se encuentra el algoritmo correcto sabiendo que tenemos la clave?
En el manual de openssl tenemos los tipos de cifrado:

aadams@slax:~$ cat cifrados
-aes-128-cbc               -aes-128-cfb               -aes-128-cfb1
-aes-128-cfb8             -aes-128-ecb              -aes-128-ofb
-aes-192-cbc               -aes-192-cfb               -aes-192-cfb1
-aes-192-cfb8             -aes-192-ecb               -aes-192-ofb
-aes-256-cbc               -aes-256-cfb               -aes-256-cfb1
-aes-256-cfb8             -aes-256-ecb               -aes-256-ofb
-aes128                          -aes192                          -aes256
-bf                                    -bf-cbc                            -bf-cfb
-bf-ecb                           -bf-ofb                            -blowfish
-cast                                -cast-cbc                       -cast5-cbc
-cast5-cfb                     -cast5-ecb                     -cast5-ofb
-des                                 -des-cbc                         -des-cfb
-des-cfb1                      -des-cfb8                        -des-ecb
-des-ede                       -des-ede-cbc                 -des-ede-cfb
-des-ede-ofb               -des-ede3                       -des-ede3-cbc
-des-ede3-cfb            -des-ede3-ofb               -des-ofb
-des3                             -desx                                -desx-cbc
-rc2                                -rc2-40-cbc                  -rc2-64-cbc
-rc2-cbc                       -rc2-cfb                          -rc2-ecb
-rc2-ofb                       -rc4                                   -rc4-40
aadams@slax:~$

Pero los necesitamos para un ataque a fuerza bruta, entonces los organizamos en lista:
aadams@slax:~$  awk ‘{ print $1 “\n” $2 “\n” $3}’ cifrados > cifrados_sort

Con la lista podemos hacer un mini script para tratar de descifrar el archivo de forma correcta:

aadams@slax:~$ cat script.sh
for i in `cat cifrados_sort`
do
openssl enc $i  -d -k tarot -in  miarchivo.csv.enc -out miarchivo.csv.$i
done
aadams@slax:~$

y lo ejecutamos

aadams@slax:~$ sh script.sh
bad decrypt
14935:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:468:
bad decrypt
14937:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt
14941:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt
14943:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt
14947:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt
14950:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt
14951:error:06065064:digital envelope routines:EVP_DecryptFinal_ex:bad
decrypt:evp_enc.c:461:
bad decrypt

…

Los resultados:

aadams@slax:~$ ls -la
total 8700
drwxr-x— 2 aadams users   1460 Nov  4 13:29 ./
drwxr-xr-x 8 root   root     120 Jun 29  2007 ../
-rw——- 1 aadams wheel      8 Nov  4 12:58 .bash_history
-r-xr-xr-x 1 aadams users   3729 Jun 29  2007 .screenrc*
-rw-r–r– 1 aadams wheel   1605 Nov  4 13:13 cifrados
-rw-r–r– 1 aadams wheel    631 Nov  4 13:22 cifrados_sort
-rw-r–r– 1 aadams wheel 133056 Nov  4 13:28 copia
-rw-r–r– 1 aadams wheel 133038 Nov  4 13:29 miarchivo.csv.-aes-128-cbc
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-128-cfb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-128-cfb1
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-128-cfb8
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes-128-ecb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-128-ofb
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes-192-cbc
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-192-cfb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-192-cfb1
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-192-cfb8
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes-192-ecb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-192-ofb
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes-256-cbc
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-256-cfb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-256-cfb1
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-256-cfb8
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes-256-ecb
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-aes-256-ofb
-rw-r–r– 1 aadams wheel 133038 Nov  4 13:29 miarchivo.csv.-aes128
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes192
-rw-r–r– 1 aadams wheel 133024 Nov  4 13:29 miarchivo.csv.-aes256
-rw-r–r– 1 aadams wheel 133032 Nov  4 13:29 miarchivo.csv.-bf
-rw-r–r– 1 aadams wheel 133032 Nov  4 13:29 miarchivo.csv.-bf-cbc
-rw-r–r– 1 aadams wheel 133040 Nov  4 13:29 miarchivo.csv.-bf-cfb
-rw-r–r– 1 aadams wheel 133032 Nov  4 13:29 miarchivo.csv.-bf-ecb
…

¿Cómo sabemos cual es bueno y cual es malo?, cual es el archivo descifrado y cual sigue siendo un bloque cifrado?

Nuevamente el comando file en nuestra ayuda:

aadams@slax:~$ file miarchivo.csv.*
miarchivo.csv.-aes-128-cbc:  ASCII text, with CRLF, LF line terminators
miarchivo.csv.-aes-128-cfb:  data
miarchivo.csv.-aes-128-cfb1: data
miarchivo.csv.-aes-128-cfb8: data
miarchivo.csv.-aes-128-ecb:  data
miarchivo.csv.-aes-128-ofb:  data
miarchivo.csv.-aes-192-cbc:  data
miarchivo.csv.-aes-192-cfb:  data
miarchivo.csv.-aes-192-cfb1: data
miarchivo.csv.-aes-192-cfb8: data
miarchivo.csv.-aes-192-ecb:  data
miarchivo.csv.-aes-192-ofb:  data
miarchivo.csv.-aes-256-cbc:  data
miarchivo.csv.-aes-256-cfb:  data
miarchivo.csv.-aes-256-cfb1: data
miarchivo.csv.-aes-256-cfb8: data
miarchivo.csv.-aes-256-ecb:  data
miarchivo.csv.-aes-256-ofb:  data
miarchivo.csv.-aes128:       ASCII text, with CRLF, LF line terminators
miarchivo.csv.-aes192:       data
miarchivo.csv.-aes256:       data
miarchivo.csv.-bf:           data
miarchivo.csv.-bf-cbc:       data
miarchivo.csv.-bf-cfb:       data
…

Cómo podemos ver dos de los archivos no dicen DATA, dicen ASCII, por lo tanto pensamos en que son los archivos descrifrados, con aes 128 y aes  128-cbc , entonces ¿Cómo lo comprobamos?

aadams@slax:~$ strings miarchivo.csv.-aes-128-cbc
,Employee information,,,,,,,,,,,,,,
,Employee ID,Name,Salary,Tax Status,Federal Allowance (From W-4),State
Tax (Percentage),Federal Income Tax (Percentage based on Federal
Allowance),Social Security Tax (Percentage),Medicare Tax
(Percentage),Total Taxes Withheld (Percentage),”Insurance
Deduction
(Dollars)”,”Other Regular
Deduction
(Dollars)”,”Total Regular Deductions (Excluding taxes, in
dollars)”,”Direct Deposit Info
Routing Number”,”Direct Deposit Info
Account Number”
,1,Charles E. Ophenia,”$225,000.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$360.00,$500.00,$860.00,183200299,1123245
,2,Marie Mary,”$56,000.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$100.00,$225.00,183200299,1192291
,3,Pat Patrick,”$43,350.00″,1,1,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,2334432
,4,Terry Thompson,”$27,500.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$225.00,$350.00,183200299,1278235
,5,Ben Benedict,”$29,750.00″,1,3,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$122.50,$247.50,183200299,2332546
,6,Erin Gennieg,”$105,000.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1456567
,7,Paul Michael,”$76,000.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$100.00,$225.00,183200299,1446756
,8,Ester Long,”$92,500.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1776782
,9,Adam Adams,”$76,250.00″,1,5,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,2250900
,10,Chad Coffee,”$55,000.00″,1,1,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1590264
,11,,,,,,,,,0.00%,,,$0.00,0,0
,12,,,,,,,,,0.00%,,,$0.00,0,0
,13,,,,,,,,,0.00%,,,$0.00,0,0
,14,,,,,,,,,0.00%,,,$0.00,0,0
,15,,,,,,,,,0.00%,,,$0.00,0,0
,16,,,,,,,,,0.00%,,,$0.00,0,0
,17,,,,,,,,,0.00%,,,$0.00,0,0
,18,,,,,,,,,0.00%,,,$0.00,0,0
,19,,,,,,,,,0.00%,,,$0.00,0,0
,20,,,,,,,,,0.00%,,,$0.00,0,0
,21,,,,,,,,,0.00%,,,$0.00,0,0
,22,,,,,,,,,0.00%,,,$0.00,0,0
,23,,,,,,,,,0.00%,,,$0.00,0,0
,24,,,,,,,,,0.00%,,,$0.00,0,0
,25,,,,,,,,,0.00%,,,$0.00,0,0
,,,,,,,
aadams@slax:~$

O strings al otro:

aadams@slax:~$ strings miarchivo.csv.-aes128
,Employee information,,,,,,,,,,,,,,
,Employee ID,Name,Salary,Tax Status,Federal Allowance (From W-4),State
Tax (Percentage),Federal Income Tax (Percentage based on Federal
Allowance),Social Security Tax (Percentage),Medicare Tax
(Percentage),Total Taxes Withheld (Percentage),”Insurance
Deduction
(Dollars)”,”Other Regular
Deduction
(Dollars)”,”Total Regular Deductions (Excluding taxes, in
dollars)”,”Direct Deposit Info
Routing Number”,”Direct Deposit Info
Account Number”
,1,Charles E. Ophenia,”$225,000.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$360.00,$500.00,$860.00,183200299,1123245
,2,Marie Mary,”$56,000.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$100.00,$225.00,183200299,1192291
,3,Pat Patrick,”$43,350.00″,1,1,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,2334432
,4,Terry Thompson,”$27,500.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$225.00,$350.00,183200299,1278235
,5,Ben Benedict,”$29,750.00″,1,3,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$122.50,$247.50,183200299,2332546
,6,Erin Gennieg,”$105,000.00″,1,4,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1456567
,7,Paul Michael,”$76,000.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$100.00,$225.00,183200299,1446756
,8,Ester Long,”$92,500.00″,1,2,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1776782
,9,Adam Adams,”$76,250.00″,1,5,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,2250900
,10,Chad Coffee,”$55,000.00″,1,1,2.30%,28.00%,6.30%,1.45%,38.05%,$125.00,$0.00,$125.00,183200299,1590264
,11,,,,,,,,,0.00%,,,$0.00,0,0
,12,,,,,,,,,0.00%,,,$0.00,0,0
,13,,,,,,,,,0.00%,,,$0.00,0,0
,14,,,,,,,,,0.00%,,,$0.00,0,0
,15,,,,,,,,,0.00%,,,$0.00,0,0
,16,,,,,,,,,0.00%,,,$0.00,0,0
,17,,,,,,,,,0.00%,,,$0.00,0,0
,18,,,,,,,,,0.00%,,,$0.00,0,0
,19,,,,,,,,,0.00%,,,$0.00,0,0
,20,,,,,,,,,0.00%,,,$0.00,0,0
,21,,,,,,,,,0.00%,,,$0.00,0,0
,22,,,,,,,,,0.00%,,,$0.00,0,0
,23,,,,,,,,,0.00%,,,$0.00,0,0
,24,,,,,,,,,0.00%,,,$0.00,0,0
,25,,,,,,,,,0.00%,,,$0.00,0,0
,,,,,,,

Y listo!, ahí estan los datos que necesitamos, odio la fuerza bruta, pero es mucho mejor que ADIVINAR el algoritmo usado para cifrar.

6. Conclusiones:

Aveces seguimos procedimientos sin entender realmente que es lo que se hace o peor aún, porque se hace. Los videos y soluciones que aparecen muchas veces en Internet  muestran lo bien que funcionan las herramientas, pero que pasa con el razonamiento hacker?, me tome un rato para enviarles esto con el fin de que vean otro punto de vista y que realmente una cosa debe llevar a la otra, pocas veces hacemos las cosas por casualidad, la mayoría de las veces es necesario hacer deducciones correctas que nos lleven a las respuestas.

Una de las preguntas mas dificiles de responder para mi fue, ¿Qué formato de encripción se está usando?
La verdad uno podria haber intentado fuerza bruta desde el inicio, pero es dificil tomar esa decisión (usen la fuerza bruta como último recurso!), si se dieron cuenta la pista estaba en el encabezado del archivo y luego una busqueda en internet me lleva a pensar en la herramienta openssl, por ahí fue.

Sugerencias y aportes bienvenidos.

Aún queda pendiente encontrar la clave del usuario café y también pensar en como sacar ese archivo del sistema sin que se tengan privilegios de root .
Alguien se anima a hacerlo?

Un solución que se me ocurre y debe funcionar es enviarse el archivo por correo a el mismo y bajarlo por POP
aadams@slax:/etc$ mail
mailx version nail 11.25 7/29/05.  Type ? for help.
“/var/spool/mail/aadams”: 2 messages 2 new

N  2 aad…@slax.exampl Wed Nov  4 13:18   20/807   Hola aadams

aadams@slax:/etc$ telnet 127.0.0.1 110
Trying 127.0.0.1…
Connected to 127.0.0.1.
Escape character is ‘^]’.
+OK
user aadams
+OK
pass nostradamus
+OK
list
+OK
1 773
2 780

La solución mas obvia es transferirlo por SSH. En definitiva, el servicio FTP solo sirve de pista.