Ir al contenido principal

Forense (XVIII): Solución Reto 10 CyberOlympics 2017

Imagen
De

En esta entrada la solución a uno de los retos de "Forense" de la edición de 2017 de CyberOlympics, competición en modalidad 'on-line', estilo 'Capture the Flag' y formato 'Jeopardy', dirigida a centros educativos y organizada por el Instituto Nacional de Ciberseguridad (INCIBE) en el marco de la actividad llamada CyberCamp.

Este desafío, en mi opinión, presenta un nivel de dificultad medio (☆☆).

Enunciado: Se ha detenido un sospechoso de haberse infiltrado en una gran empresa en España, desde la que ha estado enviando un código a un asociado para informar sobre ciertas acciones previamente establecidas. Se necesita encontrar indicios de la supuesta clave que ha enviado.
Hemos obtenido una captura de tráfico de su ordenador. Analízala para ver si existe algún tipo de mensaje o palabra clave que haya intentado ocultar con especial cuidado.
Introduce el mensaje oculto en mayúsculas.

Recursos asociados al reto: archivo 10_CapturasDeOtraEpoca.pcap.

Solución: abro con 'Wireshark' el archivo asociado al reto y veo que se trata de una captura de tráfico con gran variedad de protocolos implicados.

Dentro de éstos veo el protocolo SMTP (protocolo para transferencia simple de correo. En inglés, 'Simple Mail Transfer Protocol'y los mensaje de correo electrónico pueden ser la vía por la que el sospechoso habría enviado el mensaje o palabra clave a su asociado:
Por tanto, lo primero que hago es filtrar los paquetes de la captura para ver sólo aquellos con contenido relacionados con el citado protocolo ('smtp.data.fragment'):
Y veo que hay siete mensajes de correo electrónico enviados desde una misma cuenta (no se ve en la figura anterior, pero en cinco de ellos hay sendos ficheros de imagen adjuntos).

Analizando esos paquetes se ve que todos ellos van dirigidos a una misma dirección de correo electrónico y, por tanto, aquella que podría corresponderse con la de la persona que sería su asociado, y además que:

En el primer mensaje de correo electrónico (asunto: Re: Hola), el sospechoso le dice a su asociado: "..., durante los próximos fines de semana iré visitando restos arqueológicos de cada una de las divisiones administrativas que llevó a cabo Diocleciano durante la época romana, aunque, en esa época, la innovación más importante que hizo fue la creación de las llamadas diócesis. Ya sabes que soy un fanático de la historia romana. Te mandaré un correo con distintas fotos de lo más destacado de cada una, contándote un poco su historia, pero no te olvides de apreciar la maravilla de los monumentos...".

En el segundo mensaje de correo electrónico (asunto: GALLAECIA), el sospechoso le dice a su asociado: "... Este fin de semana he ido a A Coruña, donde lo que más me llamó la atención fue el Faro Romano Torre de Hércules. Es el faro romano más antiguo del mundo que continúa en funcionamiento. Con origen en el siglo II, su función del pasado era el de faro de vigilancia y orientación de los marinos...".

Y hay un fichero de imagen 'jpg' adjunto que viaja codificado en base64:
Para extraer este fichero: selecciono y copio todo el código base64 de la imagen, y utilizo la herramienta 'online' 'Cyberchef' para ver y grabar la imagen:
Repito lo mismo para el resto de mensajes de correo electrónico (con asunto: TARRACONENSIS, LUSITANIA, CARTAGINENSIS, BAETICA y Fwd: BAETICA, respectivamente, y en cuyos textos se comentan las visitas realizadas a las respectivas zonas):

Y fijándome bien en las imágenes extraídas veo que en todas ellas hay una marca de agua, y que juntando todas ellas, como en un puzle de cinco piezas, se vería una palabra que podría ser la clave que el sospechoso le ha enviado a su asociado:
Para verlo mejor, resalto en color rojo la marca de agua resultante de juntar las cinco imágenes:
Por tanto, la solución a este reto es: HISPANIA.

Y para finalizar y como me gusta la historia, me quedo con la curiosidad: ¿Cuáles fueron las divisiones administrativas que Diocleciano estableció para Hispania?
Por lo que, además, me queda claro que al referirse a esto, el sospechoso le estaba mandando a su asociado el orden en el que tenía que juntar las imágenes para ver la clave:
Y ya he aprendido una cosa más :)
Etiquetas:

Comentarios

Publicar un comentario

Entradas populares de este blog

Criptografía (I): cifrado Vigenère y criptoanálisis Kasiski

De
Hace unos días mi amigo Iñaki Regidor ( @Inaki_Regidor ), a quien dedico esta entrada :), compartió en las redes sociales un post titulado "Criptografía: el arte de esconder mensajes"  publicado en uno de los blogs de EiTB . En ese post se explican ciertos métodos clásicos para cifrar mensajes , entre ellos el cifrado de Vigenère , y , al final del mismo, se propone un reto consistente en descifrar un mensaje , lo que me ha animado a escribir este post sobre el método Kasiski  para atacar un cifrado polialfabético ( conociendo la clave descifrar el mensaje es muy fácil, pero lo que contaré en este post es la forma de hacerlo sin saberla ). El mensaje a descifrar es el siguiente: LNUDVMUYRMUDVLLPXAFZUEFAIOVWVMUOVMUEVMUEZCUDVSYWCIVCFGUCUNYCGALLGRCYTIJTRNNPJQOPJEMZITYLIAYYKRYEFDUDCAMAVRMZEAMBLEXPJCCQIEHPJTYXVNMLAEZTIMUOFRUFC Como ya he dicho el método de Vigenère es un sistema de sustitución polialfabético , lo que significa que, al contrario que en un sistema de
103 comentarios
Leer más

Criptografía (XXIII): cifrado de Hill (I)

De
En este post me propongo explicar de forma comprensible lo que he entendido sobre el cifrado de Hill , propuesto por el matemático Lester S. Hill , en 1929, y que se basa en emplear una matriz como clave  para cifrar un texto en claro y su inversa para descifrar el criptograma correspondiente . Hay tres cosas que me gustan de la criptografía clásica, además de que considero que ésta es muy didáctica a la hora de comprender los sistemas criptográficos modernos: la primera de ellas es que me "obliga" a repasar conceptos de matemáticas aprendidos hace mucho tiempo y, desgraciadamente, olvidados también hace demasiado tiempo, y, por consiguiente, que, como dice  Dani , amigo y coautor de este blog, me "obliga" a hacer "gimnasia mental"; la segunda es que, en la mayoría de las ocasiones, pueden cifrarse y descifrase los mensajes, e incluso realizarse el criptoanálisis de los criptogramas, sin más que un simple lápiz y papel, es decir, para mi es como un pasat
5 comentarios
Leer más

¿Qué significa el emblema de la profesión informática? (I)

De
Todas o muchas profesiones tienen un emblema que las representa simbólicamente y en el caso de la  informática: " es el establecido en la resolución de 11 de noviembre de 1977  para las titulaciones universitarias superiores de informática, y  está constituido por una figura representando en su parte central  un  núcleo toroidal de ferrita , atravesado por  hilos de lectura,  escritura e inhibición . El núcleo está rodeado por  dos ramas : una  de  laurel , como símbolo de recompensa, y la otra, de  olivo , como  símbolo de sabiduría. La  corona  será la  de la casa real  española,  y bajo el escudo se inscribirá el acrónimo de la organización. ". Veamos los diferentes elementos tomando como ejemplo el emblema del COIIE/EIIEO (Colegio Oficial de Ingenieros en Informática del País Vasco/ Euskadiko Informatikako Ingeniarien Elkargo Ofiziala ) . Pero no sólo el COIIE/EIIEO adopta el emblema establecido en dicha resolución, sino que éste se adopta también como im
Publicar un comentario
Leer más