sexta-feira, 16 de dezembro de 2016

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede

Desafio: Análise Forense Computacional - Forense em Tráfego de Rede [Resolvido]



Descrição do desafio



Veja abaixo todas as informações sobre o desafio. A solução foi publicada na página 2.

Descrição do jogo

Filipe é dono de uma padaria e possui uma receita incrível para fazer seus pães, onde todos em sua cidade adoram. Mas Rafael, que é um concorrente, deseja obter esta receita, e para isso fingiu ser o neto de Filipe para obter a receita secreta.

Alguns dias após o ocorrido, descobriram o que Rafael havia feito, e por sinal, encontraram um arquivo dentro de seu computador:
padaria.pcap (md5:9c546f3e88828c6d3182fcd25f5304b2)

... mas não foram capazes de identificar o que de fato aconteceu.

Obs.: Baixar o arquivo de:
Você é um perito e seu objetivo é descobrir como Rafael fez isso!

Perguntas:
  • Qual nick Rafael utilizou para se passar pelo neto de Filipe?
  • Qual foi o primeiro comentário na conversa entre os dois?
  • Qual o nome do arquivo que foi transferido durante a conversa?
  • O que aconteceu após a transmissão de tal arquivo?
  • Onde Rafael encontrou o arquivo que contém a receita secreta?
  • Qual é a receita secreta?

Abaixo, os vídeos relacionados ao desafio de Análise Forense Computacional de Tráfego de Rede.

Webinar #10 - Captura (grampo) e análise de tráfego em redes de computadores:
Webinar #2 - Análise forense computacional em tráfego de rede:

Webinar #9 - As provas e as evidências na investigação dos crimes informáticos:
 
 
 Palestra: Desafios em computação forense e resposta a incidentes - Sandro Suffert - Workshop SegInfo 2011: 
 
 
O gabarito do desafio será publicado como atualização deste artigo na próxima semana.


Solução / Gabarito do desafio



Segue a solução/gabarito do exercício proposto na página anterior.

Link da imagem:
Linux: Desafio: Análise Forense Computacional - Forense em Tráfego de Rede
0. Após baixar a imagem acima, vamos conferir a sua MD5 para confirmar que não houve nenhuma falha na transmissão:

md5sum DesafioEsteg.jpg
a5d78511149bcf68afddd82a1ed6db29 DesafioEsteg.jpg


1. Com a imagem em mãos, vamos analisar o tipo do arquivo:

file DesafioEsteg.jpg
DesafioEsteg.jpg: JPEG image data, JFIF standard 1.02


2. Vamos verificar se, por acaso, não existem strings escondidas na imagem, antes de tentar usar um programa:

strings DesafioEsteg.jpg
0101011001010111010110100011001101011010011011010110011001000100011100010101100
0010011100011010001001001010010000101011000110000011001000111100101000010001100
1101100001011011100110100000110000011000110101011101000110011100010110010001111
0010100001000110000010010010100011101101100011100010110010101000111010110100111
0010011000100110111001010001011001110110000101010111010110010110011101010011010
0100001000110011011010101100101010111001101010011010001001001010001100110100001
1100010110001001001000011100000011001101011010011011100101000001000100011100000
0110010010110010110011101100001010101110101100101100111010101000110111001001110
0111001001100100010010000110010001111001010110100111001101001111011011100111011
1001101100100111000110000010011000110100101000010010010010110010001001000010011
1001110100011000010111001101001111011011100101101001101001010000100111101001100
1000100100001101000001101000101101001101001010000100100110001100100010010000110
0100011110010101101001110011010011110110111001110111001101100100111000110000010
0100101000111011011000111000101001001010001010101101000110110011000010101011100
1101010011010101100100010010000110001101100111011000010110111001001001011001110
1010111010101110111000000110100011001010101011101101111011001110110000101010111
0110111101100111010101000110111001001110011010000101101001101110011010100100010
0011011110011001101010001011001110110000101101110010010010110011101100010010110
0001101100001101010110010001010100011011110111011001001100001100100100101001101
0010101100101101001001101010110111001100011010110000101001001110011010011000110
1101011010000111100001011010011011010100011001110101011001010100001100110101011
0111101100100010010000100100101110101010110100011001101100011011101100110000100
1100110101001000110011011000110110110101011010011011110101101001101110010100010
1110100011000010101011101101111011101000100111001111010011001110111010001100010
0101100001010010001100110101101001101110011001110111010001011010011011100111000
0011100000110001001101110011011000011000001100100011110010011000101110001011000
1101101001001100010011010101100001011011100110100000110101011000010110100100110
0010111000001100001011010010011000101110101011000110011001001000110011011010110
0101010001110101101000110000010011000101011101011010011011110101101001101101011
0110001110001011000110110110100110101011011010100110001010111011010000111100001
0110100110110101000110011101010110010101000011001100010011010001100001011011010
1111000001101100110010000110010010110100111101001100001010001110101100101110100
0110000101010111010110010111010001100010011011100100111001110010011001000100100
0011001000111100101011010011011010110100001101101011001000100000101101111001111
01


3. Como a mensagem está em binário, precisamos convertê-la para ASCII. Para isso você pode usar o Binary to Text (ASCII) Conversion.

* Questão bônus: Como fazer isso sem sair do shell?
VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPDp2Yga
WYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganIgWWp4
eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZnQtaWo
tNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14amx6d2
ZzaGYtaWYtbnNrdHdyZmhmdAo=


4. Agora, decodificamos a mensagem de base64:

echo "VWZ3ZmfDqXN4IHV0dyB3anh0cWFqdyB0IGlqeGZrbnQgaWYgSHFmYW54IFhqbHp3ZnPD
p2YgaWYgTnNrdHdyZsOnw6N0LiBIdHNtasOnZiBzdHh4ZiBLdHdyZsOnw6N0IGlqIEZ6aW55dHcganI
gWWp4eWogaWogTnNhZnjDo3QganIgbXl5dTovL2JiYi5ncXRsLmhxZmFueC5odHIuZ3cva3R3cmZoZn
QtaWotNzgtbXR3ZngtZnppbnl0dy1qci15anh5ai1pai1uc2FmeGZ0LWZoZmlqcm5mLWhxZmFueC14a
mx6d2ZzaGYtaWYtbnNrdHdyZmhmdAo=" | base64 -d

Ufwfgésx utw wjxtqajw t ijxfknt if Hqfanx Xjlzwfsçf if Nsktwrfçãt. Htsmjçf
stxxf Ktwrfçãt ij Fzinytw jr Yjxyj ij Nsafxãt jr myyu://bbb.gqtl.hqfanx.htr.
gw/ktwrfhft-ij-78-mtwfx-fzinytw-jr-yjxyj-ij-nsafxft-fhfijrnf-hqfanx-xjlzwfshf- if-nsktwrfhft


5. Por fim, seguindo a dica da foto (salada caesar), vemos que o texto está cifrado usando a Cifra de Caesar, com chave de deslocamento de valor 5.

Para cada letra (exceto as acentuadas), substitua pela quinta letra anterior (valor ASCII menos 5). Você pode usar o cipher.py para ler a mensagem:
" Parabéns por resolver o desafio da Clavis Segurança da Informação. Conheça nossa Formação de Auditor em Teste de Invasão em http://www.blog.clavis.com.br/formacao-de-78-horas-auditor-em-teste-de-invasao-academia-clavis-seguranca-da-informacao "


Até o próximo desafio! 8-)


fonte: https://www.vivaolinux.com.br/artigos/impressora.php?codigo=13924

Reações:

0 comentários: