banner

[Solved] Christmas Hacking Challenge - Part I


| INDICE: 
El pasado mes de Diciembre, desde el Blog Pen-testing de SANS Institute nos planteaban un interesante reto para el periodo vacacional, obviamente, los mantecados se apoderan de uno y hasta que no acaban las vacaciones no te sueltan, vuelves a la rutina, y demás tareas habituales.

En su día, comenté en el blog, que intentaría resolver el puzzle y/o daría algunas pistas para ello. A lo largo de cuatro (4) entregas, intentaré dar una solución y respuesta a las cuestiones planeadas por el puzzle de "Christmas Hacking Challenge".

La primera entrega, consiste en dar una solución que responda a la primera de las preguntas planteadas por el "reto":

1. According to the packet capture file, what was Grandma's grand plan for Christmas day?
O lo que es lo mismo:
Prólogo

En mitad de la noche, un estrepitoso sonido se hace notorio y plausible hasta el punto de desvelar a nuestro protagonista. Todavía, ajeno a lo que estaba ocurriendo y bajo los efectos de "Morfeo", se incorpora lentamente -con los ojos entreabiertos- para prestar mayor atención algo que le pareció ser un ruido, momento en el cuál, el silencio se hacia cada vez más notorio, en la tranquilidad de la noche,  inundando toda la habitación! Habrá sido un sueño? - se pregunta -
Eran las 3:15 de la madrugada, bosteza, cabecea, se frota los ojos y espera unos instantes para ver si escucha algo fuera de lo normal. Transcurridos unos instantes, y tras comprobar la ausencia de cualquier perturbación, se acuesta y justo en el instante que nuestro protagonista cierra los ojos, se levanta sobresaltado al escuchar el golpeo repetitivo de la puerta de la casa. Quién será a estas horas? - se pregunta -

Rápidamente, se apresura a ver quién, tan insistenmente, se encuentra golpeando la puerta de la casa, a estas horas de la madrugada. Tras la mirilla, se vislumbra una gorra, - comienza a llover, se escucha el sonido que las gotas de agua producen al golpear la persiana del salón - !Alguien se mueve en el exterior, parece inquieto¡  tengo que saber quién es! -- reflexiona -.

Abre la puerta, y se encuentra con un agente de policía:
Buenas noches, es usted el Sr "Anderson", Thomas Anderson. - Si, soy yo y usted es?
Soy el inspector de policía Martinez, inspector jefe de la BIT, nos gustaría que nos acompañase, si es tan amable. - Cómo? Ahora, en mitad de la noche?
Si, siento mucho que no pueda ser de otra forma, pero es un asunto urgente y no puede demorarse ...
Esta bien, espere un minuto que me vista, recoga mis cosas y me comenta de que se trata ese asunto tan urgente...

[english version]
{In the middle of the night, a loud sound becomes obvious and plausible to the point of revealing our protagonist. Yet, under the influence of "Morpheus" is incorporated to give more attention to noise, when the deep silence of the dark night takes over the room! ! Was it a dream? - The question -
And just at the moment that our main character decides to go back to sleep, get up startled to hear the repetitious beating the door of the house.

Quickly, he rushes to see who, as insistenmente, is knocking on the door of the house, at this time of night...



A police agent shouted, "Your honor! I'm so sorry for the interruption, but I just discovered some potentially important evidence for this case."

Well, i'm going to prepare for the job! ...
>>}

Capitulo I: Preparación

El Sr Anderson, es un reconocido experto en seguridad que habitualmente trabaja con el grupo BIT de la policía, y no es la primera vez que se presentan en mitad de la noche para solicitar su colaboración en un caso, es decir, Anderson esta acostumbrado a este tipo de sobresalto, o al menos eso creía.

{Mr. Anderson is a recognized security expert who regularly works with the BIT group of police, and not the first time they occur it. Anderson is accustomed to this type of matter, or so he thought.}
Lo cierto es que se dio cuenta que se encontraba más habituado de lo que se creía, rapidamente, se vistio y cogio su maletín.

El maletín contenía:
  • Cables ethernet
  • Discos duros (HDD / USB)
  • Dispositivo de copia HDD
  • Portatil
  • Regleta eléctrica
  • Un network TAP
  • Kit de herramientas forenses (Kit) y algunas otras en un DVD/CD-Live  (Helix 2.0 / Helix 3 Pro)
  • etc.
!Vaya¡ Tengo practicamente todo lo que necesito para este caso, ya estoy agente, ahora cuente que ocurre ...

El agente (inspector de policia), le contó lo sucedido (historia disponible en el artículo original),  y procedio a indicarle cuales eran las "evidencias" , cuidadosamente custodiadas, que tenían en su poder, y que iban a ser analizadas por Anderson.

{The agent police, told him what happened (full history in the original article), and proceeded to show him which "evidences" had in their possession and were be carefully guarded, and were to be analyzed by him.}


Las evidencias son:
  1. Captura de tráfico de red
  2. Una fotogragía del lugar donde se ha encontrado el abrigo de la "supuesta" victima.
  3. Un abrigo abadonado de la "supuesta" victima
  4. y algunas otras pistas que no conducían a ninguna parte
Obviamente, para Anderson, las evidencias 3 y 4 no le servían para nada. Según parece, al Sr Anderson le basta con analizar la captura de tráfico exhaustivamente y encontrar la respuesta a las preguntas...

Capitulo II: Cuál era el gran plan de la abuela en Navidad?

En resumidas cuentas, la abuela del pequeño Timmy había desaparecido la vispera de navidad,  y gracias a que la abuela era una apasionada de la seguridad informática y el ciberespacio, ella misma , al parecer sin querrerlo, disponía de herramientas de seguridad para analizar el tráfico de su red, tenia un sniffer activado que permitio extraer la captura de tráfico de red - Evidencia 1-.

Para resolver el primer (1) enigma ¿Qué herramienta de seguridad pudo utilizar nuestro querido experto el Sr. Anderson?

- En el siguiente artículo lo desvelaremos - mientras tanto, si os parece, buscar alguna herramienta de "analisis de tráfico de red" (packet analysis tool) y examina la "Evidencia 1".

Mañana más ...

No hay comentarios :

Publicar un comentario en la entrada