venerdì 6 aprile 2012

Network Forensics Puzzle Contest #1

Questa è la prima volta che provo a identificare dati da un file pcap... Il mio interesse per il forensics è cresciuto notevolmente, scoprire dati nascosti mi è sempre piaciuto(ma odio la stenografia)... Quindi ho deciso di imparare qualcosa in più cimentandomi in qualche contest che presentasse anche le soluzioni però, e magari come procedere... Non si impara ad usare tshark o tcpflow sui manuali, ma utilizzandoli...

Il primo contest si è svolto nel 2009, e le soluzioni sono veramente tante... Tralasciando il consiglio di scrivere tool per fare queste operazioni(tshark ha un'infinita di filtri, inutile scrivere un tool quando un altro già fatto fa egregiamente il suo lavoro), ho preso come guida la soluzione che a suo tempo aveva mandato Franck_Guenichot... Quindi il mio svolgimento è identico al suo... Anche perchè è il primo forensics test che faccio... Ricordo la prima volta che ho usato nmap, non ci capivo niente, adesso lo uso con maggiore disinvoltura....

Per maggiori informazioni si può visitare la pagina del contest #1:

http://forensicscontest.com/2009/09/25/puzzle-1-anns-bad-aim

C'era da rispondere a sei domande:
1. What is the name of Ann’s IM buddy?
2. What was the first comment in the captured IM conversation?
3. What is the name of the file Ann transferred?
4. What is the magic number of the file you want to extract (first four bytes)?
5. What was the MD5sum of the file?
6. What is the secret recipe?
 Ovviamente sempre in inglese...  Quindi partendo da un file di pacchetti di rete, si dovevano ricostruire le informazioni... Io ho messo tutto dentro python, ma si poteva fare anche in bash avendo usato solo quella... In più alcune calls sono commentate, perchè rappresentano i passaggi fatti per arrivare alla soluzione ma che comunque non centrano con la domanda finale... Questo il codice:


Il codice non presenta nessuna particolare difficoltà, e poi si può sempre leggere il documento originale dell'autore per capire meglio... Non conoscevo affatto tshark, adesso posso dire di iniziare a capirlo meglio... Ed alla fine si può rispondere a tutte le domande cercate... Che come riportato sul sito ufficiale sono:
1. What is the name of Ann’s IM buddy?sec558user1
2. What was the first comment in the captured IM conversation?Here’s the secret recipe… I just downloaded it from the file server. Just copy to a thumb drive and you’re good to go >:-)
3. What is the name of the file Ann transferred?recipe.docx
4. What is the magic number of the file you want to extract (first four bytes)?0x504B0304
5. What was the MD5sum of the file?8350582774e1d4dbe1d61d64c89e0ea1
6. What is the secret recipe?
Recipe for Disaster:
1 serving
Ingredients:
4 cups sugar
2 cups water
In a medium saucepan, bring the water to a boil. Add sugar. Stir gently over low heat until sugar is fully dissolved. Remove the saucepan from heat. Allow to cool completely. Pour into gas tank. Repeat as necessary.

Nessun commento: