may 06 2008
Hackit! 2007: Nivel 9, espiando conversaciones VoIP
Lo primero que vemos al entrar en el nivel 9 es la posibilidad de descargarnos un fichero .zip que incluye un único fichero tampering.cap . El propio Linux nos indica de qué se trata:
sh-3.2$ file tampering.pcap
tampering.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
Una captura de tráfico hecha con tcpdump. Vamos a darle un poco de trabajo a Wireshark (ex-Ethereal), mediante el comando
$ wireshark tampering.cap
Vemos en la columna Protocol que aparte de ARP, aparece el acrónimo SIP (Session Initiation Protocol), o sea, “protocolo de iniciación, modificación y finalización de sesiones interactivas de usuario donde intervienen elementos multimedia como el video, voz…” (Wikipedia dixit) ¿Han capturado tramas de voz? Menos mal que me he traído los auriculares :-) También veo tramas RTP (Real-time Transport Protocol, que define un formato para el transporte de audio y video sobre Internet)… veamos qué tenemos en Wireshark al respecto…
Varias opciones del menú se relacionan con SIP, RTP y llamadas de voz. Por medio de la vieja táctica de “prueba y error” ;-) llegamos a la opción “VoIP Calls”. Nos sale esta pantalla:
Pulsamos en Player y obtenemos:
Esto parece una matrioska :-) Veamos… si pulsamos en “Decode”.
Esto tiene muy buena pinta. Pónte los cascos, pulsa “Play” y escucha la conversación… mañana seguiremos con la resolución del misterio (inténtalo por tu cuenta, ¡hombre!)
Está bueno, pero que sea Hackit! 2008.
Si es el HackIt! de 2007, no tiene sentido que ponga 2008. Léete los anteriores.
Una trama de voz! La había visto pero la descarté pensando que era ruido para despistar.
Y sin ella la clave del zip era casi imposible, lo probé con todos los diccionarios que encontré y hasta unas horas de fuerza bruta (pensaba que tampoco podía ser muy complicada)
Hay veces que se me atraviesa algo y no hay forma.
Saludos
Es cierto, son 2007, primera vez que trato de seguirte.
Ya lo reproduje, pero creo que solo para quienes solucionaron los primeros 5 hackit pueden continuar, ya que no tengo clave, o si puedo?
Gracias por la ayuda.
Me estoy informando un poco sobre el hackit, para quienes no sepan sobre el tema:
http://blog.txipinet.com/2007/08/02/75-hack-it-de-la-euskal-encounter-2007/
HackIt! suele celebrarse en la Euskal Encounter (reunión de apasasionados de la informática que desde hace unos años se celebra ya en el BEC-Barakaldo Exhibition Centre) Consiste en superar X pruebas de seguridad informática. Cada vez que superas una de ellas obtienes el password para pasar a la siguiente (este paso secuencial tal vez cambie este año). En 2007, la organización indicó que cuando pasáramos 5 pruebas debíamos de enviar un mensaje al organizador, algo así como una meta volante de cara a la clasificación final. El concurso dura unos 2 días (con todas sus 48 horas ;-) Cuando acaba la Encounter, txipi, el organizador, suele colgar las pruebas en un .tar.gz para su análisis y para poder seguir disfrutando de su resolución una vez terminado el concurso. Este año me ofrecí a comentar en DiarioLinux aquellas pruebas que mi equipo superó y aquí estamos ;-)
Comentario:
Si usan debian/ubuntu para saber que tipo de archivo es solo citar:
file tampering.pcap tampering.pcap:
Y muestra que es un archivo de captura.
48 horas? Vale la pena.
Quién ganó el año pasado?
Hola, te cuento que tengo wireshark instalado en mi laptop corriendo sobre un fedora 10 kde, cuando voy a Statistics->VoIP Calls, no me aparece la opcion player, solo aparece: Prepare Filter, Graph, Select All y Close.
Alguna idea de por qué será?
Muchas Gracias!