Hackit! 2007: Nivel 9, espiando conversaciones VoIP
Lo primero que vemos al entrar en el nivel 9 es la posibilidad de descargarnos un fichero .zip que incluye un único fichero tampering.cap . El propio Linux nos indica de qué se trata:
sh-3.2$ file tampering.pcap
tampering.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)
Una captura de tráfico hecha con tcpdump. Vamos a darle un poco de trabajo a Wireshark (ex-Ethereal), mediante el comando
$ wireshark tampering.cap
Vemos en la columna Protocol que aparte de ARP, aparece el acrónimo SIP (Session Initiation Protocol), o sea, “protocolo de iniciación, modificación y finalización de sesiones interactivas de usuario donde intervienen elementos multimedia como el video, voz…” (Wikipedia dixit) ¿Han capturado tramas de voz? Menos mal que me he traído los auriculares :-) También veo tramas RTP (Real-time Transport Protocol, que define un formato para el transporte de audio y video sobre Internet)… veamos qué tenemos en Wireshark al respecto…
Varias opciones del menú se relacionan con SIP, RTP y llamadas de voz. Por medio de la vieja táctica de “prueba y error” ;-) llegamos a la opción “VoIP Calls”. Nos sale esta pantalla:
Pulsamos en Player y obtenemos:
Esto parece una matrioska :-) Veamos… si pulsamos en “Decode”.
Esto tiene muy buena pinta. Pónte los cascos, pulsa “Play” y escucha la conversación… mañana seguiremos con la resolución del misterio (inténtalo por tu cuenta, ¡hombre!)
on May 6th, 2008 at 4:40 pm
Está bueno, pero que sea Hackit! 2008.
on May 6th, 2008 at 6:15 pm
Si es el HackIt! de 2007, no tiene sentido que ponga 2008. Léete los anteriores.
on May 6th, 2008 at 7:31 pm
Una trama de voz! La había visto pero la descarté pensando que era ruido para despistar.
Y sin ella la clave del zip era casi imposible, lo probé con todos los diccionarios que encontré y hasta unas horas de fuerza bruta (pensaba que tampoco podía ser muy complicada)
Hay veces que se me atraviesa algo y no hay forma.
Saludos
on May 7th, 2008 at 3:43 am
Es cierto, son 2007, primera vez que trato de seguirte.
Ya lo reproduje, pero creo que solo para quienes solucionaron los primeros 5 hackit pueden continuar, ya que no tengo clave, o si puedo?
Gracias por la ayuda.
on May 7th, 2008 at 4:08 am
Me estoy informando un poco sobre el hackit, para quienes no sepan sobre el tema:
http://blog.txipinet.com/2007/08/02/75-hack-it-de-la-euskal-encounter-2007/
on May 7th, 2008 at 9:26 am
HackIt! suele celebrarse en la Euskal Encounter (reunión de apasasionados de la informática que desde hace unos años se celebra ya en el BEC-Barakaldo Exhibition Centre) Consiste en superar X pruebas de seguridad informática. Cada vez que superas una de ellas obtienes el password para pasar a la siguiente (este paso secuencial tal vez cambie este año). En 2007, la organización indicó que cuando pasáramos 5 pruebas debíamos de enviar un mensaje al organizador, algo así como una meta volante de cara a la clasificación final. El concurso dura unos 2 días (con todas sus 48 horas ;-) Cuando acaba la Encounter, txipi, el organizador, suele colgar las pruebas en un .tar.gz para su análisis y para poder seguir disfrutando de su resolución una vez terminado el concurso. Este año me ofrecí a comentar en DiarioLinux aquellas pruebas que mi equipo superó y aquí estamos ;-)
on May 7th, 2008 at 5:59 pm
Comentario:
Si usan debian/ubuntu para saber que tipo de archivo es solo citar:
file tampering.pcap tampering.pcap:
Y muestra que es un archivo de captura.
48 horas? Vale la pena.
Quién ganó el año pasado?