Hackit! 2007: Nivel 9, espiando conversaciones VoIP

Posted on May 6th, 2008 in HackIt, Seguridad by admin

Lo primero que vemos al entrar en el nivel 9 es la posibilidad de descargarnos un fichero .zip que incluye un único fichero tampering.cap . El propio Linux nos indica de qué se trata:

sh-3.2$ file tampering.pcap
tampering.pcap: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 65535)

Una captura de tráfico hecha con tcpdump. Vamos a darle un poco de trabajo a Wireshark (ex-Ethereal), mediante el comando

$ wireshark tampering.cap

Vemos en la columna Protocol que aparte de ARP, aparece el acrónimo SIP (Session Initiation Protocol), o sea, “protocolo de iniciación, modificación y finalización de sesiones interactivas de usuario donde intervienen elementos multimedia como el video, voz…” (Wikipedia dixit) ¿Han capturado tramas de voz? Menos mal que me he traído los auriculares :-) También veo tramas RTP (Real-time Transport Protocol, que define un formato para el transporte de audio y video sobre Internet)… veamos qué tenemos en Wireshark al respecto…

Varias opciones del menú se relacionan con SIP, RTP y llamadas de voz. Por medio de la vieja táctica de “prueba y error” ;-) llegamos a la opción “VoIP Calls”. Nos sale esta pantalla:

Pulsamos en Player y obtenemos:

Esto parece una matrioska :-) Veamos… si pulsamos en “Decode”.

Esto tiene muy buena pinta. Pónte los cascos, pulsa “Play” y escucha la conversación… mañana seguiremos con la resolución del misterio (inténtalo por tu cuenta, ¡hombre!)

7 Responses to 'Hackit! 2007: Nivel 9, espiando conversaciones VoIP'

Subscribe to comments with RSS or TrackBack to 'Hackit! 2007: Nivel 9, espiando conversaciones VoIP'.

  1. yo said,

    on May 6th, 2008 at 4:40 pm

    Está bueno, pero que sea Hackit! 2008.

  2. admin said,

    on May 6th, 2008 at 6:15 pm

    Si es el HackIt! de 2007, no tiene sentido que ponga 2008. Léete los anteriores.

  3. xavier Sala said,

    on May 6th, 2008 at 7:31 pm

    Una trama de voz! La había visto pero la descarté pensando que era ruido para despistar.

    Y sin ella la clave del zip era casi imposible, lo probé con todos los diccionarios que encontré y hasta unas horas de fuerza bruta (pensaba que tampoco podía ser muy complicada)

    Hay veces que se me atraviesa algo y no hay forma.

    Saludos

  4. yo said,

    on May 7th, 2008 at 3:43 am

    Es cierto, son 2007, primera vez que trato de seguirte.

    Ya lo reproduje, pero creo que solo para quienes solucionaron los primeros 5 hackit pueden continuar, ya que no tengo clave, o si puedo?

    Gracias por la ayuda.

  5. yo said,

    on May 7th, 2008 at 4:08 am

    Me estoy informando un poco sobre el hackit, para quienes no sepan sobre el tema:

    http://blog.txipinet.com/2007/08/02/75-hack-it-de-la-euskal-encounter-2007/

  6. admin said,

    on May 7th, 2008 at 9:26 am

    HackIt! suele celebrarse en la Euskal Encounter (reunión de apasasionados de la informática que desde hace unos años se celebra ya en el BEC-Barakaldo Exhibition Centre) Consiste en superar X pruebas de seguridad informática. Cada vez que superas una de ellas obtienes el password para pasar a la siguiente (este paso secuencial tal vez cambie este año). En 2007, la organización indicó que cuando pasáramos 5 pruebas debíamos de enviar un mensaje al organizador, algo así como una meta volante de cara a la clasificación final. El concurso dura unos 2 días (con todas sus 48 horas ;-) Cuando acaba la Encounter, txipi, el organizador, suele colgar las pruebas en un .tar.gz para su análisis y para poder seguir disfrutando de su resolución una vez terminado el concurso. Este año me ofrecí a comentar en DiarioLinux aquellas pruebas que mi equipo superó y aquí estamos ;-)

  7. yo said,

    on May 7th, 2008 at 5:59 pm

    Comentario:

    Si usan debian/ubuntu para saber que tipo de archivo es solo citar:

    file tampering.pcap tampering.pcap:

    Y muestra que es un archivo de captura.

    48 horas? Vale la pena.

    Quién ganó el año pasado?

Post a comment