Wireshark en Acción 🦈

Wireshark 🦈

En esta publicación del blog abarcaremos un tema distinto a lo anteriormente publicado y es que en las anteriores entregas estudiamos distintos conceptos fundamentales de la presentación de Cisco Capitulo "x", pero en esta ocasión trabajamos en Wireshark el cual es un analizador de protocolos de red, para análisis y soluciones de problemas en red.

Martes 28/08/2018

Esta historia comienza el 28 de Agosto del 2018 a la 1:00 pm (En realidad un poco mas tarde, pero siempre queda mejor si es una hora exacta), el profesor nos habilito un archivo con el nombre "Evidencia" y una extensión poco usual personalmente:  .pcap y aquí es donde comienza la magia.

Procedimos a abrir el archivo en el software Wireshark el cual desplegó un listado enorme lleno de dudas... Pero antes de adentrarnos completamente a la actividad el profesor nos mostró algo muy interesante, como primer paso teníamos que crear una carpeta en nuestro escritorio con el nombre de "Prueba" y adentro de la carpeta almacenar una imagen que nos agradara, en mi caso elegí la siguiente imagen: 

Debo admitir que no es exactamente la imagen mas varonil... Pero nadie podrá decir que es una mala fotografía, lo importante es que nos valía para la practica o el ejemplo planteado. Lo siguiente que necesitábamos era un .txt creado en un bloc de notas en el cual escribiríamos lo que nosotros deseáramos, ambos archivos (imagen y texto) los guardaríamos en la carpeta que anteriormente habíamos creado.

Como siguiente instrucción abrimos el cmd, en el cual accedimos al escritorio y posteriormente a la carpeta "Prueba" , una vez posicionados en la carpetas utilizamos un: "copy /b img.jpg + Texto.txt resultado.jpg" esto básicamente crearía una imagen idéntica a la seleccionada (El gatito)  con la diferencia que este escondería un secreto y es que el texto escrito en el txt se combinaría de tal forma que estaría de forma oculta para la mayoría del publico.

img.jpg + Texto.txt = resultado.jpg

                                               

En esta captura de pantalla podemos observar el proceso descrito anteriormente.

Y una vez explicado esto, retomemos en el punto en que nos quedamos el cual es ... "Procedimos a abrir el archivo en el software Wireshark el cual desplegó un listado enorme lleno de dudas... ". Como primeros puntos el profesor nos explico que uno de los puntos mas importantes a considerar en el análisis de paquetes, es precisamente el tipo de protocolo empleado, ya que con estos nos podríamos dar una idea sobre las actividades que se habían realizado. 

Una vez que seleccionáramos cualquiera de ellos lo siguiente que tendríamos que realizar era pulsar click derecho, follow y seleccionabas  follow tcp, después se abriría una ventana en la cual nos mostraba información sobre el proceso llevado, información importante para poder descifrar lo oculto en el proceso, esto básicamente era prueba y error, en el cual tendríamos que extraer el tipo de formato en el que estaba encriptado el documento, localizar las zonas mas legibles para tener una idea de que tipo de documento se trataba, con mas de 100 opciones, este ejemplo fue resuelto por el profesor el cual fue desencriptado en cuestión de minutos, resulto ser una receta secreta en formato .docx

Se apoyo de otro software el cual se llama Cryptool, encargado precisamente de encriptar o desencriptar, seleccionando el tipo de formato al que lo queremos convertir, por lo tanto es preciso el conocer el tipo de formato en que esta encriptado.

Análisis de protocolo del archivo Evidencia.pcap

Esto seria lo realizado el 28/08/2018 en el cual nos adentramos en temas complejos, curiosos e interesantes.

Jueves 30/08/2018

Pasemos al jueves en el cual de forma solitaria trabajaríamos en algo similar a lo realizado por el profesor el martes, utilizando el software de Wireshark y Cryptool, el archivo era traficoRed.pcap

Siguiendo el proceso, abrimos el archivo en wireshark y empezamos a navegar por los diferentes paquetes, tratando de encontrar información que funcionara para poder descifrar el mensaje oculto, el profesor nos dio una pita que básicamente la persona que estaba detrás de todo esto se sospechaba que había violado su libertada condicional y teníamos que descubrir su ubicación, si había salido a algún sitio, etc. A lo largo del transcurso notamos puntos tal como direcciones de correo electrónico, destinatarios, algunas partes no encriptadas y legibles que funcionaban para darnos una mejor idea de lo que estábamos haciendo, al final de cuentas nos acercamos bastante, ya que averiguamos que se trataba de un archivo de Word y que este contenía una imagen.

En los paquetes 220 aproximadamente es donde es encontraba toda la información importante, este mensaje estaba en Base64 que es el estándar en el cual encontramos los correos electrónicos, se copio el formato, se ingreso a CrypTool y con ello guardamos con exención .docx y efectivamente era una imagen, la persona había violado su libertad condicional y estaba en playa del carmen.

Estas practicas resultan muy interesantes, aunque debo admitir que es un poco enredado por el hecho que no tienes un inicio para empezar (al menos por ahora lo desconozco), de cualquier manera creo que el truco es prestar atención en los detalles para lograr una correcta obtención de la información, la cual adquiriré en practicas posteriores (espero). Con esto finalizaría la publicación de la semana 5, hasta la próxima semana.