Wireshark en Acci贸n 馃


Wireshark 馃

En esta publicaci贸n del blog abarcaremos un tema distinto a lo anteriormente publicado y es que en las anteriores entregas estudiamos distintos conceptos fundamentales de la presentaci贸n de Cisco Capitulo "x", pero en esta ocasi贸n trabajamos en Wireshark el cual es un analizador de protocolos de red, para an谩lisis y soluciones de problemas en red.

Martes 28/08/2018

Esta historia comienza el 28 de Agosto del 2018 a la 1:00 pm (En realidad un poco mas tarde, pero siempre queda mejor si es una hora exacta), el profesor nos habilito un archivo con el nombre "Evidencia" y una extensi贸n poco usual personalmente:  .pcap y aqu铆 es donde comienza la magia.

Procedimos a abrir el archivo en el software Wireshark el cual despleg贸 un listado enorme lleno de dudas... Pero antes de adentrarnos completamente a la actividad el profesor nos mostr贸 algo muy interesante, como primer paso ten铆amos que crear una carpeta en nuestro escritorio con el nombre de "Prueba" y adentro de la carpeta almacenar una imagen que nos agradara, en mi caso eleg铆 la siguiente imagen: 


Debo admitir que no es exactamente la imagen mas varonil... Pero nadie podr谩 decir que es una mala fotograf铆a, lo importante es que nos val铆a para la practica o el ejemplo planteado. Lo siguiente que necesit谩bamos era un .txt creado en un bloc de notas en el cual escribir铆amos lo que nosotros dese谩ramos, ambos archivos (imagen y texto) los guardar铆amos en la carpeta que anteriormente hab铆amos creado.

Como siguiente instrucci贸n abrimos el cmd, en el cual accedimos al escritorio y posteriormente a la carpeta "Prueba" , una vez posicionados en la carpetas utilizamos un: "copy /b img.jpg + Texto.txt resultado.jpg" esto b谩sicamente crear铆a una imagen id茅ntica a la seleccionada (El gatito)  con la diferencia que este esconder铆a un secreto y es que el texto escrito en el txt se combinar铆a de tal forma que estar铆a de forma oculta para la mayor铆a del publico.
Resultado de imagen para gif fusion dragon ball
img.jpg + Texto.txt = resultado.jpg
                                               

En esta captura de pantalla podemos observar el proceso descrito anteriormente.





















Y una vez explicado esto, retomemos en el punto en que nos quedamos el cual es ... "Procedimos a abrir el archivo en el software Wireshark el cual despleg贸 un listado enorme lleno de dudas... ". Como primeros puntos el profesor nos explico que uno de los puntos mas importantes a considerar en el an谩lisis de paquetes, es precisamente el tipo de protocolo empleado, ya que con estos nos podr铆amos dar una idea sobre las actividades que se hab铆an realizado. 

Una vez que seleccion谩ramos cualquiera de ellos lo siguiente que tendr铆amos que realizar era pulsar click derecho, follow y seleccionabas  follow tcp, despu茅s se abrir铆a una ventana en la cual nos mostraba informaci贸n sobre el proceso llevado, informaci贸n importante para poder descifrar lo oculto en el proceso, esto b谩sicamente era prueba y error, en el cual tendr铆amos que extraer el tipo de formato en el que estaba encriptado el documento, localizar las zonas mas legibles para tener una idea de que tipo de documento se trataba, con mas de 100 opciones, este ejemplo fue resuelto por el profesor el cual fue desencriptado en cuesti贸n de minutos, resulto ser una receta secreta en formato .docx

Se apoyo de otro software el cual se llama Cryptool, encargado precisamente de encriptar o desencriptar, seleccionando el tipo de formato al que lo queremos convertir, por lo tanto es preciso el conocer el tipo de formato en que esta encriptado.

An谩lisis de protocolo del archivo Evidencia.pcap
Esto seria lo realizado el 28/08/2018 en el cual nos adentramos en temas complejos, curiosos e interesantes.

Jueves 30/08/2018

Pasemos al jueves en el cual de forma solitaria trabajar铆amos en algo similar a lo realizado por el profesor el martes, utilizando el software de Wireshark y Cryptool, el archivo era traficoRed.pcap

Siguiendo el proceso, abrimos el archivo en wireshark y empezamos a navegar por los diferentes paquetes, tratando de encontrar informaci贸n que funcionara para poder descifrar el mensaje oculto, el profesor nos dio una pita que b谩sicamente la persona que estaba detr谩s de todo esto se sospechaba que hab铆a violado su libertada condicional y ten铆amos que descubrir su ubicaci贸n, si hab铆a salido a alg煤n sitio, etc. A lo largo del transcurso notamos puntos tal como direcciones de correo electr贸nico, destinatarios, algunas partes no encriptadas y legibles que funcionaban para darnos una mejor idea de lo que est谩bamos haciendo, al final de cuentas nos acercamos bastante, ya que averiguamos que se trataba de un archivo de Word y que este conten铆a una imagen.

En los paquetes 220 aproximadamente es donde es encontraba toda la informaci贸n importante, este mensaje estaba en Base64 que es el est谩ndar en el cual encontramos los correos electr贸nicos, se copio el formato, se ingreso a CrypTool y con ello guardamos con exenci贸n .docx y efectivamente era una imagen, la persona hab铆a violado su libertad condicional y estaba en playa del carmen.





Estas practicas resultan muy interesantes, aunque debo admitir que es un poco enredado por el hecho que no tienes un inicio para empezar (al menos por ahora lo desconozco), de cualquier manera creo que el truco es prestar atenci贸n en los detalles para lograr una correcta obtenci贸n de la informaci贸n, la cual adquirir茅 en practicas posteriores (espero). Con esto finalizar铆a la publicaci贸n de la semana 5, hasta la pr贸xima semana.


Comentarios

Entradas populares