Esteganografia

Hoy 22 de junio Neobits.org Cumple un año, aunque la primer entrada es hasta el 25, desde el 22 se trabajo para la creacion de lo que hoy es este pequeño blog dedicado casi en su totalidad a la Esteganografia y Estegoanalisis. Y como se daran cuenta Si decidi renovar. Gracias a las 16 personas que votaron por si.

Quiero agradecer a todos los lectores que aunque son pocos, varios de ellos son muy fieles, y a los lectores casuales, espero que mi web e informacion les fuera de ayuda. Gracias a todos por su apoyo, por sus feeds, por sus comentarios, y simplemente por su visita y por darse el tiempo de leer un poco de lo que me apasiona.

En especial quiero agradecerle a mi Gran amigo BLUERECKIEM por que gracias a el YA TENEMOS LOGO!!! y uno bueno, y profesional, y no lo que yo habia hecho.

Aqui dejo su gran diseño en diferentes tamaños. Publicamente muchas gracias amigo mio.

Asi pues agradezco a todos su apoyo, a este que es mi mayor proyecto personal realizado, que me da orgullo. Y aunque aun es muy pequeño el proyecto, espero crezca y logremos mas en este proximo año. Por ahora podre decir que neobits.org ira a la BugCon 2010 tratando de dar la cara por las investigaciones en Esteganografia en Mexico.

Este fue un año con 39 entradas en el blog(incluyendo esta), y 170 comentarios, varios tutoriales, y pruebas. En fin, muy satisfecho de Este blog. Y como regalo para todos dejo el tuto de hoy. SOLUCION RETO ESTEGANOGRAFICO F200 DE CTF DEFCON 2010

Sin mas espero la pagina crezca, que tengamos mas visitas y mas participación, y espero cumplir mas años con mas tutoriales.

Esta entrada se la quiero dedicar a 2 personas en especial. Bluereckiem por su apoyo incondicional y a HaDeS por sus grandes y tantas enseñanzas. Y tambien a todas las personas que saben que es la Esteganografia y saben a que carrera me voy.

Saludos y Esperamos cumplir mas Años con ustedes y su apoyo para crecer.

Atte. Un admin nostalgico hecky

Bueno esta vez hablare de un reto de la competencia CTF de la DEFCON , yo no participe pero viendo los writeups vi un reto, especificamente el reto 200 de la categoria Forense. Un reto que muchos resolvieron principalmente con ImageMagick como lo podemos ver aqui. Ahora se preguntaran ¿Si ya esta resuelto para que lo haces?, simplemente por que es uno de los pocos retos que pertenecen a la rama de la Esteganografia(al menos para mi), y por que halle otra manera de resolverlo. Ademas por que fue del unico reto que pude conseguir los archivos para “jugar” con ellos.

Bien empecemos antes que nada, el archivo es este: f200_02b7b50f575759cff7.tar.lzma.tar y voy a aclarar que la resolucion la hago en entornos GNU/LINUX, distro Ubuntu 9.10.

Listo ya que lo tenemos, lo primero que se nos ocurre es descomprimirlo haciendo un

tar -xvf f200_02b7b50f575759cff7.tar.lzma.tar

y NADA!!! error…entonces viendo otra de la extension que tiene, vemos que dice LZMA, ese metodo de compresion si mi memoria no me falla lo vi en la estructura del formato 7-zip(7z) asi que lo que hago es usar 7-zip para abrierlo, al abrirlo me aparece otro archivo que igualmente uso 7-zip para abrirlo y listo, ya tenemos todo bien.

Al abrir la carpeta y ver el contenido me asombro de ver 1121 imagenes casi iguales, como vemos aqui:

Pero ahora toca pensar que hacer con ellas…para eso abrire una imagen y vemos lo siguiente:

Como vemos es una imagen de formato PNG, con fondo transparente, pero hay algunos pixeles alternos de color negro y blanco. Si recordamos el formato PNG es el que puede tener nivel de transparencia en el canal ALFA…Se podria atacar por ahi, como en los retos de sinfocol.org pero se me ocurre algo mejor que eso. Por la cantidad de imagenes que es exagerado, podemos intentar encimar una en otra y asi, hasta ver que forma…

Para ello se puede hacer programando, pero en esta ocasion preferi intentar usando GIMP mi programa de edicion por excelencia de Ubuntu.

Lo que hago es abrir Gimp, y irme a Archivo>Abrir como capas

Despues selecciono todas las imagenes(Ctrl+A) y las abro

Las imagenes se empezaran a cargar como capas

Despues de que se abran TODAS se notara que los pixeles formaban una imagen en blanco y negro:

Y al final obtenemos la imagen que nos da una URL. Y esa era la respuesta

Como ven no era dificil, y con ImageMagick se hacia rapido tambien, pero personalmente no se los comandos para usarla. Mi maestro dani papi HaDeS xD de sinfocol.org lo realizo programando en php, esperemos nos comparta su codigo de como lo hizo y lo publico. Por cierto muchas felicidades a el y su team por quedar dentro de los 100 primeros en el CTF de la Defcon.

Espero les agradara.

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bien en esta ocasion hablare sobre esteganografia basica en los ficheros de compresion gzip.

Estuve viendo un poco la estructura del fichero en base al RFC1952 del formato GZIP y vi que si en el byte 4 que se refiere a las FLAGS, esta activado el bit 3 activa la bandera del nombre FNAME. Osea que en el byte 4 deberia haber por ejemplo un 0×08 para que este activado, despues de esto, vendra el MTIME 4 bytes(Tiempo de creacion), luego el XFL 1 byte (Banderas extras), y luego el OS 1 byte (Sistema operativo, ejemplo UNIX 0×03) , luego vendra el NOMBRE DEL ARCHIVO, y despues un byte nulo 0×00.

Con esta pequeña introducción veremos lo facil que es ocultar un fichero en gzip. En esta ocasion no dejo Un tutorial, sino que nos iniciamos con VideoTutoriales. El videotuto es hecho en Ubuntu, con el programa recordmydesktop.

Les dejo el video y si surje alguna duda favor de plantearla.

Esteganografia Basica en Ficheros Gzip from hecky on Vimeo.

Por cierto el fichero de texto que uso en el ejemplo es mi resumen del fichero gzip, en ese resumen me base para hacer pruebas y ver si encontraba algo en el formato que permitiera hacer la estegano…Si ah alguien le interesa aqui lo dejo.

Estructura Formato gzip
Firma Formato:
2 bytes >> 1F8B
Metodo de compresion: 1 byte (compresion predeterminada DEFLATE 0x08)
Flags: 1 byte (se valua por bits)
 bit0 FTEXT >> posible archivo de texto
 bi1 FHCRC  >> CRC16
 bit2 FEXTRA >> extra
 bit3 FNAME  >> nombre original seguido de un byte nulo
 bit4 FCOMMENT >> comentario
 bit5 reserved
 bit6 reserved
 bit7 reserved
MTIME: 4 bytes (Tiempo de ultima modificacion)
XFL: 1 byte extra flags
OS: 1 byte (sistema operativo  0-FAT 3-UNIX 6-HPFS 7-Macintosh 11-NTFS 255-desconocido)
NOMBRE DEL ARCHIVO: En seguida del OS viene el nombre de archivo si en el 4 byte esta activado el bit 4 (ej: 00001000 >> 0x08)
BYTE NULO: despues del nombre del archivo...

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Hola, esta vez vengo recurriendo a su ayuda. En poco menos de un mes el dominio neobits.org expirara y hago una encuesta que esta en el panel derecho donde me podran decir si me recomiendan renovar o no…Hasta ahorita mis planes son de Si renovar, puesto que tengo en mente otros proyectos para el dominio…

Pero ahora para esto necesito de algo mas. Y es aqui donde pido de su ayuda encarecidamente.

Acudo y convoco a todos eso visitantes y parceros/amigos de mi o del blog, que le entren al diseño grafico y me colaboren con la creacion del logo para neobits.org

La verdad yo soy pesimo para estas cosas como podran notar en este diseño;

Realmente este diseño lo hice casi casi empezando el blog, y solo era para que en los tutoriales pusiera esta imagen en las demas imagenes como una marca de agua. Mi intencion nunca fue volver de esta imagen mi logo.

En mi vida cibernetica eh conocido a dos amigos mios que me han hecho dos diseños muy buenos y que me encantaron, ellos son;

.-Bluereckiem que me diseño el Header del extinto Foro.neobits.org

.-Karorusox que me hizo mi chibi

GRACIAS POR SUS DISEÑOS TAN BACANOS!!!

Pero como decia ahora recurro a un nuevo favor…y es si alguien me puede colaborar con esto. La verdad aun no tengo idea si quiera de que hacer, ni de una imagen, ni como representar el contenido de la web, simplemente quisiera algo muy simbolico y representativo. No tengo exigencia alguna mas que el fondo sea negro, Si alguien pudiera ayudarme, le agradeceria mucho se pusiera en contacto conmigo lo antes posible.

Gracias por su atencion. Espero alguien me colabore con esto…Saludos

Bueno ya hemos visto mucho sobre esteganografia en ambientes windows ahora intentare demostrar lo facil y lo parecido que puede ser en ambientes Linux…Para esta entrada pondre varios ejemplos, desde como hacer el Metodo EoF y la deteccion de algo oculto….

Empecemos

Para empezar veremos como podemos ocultar un texto claro dentro de una imagen

1) OCULTANDO TEXTO DENTRO DE IMAGEN(PNG)

.-Lo que haremos sera abrir una shell, y nos ubicamos en donde debemos (cd “ruta/destino”)…En mi caso en el escritorio…

.-Ahora tenemos una imagen llamada “hecky.png” y lo que queremos es ocultar un texto por el metodo EoF que diga “Texto oculto con la shell de Linux”

.-Para esto lo que haremos sera poner el siguiente comando. “echo Texto oculto con la shell de Linux >> hecky.png”

.-Listo ya tenemos nuestro texto oculto para corroborar podemos hacer uso de un editor hexadecimal para GNU/Linux como lo es “Bless Hex Editor” y si vemos al final encontraremos nuestro texto oculto

.-El chiste tambien de estos tutoriales en sistemas linux es ir usando las herramientas nativas…Asi que veremos de que manera podemos visualizar tambien esto…

.-Ahora simplemente le damos un tail -2 asi; “tail -2 hecky.png”…El comando tail lo que hace es mostrarnos las ultimas 10 lineas de un archivo, pero en este caso con el parametro “-2″ le decimos que en vez de mostrarnos las ultimas 10 lineas predeterminadas, nos muestre las ultimas 2 del archivo hecky.png…

2) OCULTANDO UNA IMAGEN EN OTRA IMAGEN

.-Haremos practicamente lo mismo, con los comandos…Esta vez haremos uso del comando “cat” que nos sirve para ver el contenido de un archivo y tambien haremos uso de una salida “>>”, para esto tenemos otra imagen PNG llamada Estegano.neobits.org.png

.-El comando en cuestion seria; “cat Estegano.neobits.org.png >> hecky.png” con esto lo que hacemos es “mostrar”/obtener el contenido de Estegano.neobits.org.png y ADJUNTARLO (>>) (si solo ponemos uno(>), en vez de concatenar, lo sustituira) al archivo hecky.png

.-Ahora para ver si hay algo oculto en hecky.png podriamos hacer uso del editor hexadecimal, pero aqui mostrare algo mejor…usaremos el comando “grep”, este comando nos permite buscar patrones en lineas….

.-Tomando en cuenta que queremos buscar si hay otro png oculto, El comando seria; “grep -a -i -e eNd -e PnG hecky.png” donde el parametro -a nos sirve para decir que lo busque como texto, el parametro -i que no diferencie entre mayusculas y minusculas en la busqueda, y el -e para poner los patrones…En este caso notar que pusimos eNd y PnG, cuando lo correcto seria END y PNG, pero el parametro -i nos sirve para no diferenciar eso…y pusimos dos parametros, por eso ponemos dos veces “-e”, y nos mostrara, TODAS las coincidencias…En este caso encuentra 2 de cada una, eso quiere decir que encontramos otro PNG, lo cual es TOTALMENTE CORRECTO

3) ESTEGOANALISIS A UN BMP

.-Ahora imaginemos que tenemos una imagen BMP…sabemos que los bytes del formato bmp estan intimamente relacionados con los valores RGB de cada pixel…Aqui pongo el ejemplo con una imagen en blanco (grande.bmp) pero con inconsistencias..la imagen es de 1291*712 pixeles…

.-Sospechamos que en esas incosistencias hay algo oculto…pero seria muy tardado revisar con el editor hexadecimal, parte por parte…entonces intentamos con un “cat” en la shell(“cat grande.bmp”)…y tenemos la siguiente desagradable sorpresa…

.-Nos imprimimo todos los bytes, pero no vimos nada :S y sigue siendo muy cansado revisar parte por parte…

.-Aqui entra en juego otro gran comando que nos sera de ayuda…se trata de “strings” que busca cadenas de texto Haremos uso de este comando asi; “strings grande.bmp” y el resultado es este:

.-Si hubieramos estado buscando parte por parte, nos hubieramos encontrado con muchos mensajes desagradables y hubieramos tardado mucho en encontrar lo que buscabamos, sin embargo aqui fue automatico y facil…

Nota aclaratoria: Como es un tutorial Basico en entornos *nix, cabe mencionar que la shell, diferencia entre mayusculas y minusculas, por lo que no es lo mismo “grep” que “Grep” ni “CAT” que “cat”, todos los comandos van en minusculas

Creo que por el momento es un buen inicio…Espero esto los aliente a probar y seguir experimentando…Espero les haya gustado esta probadita de la Esteganografia y Estegoanalisis en ambiente *nix

Saludos

Att. hecky para estegano.neobits.org

P.D. proximamente, esteganografia en .gzip y .rar

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac