Esteganografia

BugCON es un ciclo de conferencias de Seguridad Informatica que tendra lugar en México D.F. del 27 al 29 de Octubre del 2010 en el Centro de Formación e Innovación Educativa CFIE-IPN. La principal idea de la BugCON es ofrecer un lugar donde los investigadores puedan mostrar sus últimas investigaciones y proyectos, dejando a un lado los formalismos innecesarios y con un alto nivel técnico.

¿Por qué ir a estas conferencias?

.-Por que principalmente su enfoque es tecnico.

.-Por sus grandes Ponentes

.-Por las novedades

.-Por su precio tan Accesible para un evento de tal Magnitud

¿Aun no los convenzo?, Veamos algunos de los Ponentes Magistrales:

1.- Chema Alonso >> http://elladodelmal.blogspot.com
2.-Pedro Sanchez >> http://conexioninversa.blogspot.com
3.-Pedro Joaquin (hkm) >> http://hakim.ws
4.-Ivonne Muñoz Torres >> http://blog.derecho-informatico.org
5.-Alejandro Hernández H (nitrøus) >> http://brainoverflow.org
5.-Héctor Acevedo
etc...

Precios de Admisión General:

• Estudiantes ESCOM:                          Gratis
• Estudiantes en General del IPN:        $100.00 m.n
• Otras Universidades:                        $150.00 m.n
• Negocios y publico en general:          $250.00 m.n

**Habra descuentos para grupos mayores de 20 personas (Armen su Grupo)

TALLERES

NOTAS:
Los precios de los talleres son:
Estudiantes ESCOM >>                          $150.00 m.n
Estudiantes en General del IPN >>         $200.00 m.n.
Otras Universidades >>                         $250.00 m.n.
Negocios y público en General >>           $300.00 m.n.
.-El registro a los talleres se abrira el Lunes 25 de Octubre en la pagina de www.bugcon.org
.-La capacidad maxima por taller es de 30 personas
.-Todos los participantes en los talleres Recibiran un Diploma con validez oficial

Y MAS MUCHO MAS…..

Participación de Neobits.org en la BugCON 2010

Ahora esta ocasión yo participare Asistiendo e Impartiendo el Taller de Esteganografia. Asi que los invito cordialmente

Les puedo adelantar que en el taller a parte de explicar todo personalmente y resolver dudas, todo sera Tecnico y Práctico, mi idea es enseñar y que aprendan bien la Esteganografia, lo que les sirva y no tanta teoria.

Aunado a eso, a los asistentes les enseñare antes que a nadie algunas técnicas que no eh enseñado en la Web, y tambien una tecnica muy facil y efectiva que invente y que no publicare hasta despues de mostrarselas a los del taller en la BugCON. Asi mismo tambien eh creado dos retos de un nivel “Intermedio-Alto” que si no son lanzados en la BugCON en el Wargame, yo les enseñare como se resolvian y facil aprendera en este reto 4 tecnicas

Asi que sin más espero verlos ahi en el Taller.

***En lo personal***

Estoy emocionado por ir, ya que sera el primer evento en el que participe como ponente y por que conocere a 3 de los grandes de los que mas Admiro (Chema Alonso, Pedro Sanchez y hkm)

Y Recuerden, Aparten los dias 27,28 y 29 de Octubre

Los invita Neobits.org que estara Presente.

Mas informacion en www.bugcon.org

Twitter de @BugCon

Saludos

Dudas a:

hecky@neobits.org

Sigueme en twitter y mantente informado: http://twitter.com/hecky2pac

Hace un tiempo vimos como ocultar una imagen en un gif, aprovechandonos de los Frames y el “delay time”. No vimos esto a fondo, puesto que solo usamos un programa como Microsoft Gif Animator que nos hacia el trabajo por nosotros.

En esta ocasión Le hecharemos una mirada o.O a la estructura del formato GIF para ver lo que nos interesa de los FRAMES que es activarlos manualmente.

Antes que nada explicaremos algo breve. Los gifs animados, son una secuencia de imagenes (que se llaman Frames) que se conjuntan y aparecen ciclicamente cada cierto tiempo. Quien no ah visto un gif animado?? Aqui pongo uno:

Eso es un gif, y no es mas que esta formada la imagen por muchas imagenes y que al pasar frame por frame rapido, da la impresion de que se mueve.

Entendido esto y que es un FRAME (una imagen que es parte de una imagen Final) veamos como se conforman dentro de un Gif animado.

La estructura segun la especificacion del GIF dice que el FRAME se compone asi:

       7 6 5 4 3 2 1 0        Field Name                    Type
     +---------------+
  0  |               |       Extension Introducer          Byte
     +---------------+
  1  |               |       Graphic Control Label         Byte
     +---------------+
     +---------------+
  0  |               |       Block Size                    Byte
     +---------------+
  1  |     |     | | |       <Packed Fields>               See below
     +---------------+
  2  |               |       Delay Time                    Unsigned
     +-             -+
  3  |               |
     +---------------+
  4  |               |       Transparent Color Index       Byte
     +---------------+
     +---------------+
  0  |               |       Block Terminator              Byte
     +---------------+
      <Packed Fields>  =     Reserved                      3 Bits
                             Disposal Method               3 Bits
                             User Input Flag               1 Bit
                                                   Transparent Color Flag        1 Bit 

Dice que se compone de:

.- Introductor de Extension >> Identifica el principio de la extension de un bloque Y tiene de valor 0x21
.-Etiqueta Grafica de Control >> Identifica el bloque actual como una Extension Grafica de Control y tiene de valor 0xF9
.-Tamaño de Bloque >> Numero de bytes en el bloque y tiene el valor de 0x04
Hasta aqui podriamos decir que esta es la "cabecera" de un Frame, osea que para encontrar un Frame en un Gif tendriamos que buscar los valores "21F904"
Despues viene un Campo Empaquetado, de solo un byte que para entenderlo tendremos que descomponerlo en los 8 bits y dice que:
.-3 bits son reservados
.-3 bits son de Metodo de Eliminacion (Indica como se tratara el Grafico despues de ser mostrado)
.-1 bit de Bandera de Entrada de Usuario(Indica si se espera la entrada del usuario antes de continuar)
.-1 bit de la bandera de Color Transparencia(Indica si un indice de transparencia es dado en el Campo de Indice de Transparencia o no)

Y Despues viene lo que Realmente nos interesa. EL DELAY TIME. LO DEJO PARA EL FINAL. Sigo con los ultimos dos

.-Indice de Color de Transparencia
.-Terminador de Bloque >> Tiene una longitud de 0 e indica el final del bloque

AHORA SI EL DELAY TIME. Textualmente el formato dice:

Delay Time - If not 0, this field specifies the number of
            hundredths (1/100) of a second to wait before continuing with the
            processing of the Data Stream. The clock starts ticking immediately
            after the graphic is rendered. This field may be used in
            conjunction with the User Input Flag field.

Entendemos que si no es 0, este campo especifica el numero de centecimas de segundo que habra que esperar antes de continuar el demas procesamiento de Flujo de Datos. Y el tiempo empieza desde que es cargado el grafico.

OSEA:

Que este campo que por cierto ocupa (2 bytes) indica el tiempo(del tiempo que se de se dividira sobre 100) que tardara el Frame en ser mostrado antes de ir al otro Frame. El tiempo se da en hexadecimal obviamente. Por lo que un segundo deberia ser 100/100. Y en hexadecimal corresponderia a 64 00. si pasamos 6400 a decimal nos da >> 25600. POR LO QUE ESTA MAL.

Realmente no es asi. La conversion del tiempo no debe ser 6400 a decimal. SINO 0064 a decimal. Debemos invertir los bytes y si pasamos 0064 a decimal nos da 100. Y 100/100 = 1seg.

¿Entonces como seria medio segundo?

3200 o 0032   >> La respuesta es 0032

____________________________________________________________

Bien Ya explicamos la parte importante que nos interesa hoy. Ahora veremos algo mas Grafico y amigable y no tanta expecificacion y hexadecimal.

Como les puse el gif de arriba, y ya vimos que se compone de varios Frames, podemos usar una herramienta para ver todos los frames y trabajar sobre ellos. Para ello usare mi programa de diseño GIMP. Y abrimos el gif y nos mostrara los frames

Ustedes Diran ¿Tanto para eso? ¿No es mas facil usar un software asi? jeje SI, pero esa no es la idea, sino entender el formato, hacerlo a mano, ver como y por que funciona asi. Y no depender de un programa(ajeno a nuestro editor Hexadecimal)

P.D. Agradecimientos a Sinfocol.org por mostrarme a la luz esta tecnica.

Ahora UN VIDEO MOSTRANDO LA TECNICA MANUALMENTE.

Disculpen la Pesima calidad de Audio, pero cuestion de codificacion

Espero les Agrade, y espero sus comentarios

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Hoy 22 de junio Neobits.org Cumple un año, aunque la primer entrada es hasta el 25, desde el 22 se trabajo para la creacion de lo que hoy es este pequeño blog dedicado casi en su totalidad a la Esteganografia y Estegoanalisis. Y como se daran cuenta Si decidi renovar. Gracias a las 16 personas que votaron por si.

Quiero agradecer a todos los lectores que aunque son pocos, varios de ellos son muy fieles, y a los lectores casuales, espero que mi web e informacion les fuera de ayuda. Gracias a todos por su apoyo, por sus feeds, por sus comentarios, y simplemente por su visita y por darse el tiempo de leer un poco de lo que me apasiona.

En especial quiero agradecerle a mi Gran amigo BLUERECKIEM por que gracias a el YA TENEMOS LOGO!!! y uno bueno, y profesional, y no lo que yo habia hecho.

Aqui dejo su gran diseño en diferentes tamaños. Publicamente muchas gracias amigo mio.

Asi pues agradezco a todos su apoyo, a este que es mi mayor proyecto personal realizado, que me da orgullo. Y aunque aun es muy pequeño el proyecto, espero crezca y logremos mas en este proximo año. Por ahora podre decir que neobits.org ira a la BugCon 2010 tratando de dar la cara por las investigaciones en Esteganografia en Mexico.

Este fue un año con 39 entradas en el blog(incluyendo esta), y 170 comentarios, varios tutoriales, y pruebas. En fin, muy satisfecho de Este blog. Y como regalo para todos dejo el tuto de hoy. SOLUCION RETO ESTEGANOGRAFICO F200 DE CTF DEFCON 2010

Sin mas espero la pagina crezca, que tengamos mas visitas y mas participación, y espero cumplir mas años con mas tutoriales.

Esta entrada se la quiero dedicar a 2 personas en especial. Bluereckiem por su apoyo incondicional y a HaDeS por sus grandes y tantas enseñanzas. Y tambien a todas las personas que saben que es la Esteganografia y saben a que carrera me voy.

Saludos y Esperamos cumplir mas Años con ustedes y su apoyo para crecer.

Atte. Un admin nostalgico hecky

Bueno esta vez hablare de un reto de la competencia CTF de la DEFCON , yo no participe pero viendo los writeups vi un reto, especificamente el reto 200 de la categoria Forense. Un reto que muchos resolvieron principalmente con ImageMagick como lo podemos ver aqui. Ahora se preguntaran ¿Si ya esta resuelto para que lo haces?, simplemente por que es uno de los pocos retos que pertenecen a la rama de la Esteganografia(al menos para mi), y por que halle otra manera de resolverlo. Ademas por que fue del unico reto que pude conseguir los archivos para “jugar” con ellos.

Bien empecemos antes que nada, el archivo es este: f200_02b7b50f575759cff7.tar.lzma.tar y voy a aclarar que la resolucion la hago en entornos GNU/LINUX, distro Ubuntu 9.10.

Listo ya que lo tenemos, lo primero que se nos ocurre es descomprimirlo haciendo un

tar -xvf f200_02b7b50f575759cff7.tar.lzma.tar

y NADA!!! error…entonces viendo otra de la extension que tiene, vemos que dice LZMA, ese metodo de compresion si mi memoria no me falla lo vi en la estructura del formato 7-zip(7z) asi que lo que hago es usar 7-zip para abrierlo, al abrirlo me aparece otro archivo que igualmente uso 7-zip para abrirlo y listo, ya tenemos todo bien.

Al abrir la carpeta y ver el contenido me asombro de ver 1121 imagenes casi iguales, como vemos aqui:

Pero ahora toca pensar que hacer con ellas…para eso abrire una imagen y vemos lo siguiente:

Como vemos es una imagen de formato PNG, con fondo transparente, pero hay algunos pixeles alternos de color negro y blanco. Si recordamos el formato PNG es el que puede tener nivel de transparencia en el canal ALFA…Se podria atacar por ahi, como en los retos de sinfocol.org pero se me ocurre algo mejor que eso. Por la cantidad de imagenes que es exagerado, podemos intentar encimar una en otra y asi, hasta ver que forma…

Para ello se puede hacer programando, pero en esta ocasion preferi intentar usando GIMP mi programa de edicion por excelencia de Ubuntu.

Lo que hago es abrir Gimp, y irme a Archivo>Abrir como capas

Despues selecciono todas las imagenes(Ctrl+A) y las abro

Las imagenes se empezaran a cargar como capas

Despues de que se abran TODAS se notara que los pixeles formaban una imagen en blanco y negro:

Y al final obtenemos la imagen que nos da una URL. Y esa era la respuesta

Como ven no era dificil, y con ImageMagick se hacia rapido tambien, pero personalmente no se los comandos para usarla. Mi maestro dani papi HaDeS xD de sinfocol.org lo realizo programando en php, esperemos nos comparta su codigo de como lo hizo y lo publico. Por cierto muchas felicidades a el y su team por quedar dentro de los 100 primeros en el CTF de la Defcon.

Espero les agradara.

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bien en esta ocasion hablare sobre esteganografia basica en los ficheros de compresion gzip.

Estuve viendo un poco la estructura del fichero en base al RFC1952 del formato GZIP y vi que si en el byte 4 que se refiere a las FLAGS, esta activado el bit 3 activa la bandera del nombre FNAME. Osea que en el byte 4 deberia haber por ejemplo un 0×08 para que este activado, despues de esto, vendra el MTIME 4 bytes(Tiempo de creacion), luego el XFL 1 byte (Banderas extras), y luego el OS 1 byte (Sistema operativo, ejemplo UNIX 0×03) , luego vendra el NOMBRE DEL ARCHIVO, y despues un byte nulo 0×00.

Con esta pequeña introducción veremos lo facil que es ocultar un fichero en gzip. En esta ocasion no dejo Un tutorial, sino que nos iniciamos con VideoTutoriales. El videotuto es hecho en Ubuntu, con el programa recordmydesktop.

Les dejo el video y si surje alguna duda favor de plantearla.

Esteganografia Basica en Ficheros Gzip from hecky on Vimeo.

Por cierto el fichero de texto que uso en el ejemplo es mi resumen del fichero gzip, en ese resumen me base para hacer pruebas y ver si encontraba algo en el formato que permitiera hacer la estegano…Si ah alguien le interesa aqui lo dejo.

Estructura Formato gzip
Firma Formato:
2 bytes >> 1F8B
Metodo de compresion: 1 byte (compresion predeterminada DEFLATE 0x08)
Flags: 1 byte (se valua por bits)
 bit0 FTEXT >> posible archivo de texto
 bi1 FHCRC  >> CRC16
 bit2 FEXTRA >> extra
 bit3 FNAME  >> nombre original seguido de un byte nulo
 bit4 FCOMMENT >> comentario
 bit5 reserved
 bit6 reserved
 bit7 reserved
MTIME: 4 bytes (Tiempo de ultima modificacion)
XFL: 1 byte extra flags
OS: 1 byte (sistema operativo  0-FAT 3-UNIX 6-HPFS 7-Macintosh 11-NTFS 255-desconocido)
NOMBRE DEL ARCHIVO: En seguida del OS viene el nombre de archivo si en el 4 byte esta activado el bit 4 (ej: 00001000 >> 0x08)
BYTE NULO: despues del nombre del archivo...

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits