Esteganografia

Hoy 22 de junio Neobits.org Cumple un año, aunque la primer entrada es hasta el 25, desde el 22 se trabajo para la creacion de lo que hoy es este pequeño blog dedicado casi en su totalidad a la Esteganografia y Estegoanalisis. Y como se daran cuenta Si decidi renovar. Gracias a las 16 personas que votaron por si.

Quiero agradecer a todos los lectores que aunque son pocos, varios de ellos son muy fieles, y a los lectores casuales, espero que mi web e informacion les fuera de ayuda. Gracias a todos por su apoyo, por sus feeds, por sus comentarios, y simplemente por su visita y por darse el tiempo de leer un poco de lo que me apasiona.

En especial quiero agradecerle a mi Gran amigo BLUERECKIEM por que gracias a el YA TENEMOS LOGO!!! y uno bueno, y profesional, y no lo que yo habia hecho.

Aqui dejo su gran diseño en diferentes tamaños. Publicamente muchas gracias amigo mio.

Asi pues agradezco a todos su apoyo, a este que es mi mayor proyecto personal realizado, que me da orgullo. Y aunque aun es muy pequeño el proyecto, espero crezca y logremos mas en este proximo año. Por ahora podre decir que neobits.org ira a la BugCon 2010 tratando de dar la cara por las investigaciones en Esteganografia en Mexico.

Este fue un año con 39 entradas en el blog(incluyendo esta), y 170 comentarios, varios tutoriales, y pruebas. En fin, muy satisfecho de Este blog. Y como regalo para todos dejo el tuto de hoy. SOLUCION RETO ESTEGANOGRAFICO F200 DE CTF DEFCON 2010

Sin mas espero la pagina crezca, que tengamos mas visitas y mas participación, y espero cumplir mas años con mas tutoriales.

Esta entrada se la quiero dedicar a 2 personas en especial. Bluereckiem por su apoyo incondicional y a HaDeS por sus grandes y tantas enseñanzas. Y tambien a todas las personas que saben que es la Esteganografia y saben a que carrera me voy.

Saludos y Esperamos cumplir mas Años con ustedes y su apoyo para crecer.

Atte. Un admin nostalgico hecky

Bueno esta vez hablare de un reto de la competencia CTF de la DEFCON , yo no participe pero viendo los writeups vi un reto, especificamente el reto 200 de la categoria Forense. Un reto que muchos resolvieron principalmente con ImageMagick como lo podemos ver aqui. Ahora se preguntaran ¿Si ya esta resuelto para que lo haces?, simplemente por que es uno de los pocos retos que pertenecen a la rama de la Esteganografia(al menos para mi), y por que halle otra manera de resolverlo. Ademas por que fue del unico reto que pude conseguir los archivos para “jugar” con ellos.

Bien empecemos antes que nada, el archivo es este: f200_02b7b50f575759cff7.tar.lzma.tar y voy a aclarar que la resolucion la hago en entornos GNU/LINUX, distro Ubuntu 9.10.

Listo ya que lo tenemos, lo primero que se nos ocurre es descomprimirlo haciendo un

tar -xvf f200_02b7b50f575759cff7.tar.lzma.tar

y NADA!!! error…entonces viendo otra de la extension que tiene, vemos que dice LZMA, ese metodo de compresion si mi memoria no me falla lo vi en la estructura del formato 7-zip(7z) asi que lo que hago es usar 7-zip para abrierlo, al abrirlo me aparece otro archivo que igualmente uso 7-zip para abrirlo y listo, ya tenemos todo bien.

Al abrir la carpeta y ver el contenido me asombro de ver 1121 imagenes casi iguales, como vemos aqui:

Pero ahora toca pensar que hacer con ellas…para eso abrire una imagen y vemos lo siguiente:

Como vemos es una imagen de formato PNG, con fondo transparente, pero hay algunos pixeles alternos de color negro y blanco. Si recordamos el formato PNG es el que puede tener nivel de transparencia en el canal ALFA…Se podria atacar por ahi, como en los retos de sinfocol.org pero se me ocurre algo mejor que eso. Por la cantidad de imagenes que es exagerado, podemos intentar encimar una en otra y asi, hasta ver que forma…

Para ello se puede hacer programando, pero en esta ocasion preferi intentar usando GIMP mi programa de edicion por excelencia de Ubuntu.

Lo que hago es abrir Gimp, y irme a Archivo>Abrir como capas

Despues selecciono todas las imagenes(Ctrl+A) y las abro

Las imagenes se empezaran a cargar como capas

Despues de que se abran TODAS se notara que los pixeles formaban una imagen en blanco y negro:

Y al final obtenemos la imagen que nos da una URL. Y esa era la respuesta

Como ven no era dificil, y con ImageMagick se hacia rapido tambien, pero personalmente no se los comandos para usarla. Mi maestro dani papi HaDeS xD de sinfocol.org lo realizo programando en php, esperemos nos comparta su codigo de como lo hizo y lo publico. Por cierto muchas felicidades a el y su team por quedar dentro de los 100 primeros en el CTF de la Defcon.

Espero les agradara.

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits

Bien en esta ocasion hablare sobre esteganografia basica en los ficheros de compresion gzip.

Estuve viendo un poco la estructura del fichero en base al RFC1952 del formato GZIP y vi que si en el byte 4 que se refiere a las FLAGS, esta activado el bit 3 activa la bandera del nombre FNAME. Osea que en el byte 4 deberia haber por ejemplo un 0×08 para que este activado, despues de esto, vendra el MTIME 4 bytes(Tiempo de creacion), luego el XFL 1 byte (Banderas extras), y luego el OS 1 byte (Sistema operativo, ejemplo UNIX 0×03) , luego vendra el NOMBRE DEL ARCHIVO, y despues un byte nulo 0×00.

Con esta pequeña introducción veremos lo facil que es ocultar un fichero en gzip. En esta ocasion no dejo Un tutorial, sino que nos iniciamos con VideoTutoriales. El videotuto es hecho en Ubuntu, con el programa recordmydesktop.

Les dejo el video y si surje alguna duda favor de plantearla.

Esteganografia Basica en Ficheros Gzip from hecky on Vimeo.

Por cierto el fichero de texto que uso en el ejemplo es mi resumen del fichero gzip, en ese resumen me base para hacer pruebas y ver si encontraba algo en el formato que permitiera hacer la estegano…Si ah alguien le interesa aqui lo dejo.

Estructura Formato gzip
Firma Formato:
2 bytes >> 1F8B
Metodo de compresion: 1 byte (compresion predeterminada DEFLATE 0x08)
Flags: 1 byte (se valua por bits)
 bit0 FTEXT >> posible archivo de texto
 bi1 FHCRC  >> CRC16
 bit2 FEXTRA >> extra
 bit3 FNAME  >> nombre original seguido de un byte nulo
 bit4 FCOMMENT >> comentario
 bit5 reserved
 bit6 reserved
 bit7 reserved
MTIME: 4 bytes (Tiempo de ultima modificacion)
XFL: 1 byte extra flags
OS: 1 byte (sistema operativo  0-FAT 3-UNIX 6-HPFS 7-Macintosh 11-NTFS 255-desconocido)
NOMBRE DEL ARCHIVO: En seguida del OS viene el nombre de archivo si en el 4 byte esta activado el bit 4 (ej: 00001000 >> 0x08)
BYTE NULO: despues del nombre del archivo...

Saludos 

Att. hecky para estegano.neobits.org

Contacto:

hecky2pac@hecky2pac.co.cc , hecky@neobits.org

http://www.formspring.me/hecky

Sigueme en twitter: http://twitter.com/hecky2pac

Canal de los videotutos en Vimeo de Neobits: http://www.vimeo.com/neobits