A continuación les presentamos la solución al desafío 15 de ESET. Este consistía en averiguar a partir de un archivo sin extensión, el código maestro de una acción diaria.
Como primer paso se descarga el archivo, el cual se encuentra comprimido en un archivo ZIP. Una vez hecho esto, pasamos a resolver las preguntas realizadas para resolver el desafío. La primera pregunta consistía en identificar el tipo de extensión del archivo. Para eso, podemos abrir el archivo desconocido con el bloc de notas o algún otro editor de texto de preferencia, y así poder encontrar alguna información que nos pueda ayudar a identificar el tipo de extensión del archivo.
En este caso, se puede ver una respuesta de una visita a un perfil Facebook y si se continúa mirando el archivo, podemos encontrar tráfico hacia otros sitios como la visita a Google y al Blog de ESET. Esto nos hace pensar que puede tratarse de una captura de red. Para quitarnos la duda vamos a utilizar una herramienta llamada TrIDNet - File Identifier, la cual va a ayudarnos a identificar la extensión del archivo, esta herramienta lo que hace es leer la cabecera del archivo para poder identificarlo.
Podemos observar, y comprobar, que se trata de un archivo PCAP, de una captura de paquetes de tráfico de red. Sabiendo esto renombramos el archivo a "captura.pcap".
Una vez cambiado la extensión del archivo, vamos a necesitar un programa analizador de tráfico para poder ver la captura. En este caso se puede utilizar Wireshark para abrir el archivo o de manera más ordenada se puede utilizar NetworkMiner, una herramienta de análisis forense para tráfico de red:
Esta es una imagen del archivo abierto con NetworkMiner, donde se puede encontrar una petición GET a la página de Facebook donde aparece un correo electrónico (tengo.correo@hotmail.com.ar) y un “ID de un profile” (id=100002426008253). La manera más sencilla es buscar con este correo por una cuenta de Facebook, o también se puede usar la siguiente dirección con el ID para ingresar al perfil de este usuario: http://www.facebook.com/profile.php?id=100002426008253.
En el perfil, se puede observar un código QR o código de barras bidimensional, el cual tendremos que leer para saber qué información contiene. Muchos smartphones traen lectores para esto códigos, o en caso de no poseer uno se puede acudir a onlinebarcodereader.com que posee el servicio de lectura en linea. Para leer la imagen, es necesario guardarla previamente y luego subirla al lector de código online. Para finalizar con la segunda pregunta del desafío, la misma consistía en identificar cuál es el código maestro. En la lectura del código QR, es posible observar que el mismo dice “Visita diariamente el blog de ESET”.
En esta oportunidad, la persona que respondió más rápido y de forma correcta al desafío fue SilverNeoX, con el cual nos estaremos contactando por correo electrónico para que obtenga su premio, que es la licencia de nuestro producto antivirus, ESET NOD32 Antivirus.
En breve estaremos publicando más desafíos, así que estén atentos que habrá más oportunidades. Gracias a todos por participar y... ¡felicitaciones al ganador!
Claudio Cortés Cid
Especialista de Awareness & Research