Este nuevo reto está relacionado con el uso de técnicas para el cifrado de datos y algunas formas de ocultar información. Desde el equipo de Laboratorio de Investigación de ESET Latinoamérica esperamos que les resulte entrentenido.

Imagen del reto En una empresa se ha detectado que el segundo hábil de cada mes, desde el buzón de correo electrónico de un empleado de contabilidad se están enviando correos electrónicos a una dirección de la competencia con un contenido algo particular.

Cada uno de los mensajes contiene un archivo en formato JPG y otro archivo sin formato. La información dentro de este último archivo resulta ilegible, por lo cual se sospecha que pueda contener algún tipo de información sensible de la empresa, dada la regularidad en el envío de mensajes y el destino. A continuación presentamos el texto en formato hexadecimal que se puede ver en el archivo:

7e f2 13 db 45 52 23 1c d5 12 bc db 9c 19 bc 64 f7 9f e8 01 da 87 8e 05 b0 1f 84 02 1d af 01 80 60 60 e5 f1 fd 36 6d ac d4 57 53 26 84 90 01 21 44 67 a8 83 a6 e9 c2 e3 09 b1 26 77 5f 42 52 ba 59 f4 c2 47 34 a8 be 5f fa c9 53 50 51 5b 44 f2 43 ea 19 5b 58 6a 31 a2 99 8e 79 eb d3 29 e8 96 23 21 1b 7d 8e dd dd f2 69 2c e6 59 9e 4f a1 2b ba d1 74 a1 20 c4 00 41 1c 43 3c 02 57 ec 6f 2c c9 23 ad 11 7a f8 f6 6c fc 49 c1 00 77 ec b2 5d f0 ef 79 74 19 63 2f 75 f9 a8 c0 f7 8f 20 e4 25 99 a4 79 de 30 e6 36 95 40 4d 0d 92 22 49 16 89 4a 29 34 1a 01 f1 a3 0d 46 20 6f 82 41 00 91 19 0b 54 3f 80 2c f3 18 09 37 65 7b 04 4a 16 50 b6 89 b5 a1 3b ae b7 2d df 40 d3 33 e9 00 8a 05 23 f3 33 4c de 98 9a 0d d8

De acuerdo a uno de los analistas de seguridad de la empresa, el texto pareciera estar estar codificado con 3DES, pero no se ha podido determinar si utiliza o no vector de inicialización. Uno de los aspectos más importantes al momento de tratar de descifrar la información es el formato de entrada que la herramienta necesita. Por ejemplo, algunas herramientas necesitan que el texto codificado este sin espacios.

El inconveniente es que no se ha podido determinar la llave para conocer el tipo de información se encuentra dentro del archivo. La única pista que se tiene es el archivo JPG  pues se encontraba en todos los mensajes de correo electrónico.

Se pone a disposición de usted como analista el archivo sin formato y la imagen que estaban adjuntos en el último correo enviado, con el objetivo de determinar si hay algún tipo de información confidencial dentro del mismo y de esta forma iniciar un proceso disciplinario al empleado de ser necesario.

Para solucionar el desafío se deben descargar los archivos suministrados y determinar la información que contiene el archivo sin formato y la recomendación que usted como consultor de seguridad le daría a la empresa con respecto al empleado.

Condiciones del concurso

La respuesta a este desafío debe brindarse a través de un comentario y consiste en describir cuál fue el hallazgo realizado con una explicación de cómo llegó a ella. El desafío está abierto para que pueda participar cualquier persona y la primera persona que conteste correctamente, y que no haya sido ganador de los últimos 5 desafíos publicados, se ganará una licencia válida por 1 año para la última versión de nuestra solución de seguridad integral: ESET Smart Security.

La próxima semana, se publicará la solución con los pasos necesarios para resolver el desafío y el listado de aquellos que respondieron correctamente. Además en el transcurso de la semana estaremos actualizando este post con algunas pistas sobre lo que debería tenerse en cuenta para llegar a solucionar el desafío. Finalmente, recordamos que no brindaremos información adicional por redes sociales durante esta semana para darle tiempo a aquellos que están realmente intentando resolver el desafío.

Actualización 4 de Septiembre – Pista para resolver el Desafío.

Para los usuarios que estén tratando de resolver este desafío hay algunas cuestiones que deberán tener en cuenta. Por ejemplo pueden empezar consultando los metadatos de la imagen para tratar de detectar algún tipo de información que no corresponda con lo que habitualmente se vería en este tipo de campos. Para esto existen herramientas como exiftool que ayudan en esta búsqueda de información. Además hay que tener en cuenta que cuando abrimos una imagen por defecto utiliza una herramienta que visualiza la información, pero ¿qué pasaría si abrimos el archivo con un editor de texto?. En este caso seguramente vas a notar al final del archivo que hay información que no corresponde.

También es importante mencionar que en casos de fuga de información, cifrar la información en otros sistemas numéricos como base64 o base8 puede ser una forma de ofuscar los datos robados. Cuando finalmente encuentres la clave para descifrar la serie, te recomendamos dos herramientas online que pueden ayudar con la tarea de descifrar: Online decrypt tool ó Online Domain Tools

H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research