Cómo solucionar algunos desafíos tipo OSINT del CTF de Cybersoc

Hace unos meses participé en el CTF de https://investigator.cybersoc.wales/ La verdad es que fueron retos de OSINT como nunca antes los había visto. 

Este tipo de retos están sumando popularidad y adeptos, dado que son más atípicos que los típicos retos o CTFs de encontrar vulnerabilidades técnicas, estos nos fuerzan a desarrollar más nuestro pensamiento crítico y pensar fuera de la caja, además son más realistas en algunos casos. 

De este tipo de retos de OSINT y más, hemos hablado en nuestro video de ¿Qué es OSINT? Moda, Hobbie o Profesión o en el de  ¿Cómo participar en el CTF Search Party de Trace Labs?

Decidí guardar las soluciones de estos retos por 6 meses o más y no compartirlas, esto con el fin de que quien lo estuviera haciendo pudiera tener un proceso óptimo sin pistas ni ayuda en internet. 

Ahora hemos decidido compartir con ustedes algunos de los desafíos que resolví y cómo logré hacerlo, el proceso y razonamiento que me llevó a su solución.

Nombre del desafío: entrada térmica

Puntos: 200

Uno de nuestros agentes encubiertos ha estado siguiendo a un presunto capo de delitos financieros y siguen visitando un calabozo en una zona apartada de Londres; no tenemos idea de lo que hay allí.

Hace un par de noches, el oficial se dio cuenta de que se usaba un PIN digital para abrir la puerta de la cerradura, y poco después de que el sospechoso entrara y cerrara la puerta detrás de él, nuestro oficial se acercó rápidamente al PIN y tomó una fotografía de las llaves con una cámara térmica.

La investigación sobre el teclado PIN revela que solo acepta códigos de cuatro dígitos, por lo que debería facilitar las cosas.

¿Cuál es el código PIN para el bloqueo? Será mucho más fácil para nosotros hacer una entrada discreta para averiguar qué hay allí sin comprometer nuestra investigación forzando nuestra entrada.

Este desafío nos permite analizar el nivel de temperatura, cuanto más rojo más caliente, por lo tanto, más rojos y más grandes son los últimos botones tecleados.

En este caso el más pequeño, por lo tanto el primero en teclear es el 4, seguido del 1 que es un poco más grande el 5 que es casi tan grande como el 8 y finalmente el 8, como resultado nos da la clave

4158

— — — — — — — — — — — — — –

Nombre del desafío: club nocturno

Puntos: 300

Hemos estado monitoreando los movimientos de algunos DJs de club bastante conocidos con pasados incompletos.

Hace un par de días, estacionamos a uno de nuestros investigadores frente a un club nocturno que, según los controles anteriores, está vinculado a un esquema de lavado de dinero relacionado con las drogas. 

También sabemos que cada uno de los DJ que hemos estado siguiendo usa Spotify para su música en los lugares.

Desafortunadamente, el DJ de la noche debe haber usado otra entrada ya que nuestro equipo de vigilancia no vio a nadie que coincidiera con el perfil de ninguno de nuestros sospechosos esa noche.

Sería útil para nosotros saber el nombre de la canción que se está reproduciendo en la grabación adjunta, ya que esto nos permitirá raspar los historiales de escucha de nuestros sospechosos y unirlos para identificar quién estaba allí en ese momento.

Esperamos reclutar a este DJ en particular y aprovechar la probable confianza que se ha establecido con la gerencia del club para utilizarlo como informante.

Esto nos ayudará a infiltrarnos en la banda de narcotraficantes que dirige el club nocturno y nos acercará a desmantelar su operación.

Formato de bandera esperado: XXXXXXXXX

Respuesta

Para este caso utilicé el servicio de https://aha-music.com/identify-songs-music-recognition-online y una vez que lo analicé me dio el nombre del artista.

Nombre del desafío: desaparecido

Puntos: 400

Recientemente nos enteramos de la existencia de varias imágenes de circuito cerrado de televisión de terabytes de todo Londres que anteriormente se suponía que se habían perdido en una falla de copia de seguridad y hemos estado investigando el valor de esto para las investigaciones establecidas.

Me entregaron un caso sin resolver sobre un cuerpo encontrado en un arbusto en Hackney, Londres, en diciembre de 2015. No he trabajado antes en un caso de personas desaparecidas, pero me dijeron que tiene un número de referencia de caso 15–007500 .

¿Podría averiguar la marca de la chaqueta que llevaban puesta en el momento de su desaparición? Esto me ayudará a detectarlos cuando esté revisando los clips de CCTV grabados por cámaras alrededor de donde fueron descubiertos; ¡Ojalá averigüemos cómo terminaron muertos en los arbustos!

Nota: Tienes 5 intentos aquí, así que evita adivinar.

Formato de bandera esperado: brandOfJacket

Respuesta:

Para este desafío se realiza la búsqueda de la unidad de personas desaparecidas del Reino Unido, se encuentra el siguiente enlace y se accede al caso https://www.missingpersons.police.uk/en-gb/case/15-007500 .

En la descripción de la ropa se puede ver la marca de la chaqueta.

Nombre del desafío: banquero personal

Puntos: 500

Nos han concedido autorización para intervenir el teléfono de una víctima de secuestro; no se han realizado llamadas desde que desaparecieron, sin embargo, recientemente, se realizó una llamada a un banco donde la persona que llamó ingresó un número de tarjeta de débito.

¿Puede averiguar el número de tarjeta de 16 dígitos para que podamos rastrear la actividad de gasto asociada con esta tarjeta? Esto será muy útil en nuestro esfuerzo por localizar quién puede ser un sospechoso potencial en este caso.

Formato de indicador esperado: ################

Respuesta:

Básicamente nos entregan un audio con el cual escuchamos los tonos del teclado de un teléfono. Considero que el objetivo de este reto es entender el peligro de teclear el número de tarjeta por teléfono.

Después de estudiar y preguntar un poco a los amigos, se trata de DTMF, luego encontré un servicio en línea que ayuda a realizar el análisis: http://dialabc.com/sound/detect/index.html, allí subí el archivo de audio y finalmente logré conocer los números digitados que pertenecían a una tarjeta de débito.

Nombre del desafío: transmisión extranjera

Puntos: 400

Nuestro equipo de inteligencia de señales capturó una transmisión que se originó en el oeste de China y tenemos razones para creer que puede proporcionarnos algún tipo de código que podría estar destinado a un operativo de campo de ellos. Nos gustaría saber qué es.

El equipo de traducción no está disponible para que lo utilicemos en este momento, así que me pregunto si puede usar alguno de sus trucos digitales para averiguar cuál es el código en la grabación que he adjuntado.

Formato de indicador esperado: ###############

Respuesta:

Para este reto nos dan un audio, cuando lo escuchamos suena a japonés, procedo a buscar una herramienta que me ayude a convertir el audio a texto, encontré la de https://cloud.google.com/ voz a texto/

Después de intentarlo varias veces en Japonés, descubrí que el idioma es mandarín de China continental; por lo tanto procedí a cambiar el idioma y de esta manera me daría los mejores resultados con el servicio en la nube de Google.

Finalmente genera un texto en madarín y unos números

Traduciéndolo me confirma que es el código de acceso:

Finalmente elimino los espacios y el guión y obtengo la bandera.

Estos son algunos de los retos que resolvimos y que nos parecieron más interesantes, tú ya lo jugaste ? necesitas ayuda con alguno ?

¡Saludos, nos vemos en el siguiente post!