Październik został wybrany przez Komisję Europejską oraz ENISA jako miesiąc poświęcony bezpieczeństwu teleinformatycznemu. Trzeci tydzień jest przeznaczony głównie dla studentów i służy przybliżeniu aspektów związanych z bezpieczeństwem aplikacji. W ramach tej akcji mamy do rozdania dwie książki: „Practical Reverse Engineering” oraz „Reversing: Secrets of Reverse Engineering”. Książkę, wraz z gadżetami, otrzyma 5 pierwszych osób, które prawidłowo odpowiedzą na postanowione poniżej dwa pytania. Pierwsze 3 osoby otrzymają po egzemplarzu książki „Practical Reverse Engineering”, a następne dwie otrzymają po egzemplarzu „Reversing: Secrets of Reverse Engineering”. Zapraszamy do udziału w zabawie!
Wprowadzenie
Na jeden dzień zostaniesz członkiem zespołu reagowania na incydenty naruszające bezpieczeństwo teleinformatyczne w dużej firmie, pracującej głównie na zlecenie rządu. Na początku października rano jeden z systemów zapobiegających wyciekom danych (DLP) wykrył podejrzane połączenie FTP. Połączenie pochodziło z prywatnego laptopa jednego z pracowników o imieniu Tomek. Pracownik ten często korzystał z prywatnego laptopa do dokończania pracy po godzinach zamknięcia biura. Mimo, iż takie zachowanie było niezgodne z polityką bezpieczeństwa, było ono tolerowane, bo zbliżał się koniec jednego z projektów.
Tomek nie był zbyt świadomym użytkownikiem komputera. Oczywiście umiał obsługiwać podstawowe programy, jak i te specjalistyczne, związane z jego pracą. Przeszedł też podstawowe szkolenie dotyczące bezpieczeństwa, ale uznał to za niepotrzebne marnowanie czasu, które mógł poświęcić na pracę. Spowodowało to, że klikał w większość linków, które dostawał w poczcie, przez co był znany pracownikom działu bezpieczeństwa.
Połączenia FTP nie były niczym niezwykłym – często zdarzało się, że pracownicy w ten sposób kopiowali wyniki swojej pracy na zdalne serwery. Zdarzało się to jednak zawsze w ramach zestawionych tuneli VPN lub korzystając z tuneli SSH. Tym razem jednak dane wysyłane były bez zestawionego bezpiecznego połączenia i na serwer, który z pewnością nie należał do infrastruktury firmy.
Zadanie
Tomek, jak wspomnieliśmy, był znany z klikania w podejrzane linki i dlatego jego ruch sieciowy był monitorowany i zapisywany na bieżąco. Otrzymujesz ruch, zapisany w postaci pliku PCAP (skrót md5 pliku po rozpakowaniu: dddee4a69dd4a7bdcd060a258098ecef), z czasu, kiedy najprawdopodobniej doszło do infekcji. Adres IP komputera Tomka w załączonym pliku to 192.168.56.101. Niestety, Tomek się rozchorował i poszedł na zwolnienie lekarskie, więc nie możesz mu zadać żadnych pytań ani przeanalizować zawartości jego komputera. Z drugiej strony, Dział Analizy Ryzyka naciska, aby szybko i precyzyjnie określić zakres wycieku. Twoim zadaniem jest odpowiedź na dwa pytania dotyczące połączenia FTP:
- Jaki jest skrót SHA256 wykradzionego pliku? Oczywiście chodzi o skrót pliku w postaci w jakiej znajdował się na dysku laptopa Tomka przed infekcją.
- Jaka jest nazwa wykradzionego pliku? Oczywiście chodzi o nazwę pliku na laptopie Tomka przed infekcją.
- Skrót SHA256:
04bdf3bf46f525f99a310758da007aac54cae189533f5aef76cfb4f5d41e6efa - Nazwa pliku:
nothing_to_see_here.txt
Zgłoszenia
Odpowiedzi na zadane pytania należy zgłaszać przez ten formularz. Proszę pamiętać o podaniu prawdziwego adresu e-mail do komunikacji z nami. Można zgłaszać odpowiedzi wielokrotnie. Prosimy jednak nie zgłaszać odpowiedzi podanych poniżej, ponieważ nie są one poprawne.
Na zgłoszenia czekamy do 20 października. Wszelkie zmiany organizacyjne będą umieszczone w edycjach tego posta, na końcu. W przypadku pytań prosimy o kontakt na adres: [email protected] zawierając w temacie tag: [ECSM HackMe].
Zadanie się zakończyło. Rozwiązanie oraz wyniki znajdują się tutaj.
