Ein weiteres spannendes Steganographie Hack-IT in dem eine MP3 File bereitgestellt wurde.

 

Während des Anhörens können “Piep” Töne wahrgenommen werden. Diese erinnern spontan an das Wählen eines analogen Telefons. Für eine weitere Analyse der Frequenzen kann das Tool Audacity verwendet werden.

1. Umwandeln der MP3-Datei in eine WAV-Datei.

lame --decode sound.mp3 sound.wav

2. Die WAV-Datei mit Audacity öffnen (Datei | Datei Öffnen…) und analysieren.

Hier sind die einzelnen Töne zu erkennen. Für eine genauere Analyse den ersten Bereich (gedrückte linke Maustaste) markieren.

Daraufhin in der Software Audacity den Menüpunkt “Analyse” und “Frequenzanalyse” wählen.

3. Durchführen der Frequenzanalyse

Die Maus zum ersten Peak bewegen. Unter dem Diagramm wird der Wert “Spitze” mit 701 Hz angezeigt.

Danach die Maus zum zweiten Peak bewegen. Der Wert “Spitze” zeigt hier 1216 Hz an.

4. Identifizierung der eingegebenen Nummern

Bei dem Mehrfrequenzwahlverfahren (MFV) bzw. dem Dual-tone multi-frequency signaling (DTMF) wird die Rufnummer an die Vermittlungsstelle oder eine Telefonanlage übermittelt. Dabei werden folgende Frequenzen verwendet:

 

	MFV-Tastenbelegung
	1209 Hz	1336 Hz	1477 Hz	1633 Hz
697 Hz	1	2	3	A
770 Hz	4	5	6	B
852 Hz	7	8	9	C
941 Hz	*	0	#	D

 

Jede Zeile repräsentiert einen tiefen und jede Spalte einen hohen Ton. Wenn eine Taste gedrückt wird, ergibt sich ein Ton aus der Überlagerung der Tonfrequenzen.

Der erste ermittelte Ton 701 Hz kann in der ersten Zeile verortet werden. Der zweite Ton 1216 Hz ist in der ersten Spalte zu finden. Daraus ergibt sich die erste Zahl “1”. Die Schritte zwei, drei und vier müssen jeweils wiederholt werden.

 

Das gesuchte Passwort lautet: 1337.

 

5. Automatische Erkennung der Frequenzen

Eine alternative Möglichkeit ist die automatische Erkennung der Frequenzen und die Auflösung der damit verbundenen Zahlen mit der Software multimon.

multimon -t wav sound.wav -a DTMF

Wenn es funktioniert, sollte sich die Ausgabe wie folgt darstellen:

 

Ein “Hack-IT” ist eine Hacking Challenge bzw. ein Hacking Contest, zu Deutsch eine “Herausforderung zum Hacken“. Dabei wird eine Aufgabe oder eine Abfolge von Aufgaben definiert. Die Aufgaben befassen sich thematisch mit verschiedenen Bereichen, z.B. Steganographie, Kryptographie, JavaScript, Reverse Engineering, Logik, Mathematik, Programmierung, Security und vieles mehr.

Bei der folgenden Aufgabe handelt es sich um ein Steganographie Hack-IT. In der Steganographie wird eine verborgene Speicherung oder Übermittlung von Informationen in einem Trägermedium (Container) durchgeführt. Die hier abgebildete Grafik beinhaltet mehr Informationen als auf Anhieb ersichtlich ist.

Auf den ersten Blick ist nichts Auffälliges zu erkennen. Deshalb wird das Bild nach enthaltenen Textbausteinen mit dem Befehl “strings” durchsucht.

strings bebe_lloron3.jpg

Nach genauerer Betrachtung aller ausgegeben Texte fallen zwei Informationen auf.

1. P4ssw0rd: nO pArA dE lLoRar!
2. lupa5.gif^^?

Mit diesen Informationen kommen wir allerdings noch nicht ans Ziel. Also wird das Bild mit einem Hex-Editor untersucht.

Im Hex-Editor ist das Dateiformat JFIF erkennbar. Wird nach dem Text “P4ssw0rd” gesucht, wird dieser ebenfalls gefunden.

Da an das Bild etwas hinzugefügt wurde, muss das Ende der Bilddatei gefunden werden. Dafür können Datei-Signatur-Datenbanken verwendet werden. Mögliche Quellen sind die Seiten www.filesignatures.net oder wikipedia.

SOI (Start of Image): FF D8 FF E0

EOI (End of Image): FF D9

Suchen wir jetzt nach dem Dateiende “FF D9”, dann wird ersichtlich, dass eine Datei an das Bild angefügt wurde.

Die Buchstaben “Rar” aus dem gefunden Text lassen darauf schließen, dass es sich bei der angehängten Datei um eine RAR-Datei handelt. Das Spiel mit der Filesiganture wird wiederholt und im HEX-Editor danach gesucht.

Start of RAR File: 52 61 72 21 1A 07 00

Jetzt gilt es, die RAR-Datei und die Grafik voneinander zu trennen. Mit dem Hex-Editor (Bless) einfach alle Zeilen ab dem Wert markieren, kopieren und danach eine neue Datei mit Bless anlegen, einfügen und speichern (archive.rar).

Mit dem Befehl “unrar” kann die RAR-Datei entpackt werden.

unrar x archive.rar

Dabei wird die Eingabe eines Passworts erwartet, welches wir glücklicherweise schon gefunden haben. Das Passwort zum extrahieren lautet “nO pArA dE lLo”. Daraufhin wird eine weitere Grafik entpackt, die folgenden Inhalt besitzt.

Da die Lupe schon auf die Pixel hinweist, schauen wir uns diese etwas genauer an. Um die Kanten klarer abzugrenzen, werden ein paar Hilfslinien eingezeichnet.

Die Darstellung erinnert an einen QR-Code, wobei irgend etwas fehlt. Nach kurzer Recherche auf Wikipedia wird ersichtlich, dass die speziellen Markierungen fehlen. Nach etwas “Malen nach Zahlen” sieht die Grafik wie folgt aus:

Irgendetwas stimmt noch nicht, wird die Grafik aber horizontal gedreht passt alles.

Die Grafik kann dann auf der Seite www.onlinebarcodereader.com hochgeladen werden und der Lösungstext wird angezeigt.

 

Das Hack-IT ist somit gelöst. :)