Solución: Reto {Guy!, where is the info?}

Después de toda la expectación que ha generado el reto, y ante la multitud de preguntas se va a solucionar el reto. Lo que se buscaba eran respuestas a las siguientes preguntas:

- ¿Qué ficheros importantes se encuentran dentro del pendrive?

- ¿Existe algún mensaje oculto en el pendrive?

- ¿Fecha de la entrega?

- ¿Qué almacenan los narcos en cada zulo?

Hay que recordar que la imagen original del disco y la copia deberían ser comprobadas en su hash, para verificar que la copia es buena. Autopsy se encarga de ayudar al forense en ese caso, y comprueba el MD5 (aunque es recomendable utilizar también SHA-1). Se va a utilizar la herramienta autopsy, que se puede encontrar en multitud de distribuciones de seguridad.

Las fotos después de revisarse no tenían nada importante, sin embargo el documento resulta algo extraño por su nombre. Se extrae el documento para analizarlo y al intentar abrirlo para ver su contenido éste solicita un password. Este comportamiento es algo sospechoso así que la investigación pasa a centrarse en él.

Luego de cientos de pruebas y horas con el documento y con un poco de suerte, se descubre a través de un servicio de conversión de base64 que la decodificación de “enVsb3MK” es “zulos”.

Ahora el perito tiene en su poder un .doc de nombre “zulos”, lo que probablemente puede significar que allí este contenida toda la información de los zulos de los narcos, y el contenido de ellos. Esto ayudaría a conseguir responder una de las preguntas del reto. Dentro de las carpetas de sistema, en autopsy, también se pudo ver una carpeta de sistema llamada “$OrphanFiles”. Esta carpeta generalmente contiene archivos eliminados de la unidad. Los últimos dos parecen algo sospechosos, el tamaño del archivo es distinto a 0 por lo tanto el perito infiere que puede contener información útil y procede a analizarlo. El contenido de ambos archivos es algo extraño.

El contenido del primer archivo huérfano parece ser una representación hexadecimal, por lo cual el perito utiliza el comando “xxd” para convertir el contenido del archivo y se obtiene el siguiente resultado.

El contenido del segundo archivo si contiene una pista. Cada línea del archivo termina con “==”, lo cual le indica al perito que es una representación base64 de un texto, así que utiliza la misma herramienta con la que convirtió el nombre del documento y obtiene 3 líneas muy interesantes.

Ya con esto el perito logró identificar cuando se realizará la entrega, los únicos cabos sueltos que quedan son: el documento, y el “123abc.”. Luego de varias vueltas e intentos el perito relaciona ambas. ¿Y si el contenido del primer archivo huérfano es la clave del documento?

Esto es todo lo que pedíamos en el reto, muchos de vosotros habéis intentado ir más allá, lo cual es algo bueno, ya que intentar obtener el máximo de información es siempre importante. Desde Flu Project esperamos que el reto os haya gustado, y esperamos vuestro feedback! Gracias! ;)