OpenFacto participe au CTF OSINT UYBHYS – Retex

Vendredi 12 novembre se tenait la 6ème édition d’UYBHYS. durant laquelle un CTF d’OSINT était organisé de 16h00 à 22h00 en distanciel.

UYBHYS, pour “Unlock your Brain, Harden your System”, est l’événement de sécurité numérique le plus à l’Ouest, en Bretagne, evel-just !

Petit CTF sympa en perspective, organisé par : @erys70695660, @madame_https et @D4ftR0ck, ainsi que  @0xraven_. 

Une fine équipe encadrée par @realDumbleDork, fondateur de la communauté Osint-fr.

Ni une ni deux, nous nous y greffons, en nous répartissant sur deux équipes.

Au menu, une enquête fictive qui démarre sur la société Berzelius Corp, victime du vol de l’un de ses camions contenant des produits hautement chimiques. 
Trois parcours étaient disponibles : 

• Une investigation principale avec une douzaine de challenges s’articulant autour du vol du camion par un groupuscule éco-terroriste.
• Des investigations parallèles avec quatre défis autour des petits secrets des employés de la société fictive et de leurs interactions en terre bretonne.

Ces deux premiers parcours mixeront socmint, geoint, bases de données en ligne…

• Les crypto-Investigations : 5 challenges. Ce dernier parcours se concentre sur le secteur de la crypto.

Côté Orga : 

Présents sur ce CTF : 135 joueurs répartis en 44 équipes.

Le CTF accuse un retard d’1 minute, car l’ensemble des challenges furent laissés en “Admin Only”. 

L’histoire est bien rodée, les personnages et l’intrigue nous amènent de recherches en découvertes, avec quelques petits sujets un peu tordus.

C’est dans la bonne humeur que se terminera ce CTF avec en scoreboard :

Quelques focus et anecdotes sur les challenges

Zoom sur Challenge “On the Road Again”

On notera parmi les différentes énigmes, un challenge qui a fait couler beaucoup d’encre : “On the Road Again”, concocté par @Erys.

10 équipes sur 44 sont parvenues à trouver la solution au défi… une énigme assez simple à résoudre et pourtant, les biais de confirmation, d’attribution et l’effet d’ancrage auront eu raison d’une bonne partie des participants.

Erys résumera le mieux la performance moyenne des participants à cette énigme :

Et oui :

Zoom sur le parcours Crypto :

Le parcours crypto se compose de cinq questions amenait les équipes à enquêter sur le financement de l’Ordre des Avocettes. Fort heureusement, les questions ne portaient pas sur l’analyse de la blockchain et aux nombreuses transactions qu’elle comporte, exercice délicat et chronophage 

Les challenges du parcours mettaient en lumière la relative notion de pseudonymat entourant les crypto-monnaies. Car si la blockchain est pseudonymisée, la surface numérique d’un wallet ne l’est pas pour autant. Il était possible de trouver toutes les réponses en effectuant une recherche simple sur un moteur de recherche à partir du numéro du wallet et en ajoutant éventuellement à la requête des détails sur ce qu’on voulait trouver.
    Un des challenges amène les équipes à trouver le nom d’un marché noir du dark web sur lequel le wallet s’était approvisionné en drogue, information que l’on trouvait pourtant sur le web de surface via un simple moteur de recherche sans nécessité de parcourir le dark web.

La question nous rappelait qu’il n’existe pas qu’une seule crypto-monnaie comme il n’existe pas qu’une seule blockchain. Et oui, un des wallets ciblés n’effectue pas que des transactions en Bitcoin [BTC] mais aussi en Bitcoin Cash [BCH]. Cette autre monnaie virtuelle étant régi par sa propre blockchain !

Et une dernière  anecdote pour la route :

    “Les Narcos chinois” ou “de la nécessité de bien vérifier si ce que l’on trouve est bien ce que l’on cherche”.

Vous est-il déjà arrivé de vous perdre sur internet ? N’ayez pas honte c’est tout à fait naturel, même au cours d’un CTF …

L’une des questions du challenge nécessitait de trouver des informations sur une adresse MAC :

“adresse MAC : A8:BA:8B:CB:5F:82. Il semblerait qu’il s’agisse de l’adresse MAC de l’IPhone auquel est relié l’AirTag. Il est possible que cette adresse nous mène vers l’endroit où les voleurs cachent le camion et les produits chimiques.

A partir de ces informations, trouvez cette adresse postale.”

La résolution de cet énigme était simple si l’on avait connaissance du site wigle.net mentionné plus haut. Or, ce n’était absolument pas notre cas.

Passé la détresse des premiers instants suivi de requêtes paniques sur Google, l’un des membres de l’équipe a eu la bonne idée de passer l’adresse MAC sur shodan.io , ce qui n’est pas une mauvaise idée en soit et là … bingo !

Une adresse IP en Chine semble liée à une liste d’adresse MAC dont celle que nous cherchons, ce qui est très rare. Le challenge demandant de trouver une adresse, nous devons nous résoudre à tenter les coordonnées GPS liées à cette IP :

La Chine en Bretagne ? Tant pis qui ose gagne !

Pas très parlant, les routes n’ont même pas de noms sur Google Maps. Tiens ! Un coup de bol, un utilisateur a pris en photo et publié sur google l’endroit d’où proviennent les coordonnées GPS, nous touchons au but. Dans un endroit aussi bizarre ce ne peut être un hasard !

???!!!

Voilà donc le lieu où les Cartels de La Couyère et de Corps-Nuds (CF – le Challenge) se retrouvent pour négocier et se partager la Bretagne tout en concoctant des CTF GEOINT impossible. Une découverte capitale dans la lutte contre le crime organisé.

Plus sérieusement et malgré l’aspect trivial de la chose, il est important de vérifier si ce que l’on a trouvé correspond bien à ce que l’on cherchait. En effet Shodan a affiché l’adresse IP mais ne montrait pas explicitement ce qui avait été trouvé. En effectuant de nouveau la requête on se rend compte avec effroi en filtrant la page des résultats que :
Shodan n’a fait une correspondance que sur les 3 premiers digits de l’adresse MAC parmi la liste des autres adresses. Cela aurait donc pu être évité.

Qui plus est, les coordonnées GPS du site ipleak.net indiquait que la portée était de 5 km de rayon (pas très chirurgical).     Heureusement que cette folie a cessé, parce qu’il était possible, avec le nom d’utilisateur de la personne ayant posté cette photographie mythique, d’en déduire le mail et de pivoter sur son compte Instagram et TikTok qui comportait des publications de lieux, boutiques et … d’avions ! De quoi se perdre encore un tout petit peu.

Le + apprécié par les participants : 

• Le format du CTF dans son déroulé et dans son timing et l’heure : meilleur compromis pour engager du monde sur un évènement sans trop impacter sur le temps perso, 
• Le discord pour le chat temps réel, permettant aux équipes de ne pas perdre de temps sur des problèmes techniques, et de permettre aux organisateurs d’adapter ou de corriger en temps réel, tout dysfonctionnement, consignes pas très claires ou errances des participants (exemple, avec “On the road again” : les organisateur ont délivré un indice supplémentaire et corrigé la consigne de saisie de la réponse)

Les axes d’amélioration : 

• On the road again : La consigne de la saisie de la réponse n’était pas claire et l’énigme tirée par les cheveux. Le style “enquête de détective” ne colle pas avec l’énigme posée qui est un jeu de mots et dont le flag est caché sur un site qui n’a aucun lien avec l’activité. 
• Certaines tournures des énigmes ne sont pas très claires. 

Les conseils OF pour un CTF démarrer en CTF :

1. Être une team pleine est préférable si on souhaite truster le top 10 
2. S’organiser ! s’organiser et… s’organiser :

• Parfois quand on bute, il faut savoir prendre le temps de revoir l’énigme depuis le début ou, à défaut de mieux, savoir abandonner. Exemple : challenge “On the Road again” qui n’apporte rien si ce n’est 30 points et ne débloque pas d’autres énigmes. 
• Ne pas hésiter à solliciter l’équipe organisatrice si on sent que l’on a la réponse mais qu’on bute sur une question technique ou fonctionnelle. Exemple : nomenclature de la réponse (case sensitive, pris en en compte des accents…). 

3. A moins qu’un CTF ne précise le sujet des recherches, se concerter à l’avance sur les outils à regrouper pour le CTF (via un https://start.me par exemple) et se partager les recherches par spécialité (exemple avec les challenge Crypto, domaine très spécifiques et totalement inconnus de certains osinteurs) 
4. Ne pas oublier le document de travail partagé pour y déposer tous les indices et liens trouvés durant le CTF

Quelques liens utiles découverts durant le CTF :

• https://www.immo-data.fr qui permet d’explorer une carte avec tous les biens à vendre à proximité et d’obtenir des informations détaillées sur les dits bien (et ainsi avoir des données de pivot pour compléter / affiner les recherches sur https://www.cadastre.gouv.fr par exemple) .

• https://www.vivino.com et https://untappd.com/ : applications mobiles pour amateurs de vins et de bières qui y laissent des avis et parfois quelques petites informations personnelles (pour trouver un user, saisir le jeu de pseudos probables pour accéder à leurs pages dans l’url).

• https://www.start.umd.edu/gtd/ : base de données répertoriant plus de 200K attaques terroristes qui ont eu lieu dans le monde?

• https://wigle.net/ : base de données permettant de trouver des réseaux sans fil (WIFI, objets connectés…) via leur adresse mac, entre autres.

• Les PlusCode sur Google Maps, alternative aux coordonnées GPS pour définir une position sur une carte (https://support.google.com/maps/answer/7047426?hl=fr&co=GENIE.Platform%3DAndroid)

Concernant la crypto et les blockchains :

Intro à la blockchain :
    La blockchain compile l’intégralité des transactions effectuées entre des portefeuilles de crypto-monnaies (appelés wallet), la transaction une fois vérifiée et compilée dans les règles de la blockchain est en théorie impossible à falsifier. Chaque crypto-monnaie possède son propre système de compilation de transactions, l’écrasante majorité utilisant le système de la blockchain.

Ces fameux registres en source ouvertes indiquent le numéro des wallets, les soldes et les montants impliqués dans chaque transaction.
Les transactions visibles en OSINT sont “anonymisées” car l’identité des propriétaires de wallet n’apparaît pas. On parle alors de “pseudonymat”, les plateformes en ligne étant légalement dans l’obligation de demander et de conserver l’identité réelle des détenteurs de wallet.
Les crypto-monnaies quant à elles, s’achètent, sauf exception, sur des plateformes en ligne contre de la monnaie fiduciaire ou en échanges d’autres crypto-monnaies.

Pour aller plus loin :

• https://www.youtube.com/watch?v=6uYRN6b5EMU : “Comprendre la blockchain en 7 minutes »
  Cette chaîne : “Cryptoast” propose également les vidéos : “Qu’est ce que le Bitcoin” et “Comprendre les crypto-monnaies en 8 minutes”

• https://www.blockchain.com/explorer : site très connu d’exploration des blockhains Bitcoin, Bitcoin Cash et Ethereum.

Autres liens :

Lien pour accéder à l’ensemble du CTF (Q/R) : 

https://github.com/pcotret/ctf-writeups/tree/master/uybhys-2021

Lien vers le salon unlock

https://www.unlockyourbrain.bzh/

Lien vers OsintFr :

Home