Hablar del protocolo de notificacion de M$ [MSNP], no es mas que hablar del protocolo utilizado por el famoso servicio de mensajeria MSN. Este protocolo, que vio la luz en la primer version del MSN Messenger en Julio de 1999, no es mas que una serie de comandos que el cliente y el servidor intercambian entre ellos. Por ejemplo, un contacto cierra su sesion, el servidor de MSN nos envia una mensaje como el siguiente:

MSNP es un protocolo para mensajeria instantanea presencial, esto se refiere a que mientras estes on-line estas compartiendo algun recurso, ya sean archivos, streaming de sonido o video, etc. ademas de poder enviar mensajes instantaneos. Para entender mejor de que se tratan los servicios de mensajeria instantanea presencial, pueden referirce al request for comment RFC2778, el cual define a grandes rasgos las propiedades de estos sistemas.

Basicamente, una sesion en msn comprende una conexion a un servidor de notificaciones o notification server, NS desde ahora, [veremos que es esto mas adelante], el cual permitira conectarnos a un switching board, SB desde ahora, el cual nos proveera el servicio de mensajeria instantanea.

Un NS nos es mas que un servidor el cual provee los servicios de presencia, esto quiere decir que cuando nos desconectamos este servidor es el que avisa a nuestros contactos sobre nuestro estado. Ademas, es en este servidor donde se envian las notificaciones sobre nuevos emails a los clientes.

Un SB nos permite crear sesiones o entrar en sesiones de mensajeria instantanea entre contactos (o principals). ¿Que es lo que quiere decir esto? Esto quiere decir que cuando nosotros estamos chateando con una persona, tenemos abierta una conexion con un SB, si estamos chateando con dos personas, en diferentes ventanas, tenemos abiertas conexiones a dos SB y asi suseciavamente. Un SB actua como un proxy entre contactos, ya que con este servicio no existe una conexion uno a uno entre los contactos.

Cuando estamos chateando con varias personas a la ves en la misma ventana, digamos, una sala de chat , estamos compartiendo la misma sesion del SB. Es en el SB donde tambien se despachan las invitaciones de transferencia de archivos, netmeeting, etc, el unico servicio que no se despacha en este servidor es el de mensajeria celular.

Bien, esa fue una linda introduccion a como funciona nuestro querido sevicio de mensajeria (el cual detesto, pero si la montaña no va a mahoma … sabemos como sigue y terminamos usando este tipo de cosas solo por el el 90% de la poblacion mundial usa el msn), pero para poder realizar un analisis forence del MSN necesitamos saber algunas cosas mas … asi que bajemos un nivel y veamos como se manejan las conexiones del MSN.

La verdad, no me gusta ni un poco como MSN trabaja a nivel conexion, y creo que debe de ser por esto que falla tanto, si, señores y señoras, el MSN tiene graves problemas de sincronizacion y justamente todo eso se debe a los siguiente:

MSN utiliza una conexion tipo TCP/IP y en condiciones normales de atmosfera y temperatura utiliza el puerto 1863 para realizar sus menesteres. Hasta ahora nada raro, pero aqui es donde la cosa empieza a ponerse fea … el protocolo no es sincronizado, esto quiere decir que el cliente envia mensajes al servidor pero nunca espera una respuesta, luego el servidor puede enviar repuestas cuando se le plasca y en el orden que tambien se le plasca … y tambien el servidor puede enviar mensajes que sin ninguna correspondencia con algun mensaje del cliente.

Para los que quieran seguir investigando de que se tratan todo el protocolo, existen varios grupos que se encargan de realizar la ingenieria inversa e ir descubriendo este protocolo cerrado.

Les dejo un par de links para que sigan su investigacion:

MSN Messenger Protocol

MSNPIKI Unofficial MSN Protocol Documentation

Ahora que entendemos un poco mejor de que se trata todo esto, veamos que herramienta nos ofrece la internerd para poder realizar un analisis forense del MSN … MSN Shadow, es una excelente herramienta que nos permitira realizar nuestro trabajo … estas son algunas de las caracteristicas de este software:

• Sniffear texto
• Sniffear video
• Spoofing de mensajes
• Hijacking de Sesiones
• Apagar usuarios
• Guardar textos sniffiados en formato HTML
• Guardar video sniffiados en formato AVI
• Auto deteccion de trafico de video
• Captura de lista de contacto
• Lectura de archivos PCAP

Este software está pensado para analizar el tráfico de Messenger y para poder verificar si es factible la suplantación y el secuestro de sesiones, lo que podría tener utilidad como prueba pericial en un caso donde se presenten evidencias en la forma de logs de mensajería instantánea.

MSN Shadow solo esta disponible para GNU/Linux, y lo pueden bajar desde sourceforge.

Les dejo el blog de MSN Shadow para que lo puedan estas informados sobre las ultimas versiones y como va el projecto. Para descargarlo pueden ir a su espacio en sourceforge.

Ojo con lo que hacen con este software, no esta pensado para actos maliciosos o que puedan llegar a molestar o dañar a alguien … el objetivo de este sistema es el analisis forense. Asi pues no me hago cargo de su uso indebido.

Que lo disfruten!!!

Saludos!