Ricerca tra la vecchia roba

Sniffjoke

Posted: Aprile 8th, 2009 | Author: | Filed under: Hack, linux, networking, Programmazione | 3 Comments »

I pazzi di delirandom presentano un nuovo strumento per rendere partecipi i people della rete delle problematiche della stessa: sniffjoke; in pratica si tratta di un tool che immette pacchetti che si prendono gioco degli sniffer inserendone alcuni nella comunicazione che lo stack TCP/IP di un OS non caga ma che uno sniffer alla wireshark ha problemi a gestire. Per adesso funziona solo per le connessioni lato client ma se qualcuno è interessato al suo sviluppo può partecipare per implementare il lato server… Inserisco anche la sua traduzione di quanto c’è sulla pagina di questo tool che ha messo in lista HM il prode vecna

			Intro: SniffJoke è un software che metti sul tuo computer ed in modo
	automatico inietta nei flussi di comunicazione dei dati non previsti, ma
	plausibili da RFC. Se qualcuno ti sta sniffando, e se questo qualcuno
	non è una persona che analizza il traffico, ma si affida ad un programma
	automatizzato, questo programma non riuscirà a ricostruire i dati
	intercettati.
	Per ora gli unici 2 sniffer provati, Wireshark e Xplico, falliscono.
	Plausibilmente su degli IDS professionali questo non andra', ma c'e'
	bisogno che qualcuno effettui test che da solo non posso fare.
	Motivo di esistenza SJ: In internet, le intercettazioni e la censura per
	la sicurezza sono una favola per bambini, leggende metropolitane.
	L'unica cosa efficacie in termini di sicurezza è l'uso dei trojan. L'uso
	dei trojan è l'equivalente investigativo di una microspia. L'uso di uno
	sniffer ci si aspetti dia dare l'illusione che si tratti
	dell'equivalente intercettazione telefonica, Ma non è così per la
	semplice ragione che il telefono è un prodotto proprietario, se lo
	compri non puoi modificaro (un computer sì) e se lo produci non puoi
	modificarlo (un computer funziona con quello che vuoi tu). Questo
	aspetto non è affatto irrilevante perché, in sintesi, dice: "Se un
	utente vuole non essere intercettato, vuole sfuggire alla censura,
	puo'!". Eppure il dibattito non sta mai su questi aspetti di tecnologia
	elementari, sta sul diritto e sulla sua inesorabile erosione; I software
	possono essere fatti da un qualunque 19enne diplomato in ambito
	tecnologico, ne deriva che, se davvero queste misure di sicurezza
	servono a dar un deterrente al crimine, e se questo deterrente si
	elimina con una consulenza di un giovane, o piu' facilmente scaricando
	del software libero e sicuro da Internet, allora e' un deterrente
	fasullo, o efficacie solo per chi non sa come funzionan le cose. Il
	motivo per cui SniffJoke è stato fatto è questo, ricordare che "Internet
	è nato per consentire a due elementi di comunicare, non a terzi di
	controllarlo".
	Effetto pratico: SniffJoke puo' "infastidire fortemente" lo sniffing
	massivo. Ad esempio, un trojan che sniffa password riconoscendo
	l'handshake di autenticazione di un qualunque protocollo applicativo. Se
	si tratta di sniffing con lettura passiva dei pacchetti e ricostruzione
	del flusso, si cade in uno dei paradossi delle intercettazioni: Sono
	grossolane! si basano su assunzioni e non potrebbe essere altrimenti.
	Queste assunzioni non potranno mai coprire la completezza di uno Stack
	TCP/IP di un sistema operativo, che quindi potrà sempre capire cosa va
	accettato e rifiutato e in che stato si trova la sua connessione.
	Dubbi sollevati da altri: il primo elementi di dubbio è che SniffJoke
	rende piu' difficile l'intercettazione, ma non impossibile. E' vero, ma
	significa che ogni sessione deve essere ricostruita quasi-a-mano
	dall'analista. Chi si legge i vostri pacchetti deve volervi davvero un
	sacco di male per farsi quello sbattimento  :)  Un altro elemento è che,
	plausibilmente, più lo sniffer sta vicino all'obiettivo da intercettare
	e più avrà a disposizione CPU da dedicare. Puo' essere, ma ci sono
	alcune condizioni verificabili che non possono neppure essere risolte
	tramite un'analisi il piu' possibile dettagliata. Un terzo dubbio è
	l'interpretazione troppo letterale di: "Questi attacchi funzioneranno
	per mesi, forse anni, ma saranno patchati". Attenzione che, il tipo di
	patch necessario, non si tratta di riconoscere la firma di sniffjoke sul
	traffico di rete, come in alcuni casi si puo' essere tratti in inganno
	di fare. La firma di SniffJoke e' difficilmente rilevabile perché gli
	attacchi applicati si basano su percentuali di possibilità. Percentuali
	molto alte nei primi 10 pacchetti, molto basse dopo, ogni tanto il picco
	si rialza. Gli hack stessi, a volte possono apparire generando
	un'anomalia ed altre lo stesso hack generarne un'altra. Pertanto: non
	c'è una firma riconoscibile fissa, il tipo di adeguamento che deve
	essere fatto è molto lungo e molto complesso da implementare in uno sniffer.
	
Enjoy... 

3 Comments on “Sniffjoke”

  1. 1 bsa said at 9:06 pm on Aprile 9th, 2009:

    dio fa che geni sti tipi

  2. 2 vecna said at 12:54 pm on Aprile 16th, 2009:

    Io ti ringrazio di aver riportato tutto, anche se i pazzi di delirandom sono solo io, e il pezzo, piu’ che una traduzione, era la pre-bozza di questo post:

    http://www.delirandom.net/…tecnologico-e-lumano/

  3. 3 packz said at 8:06 pm on Aprile 18th, 2009:

    Grazie a te vecna per il tuo lavoro…