Sniffjoke
Posted: Aprile 8th, 2009 | Author: packz | Filed under: Hack, linux, networking, Programmazione | 3 Comments »I pazzi di delirandom presentano un nuovo strumento per rendere partecipi i people della rete delle problematiche della stessa: sniffjoke; in pratica si tratta di un tool che immette pacchetti che si prendono gioco degli sniffer inserendone alcuni nella comunicazione che lo stack TCP/IP di un OS non caga ma che uno sniffer alla wireshark ha problemi a gestire. Per adesso funziona solo per le connessioni lato client ma se qualcuno è interessato al suo sviluppo può partecipare per implementare il lato server… Inserisco anche la sua traduzione di quanto c’è sulla pagina di questo tool che ha messo in lista HM il prode vecna
Intro: SniffJoke è un software che metti sul tuo computer ed in modo
automatico inietta nei flussi di comunicazione dei dati non previsti, ma
plausibili da RFC. Se qualcuno ti sta sniffando, e se questo qualcuno
non è una persona che analizza il traffico, ma si affida ad un programma
automatizzato, questo programma non riuscirà a ricostruire i dati
intercettati.
Per ora gli unici 2 sniffer provati, Wireshark e Xplico, falliscono.
Plausibilmente su degli IDS professionali questo non andra', ma c'e'
bisogno che qualcuno effettui test che da solo non posso fare.
Motivo di esistenza SJ: In internet, le intercettazioni e la censura per
la sicurezza sono una favola per bambini, leggende metropolitane.
L'unica cosa efficacie in termini di sicurezza è l'uso dei trojan. L'uso
dei trojan è l'equivalente investigativo di una microspia. L'uso di uno
sniffer ci si aspetti dia dare l'illusione che si tratti
dell'equivalente intercettazione telefonica, Ma non è così per la
semplice ragione che il telefono è un prodotto proprietario, se lo
compri non puoi modificaro (un computer sì) e se lo produci non puoi
modificarlo (un computer funziona con quello che vuoi tu). Questo
aspetto non è affatto irrilevante perché, in sintesi, dice: "Se un
utente vuole non essere intercettato, vuole sfuggire alla censura,
puo'!". Eppure il dibattito non sta mai su questi aspetti di tecnologia
elementari, sta sul diritto e sulla sua inesorabile erosione; I software
possono essere fatti da un qualunque 19enne diplomato in ambito
tecnologico, ne deriva che, se davvero queste misure di sicurezza
servono a dar un deterrente al crimine, e se questo deterrente si
elimina con una consulenza di un giovane, o piu' facilmente scaricando
del software libero e sicuro da Internet, allora e' un deterrente
fasullo, o efficacie solo per chi non sa come funzionan le cose. Il
motivo per cui SniffJoke è stato fatto è questo, ricordare che "Internet
è nato per consentire a due elementi di comunicare, non a terzi di
controllarlo".
Effetto pratico: SniffJoke puo' "infastidire fortemente" lo sniffing
massivo. Ad esempio, un trojan che sniffa password riconoscendo
l'handshake di autenticazione di un qualunque protocollo applicativo. Se
si tratta di sniffing con lettura passiva dei pacchetti e ricostruzione
del flusso, si cade in uno dei paradossi delle intercettazioni: Sono
grossolane! si basano su assunzioni e non potrebbe essere altrimenti.
Queste assunzioni non potranno mai coprire la completezza di uno Stack
TCP/IP di un sistema operativo, che quindi potrà sempre capire cosa va
accettato e rifiutato e in che stato si trova la sua connessione.
Dubbi sollevati da altri: il primo elementi di dubbio è che SniffJoke
rende piu' difficile l'intercettazione, ma non impossibile. E' vero, ma
significa che ogni sessione deve essere ricostruita quasi-a-mano
dall'analista. Chi si legge i vostri pacchetti deve volervi davvero un
sacco di male per farsi quello sbattimento :) Un altro elemento è che,
plausibilmente, più lo sniffer sta vicino all'obiettivo da intercettare
e più avrà a disposizione CPU da dedicare. Puo' essere, ma ci sono
alcune condizioni verificabili che non possono neppure essere risolte
tramite un'analisi il piu' possibile dettagliata. Un terzo dubbio è
l'interpretazione troppo letterale di: "Questi attacchi funzioneranno
per mesi, forse anni, ma saranno patchati". Attenzione che, il tipo di
patch necessario, non si tratta di riconoscere la firma di sniffjoke sul
traffico di rete, come in alcuni casi si puo' essere tratti in inganno
di fare. La firma di SniffJoke e' difficilmente rilevabile perché gli
attacchi applicati si basano su percentuali di possibilità. Percentuali
molto alte nei primi 10 pacchetti, molto basse dopo, ogni tanto il picco
si rialza. Gli hack stessi, a volte possono apparire generando
un'anomalia ed altre lo stesso hack generarne un'altra. Pertanto: non
c'è una firma riconoscibile fissa, il tipo di adeguamento che deve
essere fatto è molto lungo e molto complesso da implementare in uno sniffer.
Enjoy...
dio fa che geni sti tipi
Io ti ringrazio di aver riportato tutto, anche se i pazzi di delirandom sono solo io, e il pezzo, piu’ che una traduzione, era la pre-bozza di questo post:
http://www.delirandom.net/…tecnologico-e-lumano/
Grazie a te vecna per il tuo lavoro…