Re: [Hackmeeting] HM e gli ???

Delete this message

Reply to this message
Author: vecna
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] HM e gli ???
FireGarden wrote:
>
> vecna ha scritto:
>
>> questo per rendere la vita piu' divertente ai collezionisti di password
>> d'hackmeeting:
>>
>> http://www.delirandom.net/sniffjoke
>
> capisco la globalizzazione
> ma io vi odio quando siete italiani e scrivete solo in inglese
> scrivilo nel tuo dialetto, allora, visto che devi cambiare lingua.


hahaha, non ho tempo in questo momento. ecco la bozza del pezzo
italiano. e' una *bozza* molto vaga, fai prima a provare il software che
funziona seguendo alla lettera i 5 comandi indicati nella pagina sopra.

======

Intro: SniffJoke è un software che metti sul tuo computer ed in modo
automatico inietta nei flussi di comunicazione dei dati non previsti, ma
plausibili da RFC. Se qualcuno ti sta sniffando, e se questo qualcuno
non è una persona che analizza il traffico, ma si affida ad un programma
automatizzato, questo programma non riuscirà a ricostruire i dati
intercettati.

Per ora gli unici 2 sniffer provati, Wireshark e Xplico, falliscono.
Plausibilmente su degli IDS professionali questo non andra', ma c'e'
bisogno che qualcuno effettui test che da solo non posso fare.

Motivo di esistenza SJ: In internet, le intercettazioni e la censura per
la sicurezza sono una favola per bambini, leggende metropolitane.
L'unica cosa efficacie in termini di sicurezza è l'uso dei trojan. L'uso
dei trojan è l'equivalente investigativo di una microspia. L'uso di uno
sniffer ci si aspetti dia dare l'illusione che si tratti
dell'equivalente intercettazione telefonica, Ma non è così per la
semplice ragione che il telefono è un prodotto proprietario, se lo
compri non puoi modificaro (un computer sì) e se lo produci non puoi
modificarlo (un computer funziona con quello che vuoi tu). Questo
aspetto non è affatto irrilevante perché, in sintesi, dice: "Se un
utente vuole non essere intercettato, vuole sfuggire alla censura,
puo'!". Eppure il dibattito non sta mai su questi aspetti di tecnologia
elementari, sta sul diritto e sulla sua inesorabile erosione; I software
possono essere fatti da un qualunque 19enne diplomato in ambito
tecnologico, ne deriva che, se davvero queste misure di sicurezza
servono a dar un deterrente al crimine, e se questo deterrente si
elimina con una consulenza di un giovane, o piu' facilmente scaricando
del software libero e sicuro da Internet, allora e' un deterrente
fasullo, o efficacie solo per chi non sa come funzionan le cose. Il
motivo per cui SniffJoke è stato fatto è questo, ricordare che "Internet
è nato per consentire a due elementi di comunicare, non a terzi di
controllarlo".

Effetto pratico: SniffJoke puo' "infastidire fortemente" lo sniffing
massivo. Ad esempio, un trojan che sniffa password riconoscendo
l'handshake di autenticazione di un qualunque protocollo applicativo. Se
si tratta di sniffing con lettura passiva dei pacchetti e ricostruzione
del flusso, si cade in uno dei paradossi delle intercettazioni: Sono
grossolane! si basano su assunzioni e non potrebbe essere altrimenti.
Queste assunzioni non potranno mai coprire la completezza di uno Stack
TCP/IP di un sistema operativo, che quindi potrà sempre capire cosa va
accettato e rifiutato e in che stato si trova la sua connessione.

Dubbi sollevati da altri: il primo elementi di dubbio è che SniffJoke
rende piu' difficile l'intercettazione, ma non impossibile. E' vero, ma
significa che ogni sessione deve essere ricostruita quasi-a-mano
dall'analista. Chi si legge i vostri pacchetti deve volervi davvero un
sacco di male per farsi quello sbattimento :) Un altro elemento è che,
plausibilmente, più lo sniffer sta vicino all'obiettivo da intercettare
e più avrà a disposizione CPU da dedicare. Puo' essere, ma ci sono
alcune condizioni verificabili che non possono neppure essere risolte
tramite un'analisi il piu' possibile dettagliata. Un terzo dubbio è
l'interpretazione troppo letterale di: "Questi attacchi funzioneranno
per mesi, forse anni, ma saranno patchati". Attenzione che, il tipo di
patch necessario, non si tratta di riconoscere la firma di sniffjoke sul
traffico di rete, come in alcuni casi si puo' essere tratti in inganno
di fare. La firma di SniffJoke e' difficilmente rilevabile perché gli
attacchi applicati si basano su percentuali di possibilità. Percentuali
molto alte nei primi 10 pacchetti, molto basse dopo, ogni tanto il picco
si rialza. Gli hack stessi, a volte possono apparire generando
un'anomalia ed altre lo stesso hack generarne un'altra. Pertanto: non
c'è una firma riconoscibile fissa, il tipo di adeguamento che deve
essere fatto è molto lungo e molto complesso da implementare in uno sniffer.