Re: [Hackmeeting] advanced evasion tecniques

Delete this message

Reply to this message
Author: vecna
Date:  
To: hackmeeting
Subject: Re: [Hackmeeting] advanced evasion tecniques
rispondo a quest'email perché tira dentro tutti i punti che volevo toccare.

trivia: ieri in una birreria, un amico di un amico, ha raccontato
dell'incontro avuto con un commerciale di stonesoft che voleva vendergli
l'IDS. ha esposto un po' di considerazioni date da quel colloquio, io le
ho assorbite e non so piu' cosa deriva da li', dal video di stonesoft
che era l'unico tipo di informazione derivata da questa faccenda.

$witch wrote:
> On Thu, 04 Nov 2010 03:15:17 +0100, Raistlin <raistlin@???> wrote:
> stonegate ammette tranquillamente di essere inadeguata, anche se
> meno di altri.


questa è la sua marchetta commerciale: dire "tutti subiscono al 100%,
noi solo al 30%". e oltre che una marchetta commericale, è proprio uno
stile che non mi piace. mi ricorda un po' il "siccome facciamo schifo
entrambi, vedici meglio!". se il problema sta negli ids network layer,
si farà maggiore affidamento sugli ids application layer.

>     il fatto che la responsable-disclosure comporti dei limiti nei dettagli
> dichiarati "al pubblico" per un periodo di tempo non significa che i
> dettagli non esistano.


io ho cercato di capirli, e dal video vedevo dei FLAG TCP. tipo, urgent,
fin. e mi pare estremamente strano. è possibile che l'injection di flag
causi una desincronizzazione tra quello che si beve lo sniffer e quello
che effettivamente interpreta il sistema operativo: non voglio crederci,
libnids per intendeci operano una ricostruzione già migliore. e libnids
sono utilizzate in dsniff ed in una caterva di snifferini amatoriali.

>     raptor3, il programma di ricombinazione delle tecniche di evasione,
> genera attacchi invisibili a tutti gli IPS in commercio, sia che piaccia
> sia che non piaccia.


mah, non basta aver implementato:
http://en.roolz.org/trafscrambler.html
http://www.phrack.org/issues.html?issue=54&id=10#article
?

>     cosa c'entra windows? bhe, semplicemente immagina di attaccare un host
> che non ha vulnerabilita' e di saperlo fare in maniera "invisibile" : se
> l'host non e' vulnerabile resta non vulnerabile e basta.


centra il sistema operativo perché le injection devono avere questa
filosofia:

"accettate dallo sniffer e non dal sistema operativo"

oppure:

"rifiutate dallo sniffer ed accettate dal sistema operativo"

in questo modo forzi lo sniffer a seguire un flusso diverso da quello
che realmente avviene. il sistema operativo destinazione è uno step
ulteriore (che noi valutavamo di mettere in sniffjoke eventualmente in
futuro. comunque, si procede con il passive os fingerprint e in
relazione al sistema operativo remoto si abilitano delle injection
specifiche -qualora venissero trovate-, perché per ora non ne conosciamo)

>     il problema si pone laddove un "sorvegliante" (IPS) debba farsi carico
> della sicurezza di hosts non autosufficienti.


si il problema IPS è quello che preme chi ha cacciato la grana, e
stonesoft spera di riceverne un po'

>     tra le tecniche di evasione ne esistono alcune (la piu' "banale" e' la
> frammentazione IP) che sono relative allo stack TCP/IP, altre che
> dipendono da altri protocolli/strati di comunicazione; le percentuali
> esatte non le so, ma da quel che ho visto sono quasi tutte windows-related


è questione di layer: se l'offuscamento avviene a layer 3/4, il flusso
non è ricostruito correttamente. se avviene a layer5, è ricostruito
correttamente e non correttamentr analizzato. il primo è un problema
irrisolvibile del TCP/IP: che è pensato perché 2 persone comunichino e
non perché una terza ascolti. il secondo è un problema simile al
polimorfismo dei virus per un antivirus.

> e che non sia nulla di "rivoluzionario" o di "proprieta' intellettuale
> unica" di stonegate, non penso ci siano particolari problemi a dirlo, i
> tizi di snort scrissero una roba al riguardo nel 2008, ma questa roba e'
> "operante", se hai un IPS in gestione faresti bene ad approfondire.


non so che dire, se non che le tecniche sono note e vetuste. quel che mi
frustra è appurare che il termine "ids evasion" "sniffing evasion" è
raccontato dopo la campagna commerciale di stonesoft, per cui anche
quando uscirà sniffjoke 0.4, mi troverò a rapportarmi con persone che
hanno questo riferimento culturale, del tutto artificioso. e che palle.