Hack.lu 2011 - Sniffjoke project

g4l4drim

20 sept. 2011 — 1 min read

L’évasion de NIDS n’est pas toute jeune, les premieres réfèrences datent de 1998, et un ensemble de softs et de techniques furent misent au point pour maltraiter les NIDS (fragrouter, libdnet, innova, FTester, stonesoft).
Le problème des NIDS? C’est qu’ils doivent reconstituer les paquets, les sessions pour pouvoir effectuer leur travail de détection. Le problème c’est que tout ça coute en mémoire, et que l’attaquant peut profiter des défauts des piles et parsers implémentés dans le NIDS pour faire de l’évasion, lui faire « oublier » des paquets, rendant la signature inefficace.

Il n’y a pas suffisamment d’informations dans les paquets transmits pour pouvoir reconstituer correctement le flux d’information. Plusieurs patchs furent appliqués pour améliorer les capacités de re-assemblage, mais les fonctions demandés aux NIDS sont plus complexes que celles demandés à un simple Sniffer.

Coté Sniffing de masse, il y a quelques années, les machines n’avaient pas la capacité de calcul nécessaire pour traiter 10gbps de données réseau brutes, mais maintenant c’est le cas !

L’objectif de sniffjoke est de prouver qu’on ne peut rien obtenir en terme de sécurité par l’analyse réseau et le sniffing. Sniffjoke implémente donc plusieurs techniques pour dégrader et malmener ces outils d’interception massive. Du fait du débit, les outils de sniffing et d’analyse réseau doivent faire des estimations et « ratent » volontairement certaines informations pour alléger le traitement. Sniffjoke joue sur ces défauts pour dégrader leur performances et finalement échapper à leur capacités d’interception.

l’attaque se fait en deux étapes, le brouillage qui viens désynchroniser le sniffer dans son travail de suivis des paquets, puis une injection des paquets souhaités. l’auteur rentre dans les détails des implémentations de TCP, ce qui fait penser aux travaux de gomor sur SinFP, qui se base sur ces particularités. L’idée pour l’auteur, c’est de faire passer un OS pour un autre aux yeux d’un fingerprinter passif (à la façon d’un IP Morph).

http://www.delirandom.net/sniffjoke

SSTIC 2023 - J3

Analyse statique de code avec Semgrep SemGrep est un outil d’analyse de code source capable de tourner sur n’importe quel langage. Le parsing est basé sur tree-sitter, le parser produit un AST, et l’outil travaille directement sur l’AST. On peut faire du pattern matching et de

SSTIC 2023 - J2

Vulnérabilités dans le protocole RemotePlay Steam est l’application de jeu la plus populaire sur PC, avec une très grosse surface d’attaque. Elle fait l’objet d’un BugBounty sur HackerOne. Le RemotePlay est un protocole non documenté sans rapports de vulns publics. Il permet dans son mode « together

SSTIC 2023 - J1

20 ans de SSTIC ! ça ne nous rajeunit pas… 15 years of oss-security @solardiz L’orateur est l’un des premiers à publier sur le re15 years of oss-security @solardizturn-into-libc et un des contributeurs à John the ripper, et le fondateur de la communauté openwall. Le vulnerability disclosure à fait

Streamer Audio : Volumio

Introduction Aujourd’hui il y a plein de manières de diffuser de la musique dans son salon. La première source à laquelle je pense est très certainement la TV connectée. Les services de musique ont pour la plupart lancé des applications sur les TV connectées. Et cet article peut s’

Read more

SSTIC 2023 - J3

SSTIC 2023 - J2

SSTIC 2023 - J1

Streamer Audio : Volumio