Attacco agli stati TCP

Salve a tutti, 

su devel@sikurezza.org abbiamo già postato un messaggio il 17/06/2002
(http://www.sikurezza.org/devel/msg00164.html)
dove facevamo riferimento ad un articolo da noi scritto
(http://securitysystem.flashcom.it articolo 0x0c.txt). 

Volevamo qui fare una serie di considerazioni in base a quanto
spiegato nell'articolo stesso, perchè riteniamo che da discussioni avute con
determinati personaggi del settore siano uscite una serie
di argomentazioni che forse potrebbero interessare qualcuno.
Volevamo inoltre precisare che in questa email menzioneremo
direttamente le persone con cui abbiamo intrapreso questi dialoghi,
che non conosciamo gli stessi in prima persona e che pertanto
siamo praticamente quererabili :) 

Anzitutto dopo aver stilato l'articolo ci siamo messi subito
alla ricerca di testi o fonti che avessero trattato un approccio
simile al nostro per esaurire la coda delle connessioni di un
target. Premesso che stiamo ancora cercando testi di questo tipo
e che se qualcuno potesse segnalarceli (nota bene...leggere
l'articolo prima per sapere di cosa si tratti) saremmo
davvero felici. 

Abbiamo sottoposto questa domanda e l'articolo ad alcuni membri del 
S0ftpj...
e siamo stati pure sgridati per averne mandato 1 copia a più
membri (ogni riferimento a Raistlin è puramente casuale :P) 

FuSyS ha fatto una considerazione molto importante a riguardo,
dicendo che molte tecniche in certi ambienti sono già
più o meno conosciute. Gli diamo ragionissima, anche se forse
si riferiva ad ambienti privati. 

Con Igor Falcomata abbiamo avuto uno scambio di 2/3 email piene
di considerazioni e talune volte di idee. L'utilizzo dei
RST da parte di firewall che forniscono una sorta di
protezione ad attacchi di tipo Syn Flood è una implementazione
di cui già eravamo a conoscenza e che
comunque Igor ha tenuto a puntualizzare. Dal canto
nostro ciò che pensiamo è che si tratta pur sempre di un modo
difensivo di utilizzo dei RST e non di una metodologia
di offesa (come l'articolo propone). Lo stesso si basa
pur sempre sul completamento del 3WayHandshake...quindi
una sorta di somiglianza tra modo di operare di certi
firewall e ciò che abbiamo definito SAOR attack è da
scartare a priori (seppur il mezzo utilizzato per
attaccare e difendere si basi sempre su pacchetti di tipo
RST). 

C'è stato chi ha paragonato ciò che definiamo SAOR
Attack con un Naptha DoS; nei naptha DoS non ci pare si
utilizzino dei RST, gli stessi si basano più che altro
sulla creazione di connessioni fantasma sfruttando l'ARP
poisoning in ambienti switchati. L'attacco che proponevamo
era un tantino diverso...più rintracciabile sicuramente ma
differente dai naptha DoS. 

Ci è stato anche detto che Mixter aveva pubblicato qualcosa
simile o del tutto uguale già molto tempo fa a ciò che
definiamo SAOR Attack; abbiamo controllato la sua home (quella
hostata su void.ru ed altri mirror sparsi per il mondo)
ma non abbiamo trovato nulla (e qui riproponiamo quanto detto
prima e cioè che se qualcuno conosce fonti a riguardo gli saremmo
molto grati se ce le potesse notificare). 

Qualcuno qui sorriderà, ma oltre ai membri del S0ftpj abbiamo
fatto presente la cosa anche a scut dei teso. Dapprima il
tizio aveva compreso l'attacco come una sorta di syn flood,
ma ciò è stato dettato naturalmente dalla incapacità di ^XaBaRaS^
di esprimersi in inglese comprensibile ehehee ;) . In seguito
siamo riusciti a spiegare meglio il concetto e lo stesso
scut ha fatto una considerazione che seppur non ci è suonata
nuova ha una valenza (a nostro avviso) davvero tutta da considerare
(cosa che non abbiam potuto fare dato il timbro che che volevamo
imporre all'articolo stesso). 

scut dice che se qualcuno ha la possibilità di spoofare un indirizzo
IP e di forgiare pacchetti a piacimento significa che ha
i privilegi di superuser sulla macchina, quindi
"you should also have control over the kernel tables and could
take out the entry." 

Il nostro futuro approccio sarà questo... non prima della fine
dell'estate naturalmente :) 

Cosa ne pensate? Se qualcuno avesse idee, codice, parolacce
cortesemente (o meno) notificatacele. Grazie 

Commenti, critiche e minacce sono sempre ben accette. 

Distinti Saluti
Marco Ortisi & ^XaBaRaS^ 

marco.ortisi@flashcom.it
xabino@freemail.it 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List