Re: [Hackmeeting] advanced evasion tecniques

Borrar esta mensaxe

Responder a esta mensaxe
Autor: $witch
Data:  
Para: Raistlin
CC: hackmeeting@inventati.org
Asunto: Re: [Hackmeeting] advanced evasion tecniques
On Thu, 04 Nov 2010 03:15:17 +0100, Raistlin <raistlin@???> wrote:


ciao

finalmente una sana polemica.........

la faccio breve, ciascuno si informi e decida da solo.

solo non confondere realta' e dichiarabilita'.

    stonegate ammette tranquillamente di essere inadeguata, anche se meno di
altri.


    il fatto che la responsable-disclosure comporti dei limiti nei dettagli
dichiarati "al pubblico" per un periodo di tempo non significa che i
dettagli non esistano.


    raptor3, il programma di ricombinazione delle tecniche di evasione,
genera attacchi invisibili a tutti gli IPS in commercio, sia che piaccia
sia che non piaccia.


    cosa c'entra windows? bhe, semplicemente immagina di attaccare un host
che non ha vulnerabilita' e di saperlo fare in maniera "invisibile" : se
l'host non e' vulnerabile resta non vulnerabile e basta.


    il problema si pone laddove un "sorvegliante" (IPS) debba farsi carico
della sicurezza di hosts non autosufficienti.


    tra le tecniche di evasione ne esistono alcune (la piu' "banale" e' la
frammentazione IP) che sono relative allo stack TCP/IP, altre che
dipendono da altri protocolli/strati di comunicazione; le percentuali
esatte non le so, ma da quel che ho visto sono quasi tutte windows-related


    quindi non e' vero che SOLO gli attacchi verso host windows POSSONO
ANDARE A BUON FINE, un host unix con uid=root e pwd=root te lo possono
fregare tanto uguale MA nel sottoinsieme di hosts vulnerabili quelli che
si affidano ad IPS saranno ancor piu' svantaggiati : non solo resteranno
vulnerabili ma faranno affidamento su un sistema di allarme adeguato a
rilevare la fanteria corazzata, non il gas nervino.




e che non sia nulla di "rivoluzionario" o di "proprieta' intellettuale
unica" di stonegate, non penso ci siano particolari problemi a dirlo, i
tizi di snort scrissero una roba al riguardo nel 2008, ma questa roba e'
"operante", se hai un IPS in gestione faresti bene ad approfondire.


ciao


$witch




--
"If 386BSD had been available when I started on Linux, Linux would
probably never had happened." Linus Torvalds


"It's hard to exploit a sysadmin by social engineering because he hardly
has any friends." Polytropon