È stato rilasciato SniffJoke 0.3, uno strumento che consente di aggiungere un pizzico di privacy alle nostre connessioni in chiaro, iniettando pacchetti che rendono difficoltosa la ricostruzione della sessione di rete.
Rilasciato con licenza GPLv3 e disponibile per Linux (la futura versione 1.0 dovrebbe aggiungere il supporto anche a Mac OS X), SniffJoke inietta nelle nostre connessioni dei pacchetti in grado di confondere un ipotetico packet sniffer in ascolto, senza però causare problemi al sistema di destinazione.
In alcuni casi i pacchetti iniettati da SniffJoke vengono scartati dal destinatario (perché malformati o non validi nella sessione TCP) ma non dallo sniffer; in altri, invece, i pacchetti vengono analizzati dal software ma scadono prima di raggiungere l’host di destinazione.
Wireshark, uno dei più popolari analizzatori di pacchetti, non è attualmente in grado di ricostruire una sessione “trattata” da SniffJoke e, probabilmente, molti altri software simili soffrono della stessa debolezza; chi avesse la possibilità di testare SniffJoke con qualche sniffer commerciale può contribuire al progetto inviando l’esito dell’operazione, così da arricchire l’elenco di software “ingannabili”.
Bello, quando facevo l’università abbiamo provato un progetto che ci assomigliava moltissimo… poi non so che fine abbia fatto…
di UM - 14 aprile 2009 - 14:40
“Ingannabili” non mi pare la parola corretta: questi cosi aggiungeranno anche rumore, ma i dati “buoni” arrivano comunque a destinazione e vengono cmq sniffati, no?
di emmebì - 14 aprile 2009 - 15:50
I dati buoni passano comunque attraverso i packet sniffer ma, mischiati ai dati sporchi, rendono difficoltosa la ricostruzione dei dati originali.
In breve, i dati transitano in chiaro ma risulta difficile capire cosa stia transitando
di Andrea de Palo - 14 aprile 2009 - 23:10
In verita’ diventa MOLTO difficile capire cosa stia transitando. Per riuscire a distinguere i dati buoni da quelli che non lo sono non e’ sufficiente eseguire dei semplici controlli sul CRC o altro, ma si devono correlare i dati, ad esempio i dati sulle connessioni TCP e i pacchetti ICMP. Questa cosa non e’ banale e di norma ben poci (nessuno di quelli che io conosca) ricostruttori di traffico lo fanno.
Anche Xplico che e’ un Eve (secondo la denominazione SJ) e viene allegramente buggerato da SJ.
di Gianluca - 15 aprile 2009 - 08:30
Ma, scusate, quando qualcuno sniffa è alla ricerca di una cosa sola: password.
Non mi pare serva correlare questi pacchetti con altri 500 per carpirle…
di emmebì - 15 aprile 2009 - 11:23
emmebì, quello che dici è vero per certi versi, ma la password la trovi ricostruendo il flusso intercettato. Se sniffjoke non consente questa ricostruzione ad un computer, ma solo ad un essere umano che sta li’ a vedere cos’è plausibile e cosa no, allora hai protetto anche la tua password.
Stando a quello che ho scritto, se un umano puo’ riconocere dei dati validi da quelli non validi, allora anche un programma potra’ farlo, e quindi esisteranno sniffer intelligenti in grado di fare questa scrematura.
Ma non è vero neppure questo, probabilmente, perché tutte le variabili di sniffjoke mi pare siano generate randomicamente… almeno cosi’ sembra qui:
http://www.delirandom.net/sniffjoke/sniffjoke-0.3/sniffjoke-src/TCPTrack.cc
Quindi l’unico modo, rimane, essere sul computer destinazione. E l’attacco di sniffing è battuto. vedremo! pero’ intanto lo uso
di solequoreamore - 15 aprile 2009 - 13:22
Voglio segnalarvi questo post in italiano sull’argomento:
http://www.delirandom.net/20090416/sniffjoke-03-analisi-tra-il-tecnologico-e-lumano/
di vecna - 16 aprile 2009 - 12:48
Wow!
Mi interessa capire se è possibile fare il porting per Windows. Guardando il codice mi sembra di capire che usa l’interfaccia TUN, che su windows non c’è. E pure che una un sistema di invio dei pacchetti non facile da riprodurre senza un meccanismo driver (o, con il passato XP Sp 1).
Sapete se esiste già qualcosa di simile per Win ?
di me medesimo - 16 aprile 2009 - 22:48
Per windows non esiste nulla a riguardo, e guardando il codice mi sembra che richieda parecchie modifiche. E’ stato pensato per uno unix.
In compenso mi se gli IDS non possano rilevare questa anomalie: un IDS ben “tunato”, infatti, potrebbe riconoscere il traffico iniettato come anomalia e per questo motivo segnalarlo.
Usando pero’ il programma SniffJoke ho visto che potrebbe facilmente essere pachettizzato per distribuzioni, sotto forma di .deb e .rpm
E poi risolverebbe il fastidio di quel file di configurazione che non viene mai salvato amenoché non lo specifica l’utente. Insomma: bella idea, ma non ci siamo come ingenieria Software.
di fabiano pittorra - 17 aprile 2009 - 12:32