Obfuscated TCP

18 Luglio 2008

Obfuscated TCP è un interessante progetto di Adam Langley che propone delle modifiche al protocollo TCP in modo da avere comunicazioni cifrate e firmate:

Attualmente l’implementazione consiste in una serie di patch per il kernel di Linux e in una libreria.

Da leggere il draft con le specifiche (ecco l’abstract):

This document describes an extension to TCP [RFC0793] which permits a small, mostly constant data payload to be carried in the SYN+ACK frame of the 3-way handshake.  This new behaviour is enabled by an option in the SYN packet to ensure backwards compatibility.  We should how this has latency benefits, specifically for cryptographic applications.

e la pagina del wiki con le differenze tra Obfuscated TCP e le principali alternative (SSL, IPSec)

Posted by e
Filed in networking, sicurezza, sviluppo
Tags: , , ,
1 Comment »

SQL Injection: novità da HP e Microsoft

29 Giugno 2008

HP e Microsoft hanno rilasciato due tool per l’analisi del codice alla ricerca di SQL injection

  • HP Scrawlr: Scrawlr, developed by the HP Web Security Research Group in coordination with the MSRC, is short for SQL Injector and Crawler. Scrawlr will crawl a website while simultaneously analyzing the parameters of each individual web page for SQL Injection vulnerabilities. Scrawlr is lightning fast and uses our intelligent engine technology to dynamically craft SQL Injection attacks on the fly.
  • Microsoft Source Code Analyzer for SQL Injection: Microsoft Source Code Analyzer for SQL Injection is a static dataflow analysis tool to help find SQL Injection vulnerabilities in Active Server Pages (ASP) code.

Sul blog Security Vulnerability Research & Defense c’è un confronto tra Scrawlr, MSCASI e UrlScan.

Posted by e
Filed in hacking, networking, sicurezza, tool
Tags: , , , , ,
Leave a Comment »

Nuovo standard per la sicurezza mobile (3G)

9 Giugno 2008

La TIA ha pubblicato uno standard, IMS Security Framework (TIA-1091), sulla sicurezza delle tecnologie 3G. Questo è l’abstract:

TIA-1091 addresses the access and network security for IP-based services. The scope for this document is to specify the security features and mechanisms for secure access to the IM subsystem (IMS) for the 3G mobile telecommunication system. The IMS supports IP Multimedia applications such as video, audio and multimedia conferences using SIP, Session Initiation Protocol, as the signaling protocol for creating and terminating Multimedia sessions, cf.. This document only deals with how the SIP signaling is protected between the subscriber and the IMS, how the subscriber is authenticated and how the subscriber authenticates the IMS.

Posted by e
Filed in mobile, networking, sicurezza
Tags: , , ,
Leave a Comment »

PISA contro Skype

16 Agosto 2007

http://www.flickr.com/photos/nathangibbs/70425448/

Ancora dal BlackHat 2007: PISA contro Skype o più precisamente Protocol Identification via Statistical Analysis per identificare i nuovi protocolli P2P.

Nelle applicazioni P2P si nota un’evoluzione determinata da cause non necessariamente tecniche. I protoccoli P2P si sono dovuti via via adeguare ai giri di vite dei legislatori e degli ISP e alle sempre più precise tecniche di rilevazione degli amministratori di rete. Il frutto di queste necessità è Skype, ovvero al posto dei vecchi limpidi protocolli dalle specifiche pubbliche si iniziano a vedere degli oscuri protocolli proprietari (Skype ne è il capostipite).

All’ultimo BlackHat, Rohit Dhamankar e Rob King della TippingPoint hanno presentato un sistema di identificazione basato sull’analisi statistica del traffico.
Gli autori partono dal presupposto che d’ora in poi i protoccoli P2P, ma non solo, faranno grande uso di crittografia e dunque le vecchie tecniche di identificazione basate sull’analisi del contenuto dei pacchetti scambiati risulteranno completamente inutili.
Il PISA rappresenta il traffico in uno spazio a 10 dimensioni i cui assi sono: la dimensione media dei pacchetti verso il client e verso il server, i tempi di risposta, sulla deviazione standard dei suddetti parametri e sulla differenza di traffico tra server e client e infine l’entropia di Shannon. Quest’ultima viene utilizzata per determinare se il protocollo usa una qualche forma di crittografia oppure dati in chiaro.
La sperimentazione per questo sistema è stata condotta cercando di venire a capo di uno dei grandi problemi degli amministratori di rete: separare il traffico Skype da tutto il resto. Gli incoraggianti risultati, basati sulle proprietà statistiche dei protocolli, hanno stabilito che è possibile identificare il traffico prodotto da Skype, con un minimo errore, analizzando solo 600 pacchetti (ovvero circa 1,5 secondi di chiamata).

L’approccio è sicuramente interessante ma bisogna valutare, come al solito in queste situazioni, i falsi positivi generati da una simile analisi. Il codice non è ancora disponibile, quindi non ci resta che attendere sintonizzati su http://dvlabs.tippingpoint.com/projects/PISA

Da citare: statistics is like a bikini that reveals what is interesting and hides what is vital.

Posted by e
Filed in P2P, blackhat, hacking, networking, sicurezza
Leave a Comment »