[La stupida gestione della sessione della mia webmail mi ha impedito di inviare la prima versione di questa mail. Spero non sia un doppione...] Ciao a tutti. Ho messo le slide sul sito del LT. Le trovate all'indirizzo: http://www.linuxtrent.it/Members/mercutio/slide-strumenti-sicurezza.tar.bz2/file_view Finisco di rispondere in ordine sparso e in maniera concisa ad alcune cose che mi sono state chieste al termine della serata di ieri. *) Con qualcuno si parlava di TCP hijacking e altre amenita` del genere. Alcuni riferimenti, vecchiotti ma utili per capire come vanno le cose sono: - R. Morris, "A Weakness in the 4.2BSD UNIX TCP/IP Software", 1985, www.pdos.lcs.mit.edu/~rtm/papers/117.pdf - S. Bellovin, "Security Problems in the TCP/IP Protocol Suite", 1989 csrc.nist.gov/publications/secpubs/ipext.ps - L. Joncheray, "Simple Active Attack Against TCP", 1995, http://www.usenix.org/publications/library/proceedings/security95/joncheray.html *) Rilevare schede di rete in modalita` promiscua. La query 'detecting promiscuous mode sniffer' su google da` piu` risultati di quanti uno ne voglia leggere. Un articolo che raccoglie parecchie informazioni si puo` trovare all'indirizzo: http://mason.gmu.edu/~czourida/publications/sniffers.pdf *) Normalizzatori di traffico in entrata e uscita. - T. Ptacek e T. Newsham, "Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection", 1998, http://citeseer.nj.nec.com/ptacek98insertion.html [Il lavoro che ha reso chiaro il fatto che l'uso dei normalizzatori e` utile e, in alcuni casi, vedi NIDS, necessario] - R. Malan e altri, "Transport and Application Protocol Scrubbing", 2000, http://citeseer.nj.nec.com/malan00transport.html [Descrizione di normalizzatore di traffico in entrata] - M. Smart e altri, "Defeating TCP/IP Stack Fingerprinting", 2000, http://www.usenix.org/publications/library/proceedings/sec2000/full_papers/smart/smart_html/ [Descrizione di normalizzatore in uscita con lo scopo di sfuggire a tentativi di fingerprinting alla nmap] *) Come utilizzare uno sniffer su un'interfaccia di rete cui non e` assegnato un indirizzo IP. Anche qui, moltissime risposte da google. Potrebbe essere interessante il seguente thread sulla mailing list degli utenti di snort: http://www.mcabee.org/lists/snort-users/Jun-01/msg00315.html *) Simulatori di siti inesistenti. Su questo non ho trovato molto. Potrebbe essere un passatempo interessante se uno vuole dilettarsi con libnet e libpcap. In tal caso, non dimenticate di rispondere ai messaggi ARP! Altra via, usare macchine virtuali. *) Sniffing su reti switchate. - Una buona query per google sembra essere 'sniffing switched lan' - Il documento all'indirizzo http://mason.gmu.edu/~czourida/publications/sniffers.pdf ha alcuni paragrafi dedicati a questo argomento - Non l'ho letto, ma sembra decisamente in tema: R. Spangler, "Packet Sniffing on Layer 2 Switched Local Area Networks", http://www.securityfocus.com/archive/112/347201/2003-12-07/2003-12-13/2 Mi sembra sia tutto. Ovviamente se ci sono domande, dubbi, chiarimenti da fare, critiche etc., relative a quanto detto ieri sera, ne parlo sempre molto volentieri, Marco -- Per iscriversi (o disiscriversi), basta spedire un messaggio con OGGETTO "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx