» »

Prenovljen Metasploit Decloak Engine

Prenovljen Metasploit Decloak Engine

Slo-Tech - H. D. Moore je na spletni strani projekta Metasploit predstavil prenovljeni Metasploit Decloak Engine, ki spomočjo različnih trikov skuša ugotoviti pravi IP naslov uporabnikov internetnih posrednikov (tim. proxyev) in anonimizacijskih sistemov, npr. omrežja Tor.

Prenovljena različica Decloak Engine skuša ugotoviti pravi IP naslov uporabnika interneta s pomočjo Flasha, Jave ter z nekaj zanimivimi tehnikami (zlo)uporabe iTunes, Quicktime in Microsoft Office programja.

Po zatrjevanju avtorja Decloaka, H. D. Moora, se je proti razkritju IP naslova mogoče učinkovito ubraniti le s pravilno nastavljeno kombinacijo odjemalca anonimizacijskega omrežja Tor, uporabo Privoxya ter Torbutton dodatka za Firefox.

Mimogrede, Metasploit Framework je medtem prilezel do različice 3.2.

Stanje na področju anonimizacije se torej vseeno izboljšuje.

5 komentarjev

fiction ::

DNS zahtevek za enolicno doloceno domeno je zanimiv nacin, kako odkriti ponudnika. Samo ni nujno da bo to vedno dobro delovalo. Jaz recimo lahko uporabim ARNES-ov DNS server, ceprav sem dejansko na T-2. No vecinoma je res tako, da ponudnik drugim ljudem ne dovoli izvajati rekurzivnih poizvedb. Ampak obstaja pa recimo OpenDNS.

Ok, to da nek zunanji program deluje mimo proxy streznika, je cisto logicno, kajti program o tem nic ne ve, niti ni nujno da sploh zna uporabljati tak streznik. Je pa seveda treba zagotoviti, da taki programi ne bodo kar tako (preden se uporabnik strinja) kakorkoli dostopali do mreze. Drugo je Flash in Java, ki teceta v kontekstu brskalnika. Tam bi se moral privzeto uporabljati nastavljen proxy, sicer je to bug.

Visjo stopnjo anonimnosti bi si lahko zagotovil tako da bi prisilil vsako aplikacijo v uporabo posrednika. Torej proxy bi moral biti neka globalna TCP/IP nastavitev in odjemalci se sploh ne bi smeli zavedati ali delajo preko posrednika ali ne (lahko bi pa recimo v brskalniku dolocil drug proxy pri cemer bi se potem povezava do tega proxya vzpostavila preko privzetega sistemskega proxya).

Za Linux sem ze videl tako knjiznico, ki jo enostavno LD_PRELOADas in nadomesti npr. funckijo connect() s svojo ovojnico, ki zna delovati s SOCKS streznikom, vsega skupaj je mogoce 100 vrstic kode. Za Windows bi vse skupaj lahko izvedel najbrz z nekim Winsock LSP-jem. A ze obstaja kaksna taka resitev? V prihodnosti mislim, da bi morala biti nastavitev proxy streznika del TCP/IP nastavitev operacijskega sistema. Nastavitve proxya se ocitnolahko ze posredujejo kar preko DHCP.

Zgodovina sprememb…

  • spremenil: fiction ()

Matthai ::

V Linuxu se da zadevo rešiti z uporabo Iptables. Se pa strinjam, da bi to morala biti sistemska nastavitev.

Hum, zadevo bi morali ufurati v Network Manager!
All those moments will be lost in time, like tears in rain...
Time to die.

fiction ::

V Linuxu se da zadevo rešiti z uporabo Iptables.

Kako pa? Mislim fora je v tem, da je SOCKS svoj protokol. In za odjemalce ni nujno, da sploh razumejo to, tako
da s tem ko samo nekam posiljas podatke nic ne dosezes.

Sem pa odkril, da tocno ta hack ki sem ga omenil ze obstaja malo lepse zapakiran v tsocks. V bistvu deluje to potem tako, da torify, ki mu reces kateri program naj se zazene v ozadju poklice tsocks program, ki z LD_PRELOAD nalozi tsocks knjiznico. Ce ne uporabljas TOR omrezja, lahko tsocks ponucas za transparentno uporabo kateregakoli SOCKS streznika, brez da bi se ti bilo treba igrati z nastavitvami pozarnega zidu.

Se pa strinjam, da bi to morala biti sistemska nastavitev.
Hum, zadevo bi morali ufurati v Network Manager!

Ja, to bi moralo biti dosegljivo v sistemskih nastavitvah zraven tistega kjer lahko rocno dolocis IP naslov. Zraven bi lahko pisalo "SOCKS proxy server:".
Na Linuxu bi Network Manager lahko enostavno dinamcino popravil tsocks.conf kot dela ze npr. z resolv.conf.
Za Windows sem slisal da tudi obstaja nek ekvivalent tsocks (FreeCAP) samo tistemu ne zaupam najbolje. Lepo bi bilo torej, ce bi ze sam OS omogocal uporabo proxy streznika.

Matthai ::

Daj malo bolj opiši kako točno bi se zadeva izvedla - sem na listi Network Managerja, pa bom magari dal malo bolj podrobne specifikacije.
All those moments will be lost in time, like tears in rain...
Time to die.

fiction ::

Jaz si predstavljam to nekako tako, da bi bil v "Urejanje" / "Nastavitve IPv4" pod "DHCP Client ID" na voljo se "Privzeti sistemski SOCKS proxy". Prvic, ko bi tja kaj vpisal, bi to sprozilo nalaganje paketa tsocks (lahko pa tudi obratno, da tega ne bi videl dokler nimas tsocks kar je imho slabse). Spremembo bi moral NetworkManager napisati v tsocks.conf, kot server = x, port = y ali nekaj takega in (na novo) pognati tsocks. Seveda bi to naredil tudi ce zamenjas "profil".


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Tor Project: FBI plačal univerzi milijon dolarjev za vdor v Tor

Oddelek: Novice / NWO
74309 (3210) Markoff
»

Varnostna analiza TorFoxa pokazala številne pomanjkljivosti

Oddelek: Novice / Varnost
153147 (2162) Matthai
»

Izvedba popolnega MITM napada (strani: 1 2 3 )

Oddelek: Novice / Varnost
11616099 (12485) Brane2
»

Predstavljen nov način napada na anonimizacijsko omrežje Tor

Oddelek: Novice / Varnost
154319 (3386) Matthai

Več podobnih tem