IpMorph@FRHACK

Nous ferons un « talk » d’une heure sur IpMorph lors de la première édition de FRHACK à Besançon.

Pour nous c’est le mardi 8 septembre à 15h00. L’occasion d’approfondir notre premier « jet » de SSTIC 09 à Rennes en Juin dernier et de rentrer dans le détail technique des modes opératoires des différents outils tels que Nmap, SinFP, Xprobe2, p0f, Ring/CronOS, …

On fera bien entendu un compte rendu et un mini-reportage photo sur cette expédition (on peut pas toujours être à 2h00 du Landerneau de la sécurité française).

Le résumé de la conf. :

Il existe aujourd’hui pléthore d’outils d’identification de piles TCP/IP qui permettent d’identifier relativement aisément le système d’exploitation des cibles pressenties. Lors de cette présentation, nous montrerons que la dissimulation et la mystification d’empreinte sont possibles uniformément face aux différents outils de prise d’empreinte connus. Pour ce faire, nous avons réalisé IpMorph, un outil logiciel de contre-reconnaissance sous la forme d’une pile TCP/IP en mode utilisateur qui assure le suivi de session et la réécriture des paquets à la volée.

Nous détaillerons son fonctionnement et son usage face à des outils tels que Nmap, Ring et SinFP. Aussi bien au niveau actif qu’au niveau passif, notre approche consiste à unifier toutes les signatures des sondes au sein d’une seule base de personnalités. Le paramétrage de la pile IpMorph (aussi bien au niveau de ses attributs que de ses branchements algorithmiques) est effectué depuis ces personnalités.

Nous présenterons les concepts et l’architecture d’IpMorph ainsi que quelques focus techniques sur certaines de ses spécificités. Entre autres, nous détaillerons les points les plus épineux de la réalisation d’IpMorph: la difficulté d’inverser certains informations de signatures, de respecter les contraintes temporelles, et de garantir la transparence du procédé.

Leave a Reply

 

 

 

You can use these HTML tags

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>