Para entrar un poco en materia recomiendo leer el articulo que anexo de un par de estudiantes polacos.
* La idea: enviar informacion a traves de covert channels entre alguno de los siguientes protocolos.
- RTP y/o RTSP
- SIP
* Las herramientas:
- Codigo fuente (recomiendo trabajar con RTSP). En http://www.cs.columbia.edu/~hgs/rtsp/implementations.html hay una lista de implementaciones. Yo he trabajado con openRTSP de Live555 y es sencilla y facil de modificar.
- Sniffer de red, uno facil y veloz como tcpdump para captar solamente lo que queremos ver
- Dos computadores, uno que actue como servidor y el otro como cliente
* El procedimiento:
- Instalar el servidor sin modificaciones al codigo y correrlo
- Crear un script que obtenga como input la salida de los paquetes RTSP recogidos mediante tcpdump y que vaya imprimiendo los bits enviados como ocultos
- Modificar inicialmente el codigo del cliente RTSP para transmitir una secuencia de bits
- Correr el cliente y verificar que los bits sean recibidos del otro lado mientras que el cliente siga funcionando correctamente
* Si quedan tiempo y ganas:
- Jugar con el codigo de VLC para transmitir en broadcast una pelicula por ejemplo. Modificar la parte del cliente RTP y/o RTSP para que difunda informacion a traves del covert channel
- Tener un sniffer en la red para captar los mensajes y verificar su funcionamiento
* Implicaciones:
- Transmison de datos a nivel de protocolo de aplicacion (RTP, RTSP, SIP) sin que la victima se de cuenta y sin que sea detectado por IDS/IPS
- Imaginen un escenario donde un operador transmita a sus abonados servicios de VoD (video on demand) y que estos tengan versiones modificadas para los covert channels. La recopilacion de informacion, sea para usos legales o ilegales, sin que el usuario se de cuenta, es infinita
- Podria presentarse un mecanismo de comunicacion como este en el futuro entre maquinas zombie y su master sin que haya relacion directa entre las direcciones IP. Esto hace la maquina master practicamente indetectable y los zombies extremadamente dificiles de detectar
- Este tipo de canales cubiertos va muy fuertemente ligados a ataques en el futuro cuyos objetivos dejaran de ser los PCs personales y pasaran a ser los demas aparatos con conectividqd (STBs, consolas de video juegos, equipos de domotica, etc.)
- Podriamos ser espiados de una manera practicamente indetectable
Lastimosamente no puedo estar con ustedes en presencia para llevar acabo el lab pero espero que por lo menos la idea les parezca interesante e intenten implementarla. Si necesitan algun tipo de soporte me cuentan.
http://foro.colombiaunderground.org/index.php?action=dlattach;topic=4635.0;attach=893
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario