dimanche 12 octobre

Accueil :: Dépêches :: Entretiens :: Journaux :: Forums :: Sondages :: Suivi :: Statistiques :: Contact :: Plan

Articles précédents : Articles

Liens connexes

Article sur isecurelabs.com (1819 hits)
Télécharger StegTunnel (655 hits)

Dépêche modérée par

Oumph
Amaury

Articles : Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Acz. Modéré le 14 avril 2003.

La stéganographie est lart de cacher des données dans dautres données. Cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, bref les possibilités sont nombreuses et léquipe de développement de SynAckLabs ouvre de nouveaux horizons aux applications stéganographiques. En effet, celle-ci développe StegTunnel, un outil permettant de transmettre des données cachées dans les champs IPID et Numéros de séquence utilisés lors de connexions TCP.

Article sur isecurelabs.com (1819 hits)
Télécharger StegTunnel (655 hits)

> Lire les commentaires (35 commentaires, moyenne: 6,8).

Cette discussion est archivée, il n'est plus possible de laisser des commentaires.

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.

[+] Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Anonyme () le 14/04/2003 à 12:03. (lien). Évalué à -16.

2 phrases sur 3 proviennent de l'article. Quel travail de fond!

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Anonyme () le 14/04/2003 à 17:37. (lien). Évalué à 23.
Bon, OK, je me prends les [-], je le mérite.

Mais sans déconner, cette news est inutile dans la forme approuvée. Pas d'infos quelconques sur la licence par exemple (GPL, BSD, propriétaire, Obiwan Kenobi?), aucune réflexion de l'auteur sur les utilités de ce logiciel, ni même de présentation des autres trucs de tunneling. Tout ça pour gagner 5 malheureux XP...

Ah non, je viens de comprendre. C'était juste pour faire connaître la société "isecurelabs" (et le site Web, avec la belle applette Java)... Ben oui, regardez bien l'email du monsieur qui a posté la news...

C'est pas une news, c'est de la publi-information (bien bien pire que celle de matiasf soit dit en passant, qui au moins donne de bonnes infos techniques sur RH).
- [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par Aurélien Cabezon (page perso, ) le 15/04/2003 à 11:58. (lien). Évalué à 7.
  Salut, Je suis le Monsieur en question. J'ai proposé cet article pour faire connaitre cet outils que je trouve original. Le but de cet article n'etait pas d'étudier ce tool de fond en comble mais juste de donner l'information aux lecteurs, leur dire que ca existe. Pour info, isecurelabs.com n'est pas une société, ce n'est juste que mon modeste site perso. Enfin, si ce genre d'article ne te convient pas, tu n'es pas obligé de le lire. Je pense que linuxfr est assez ouvert pour tout le monde et il y a de la place pour tous et toutes les infos interessantes. Les différents commentaire ont surment premis à de nombreuses personnes de découvrire ce qu'est la stégano et ses applications. J'en suis content. J'espére que tu nous feras part de tes articles de fond et contributions hautement techniques, donnes nous l'exemple mon cher Jelt. On va finir par avoir peur de fournir des infos sur ce site, c'est dommage ... ca ne fait pas avancer les choses. Cordialement, Acz.
  - [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
    
    Posté par Jérôme Covini () le 15/04/2003 à 17:56. (lien). Évalué à 0.
    <machineAcafé>
    Acz, c'est Anthony Zboralsky, qui faisait de la sécu bien avant toi. Un peu de respect, que diable !
    </machineAcafé>
- [^]Applette ?
  
  Posté par Francois Revol (page perso, ) le 15/04/2003 à 18:36. (lien). Évalué à 1.
  On dit appliquette en bon françois.
  
  Btw, moi aussi je me demande quelle est la licence de se truc.
  
  A quand une RFC qui décrit la stégano sur les plummes des pigeons voyageurs ? (notez qu'il existe déja une RFC (1149) pour tuneller IP par pigeon voyageur :)
  - [^]Re: Applette ?
    
    Posté par Anonyme () le 16/04/2003 à 09:01. (lien). Évalué à 0.
    Et une RFC (2549) qui implémente la qualité de service sur la sus-dite RFC.

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par pappy (page perso, ) le 14/04/2003 à 12:09. (lien). Évalué à 41.

Contrairement à ce qui est dit dans l'article de isecurelabs, cette idée n'est pas nouvelle :

En Mars 1996, Mr Rowland publia cela :
http://www.firstmonday.dk/issues/issue2_5/rowland/(...)

Il y a qq problèmes (connus) avec cette solution.

Toujours en 1996, un article présente bcp de méthodes pour cacher des bits d'inforamtion dans les différentes couches du modèle OSI :
T. G. Handel and M. T. Sandford
Hiding Data in the {OSI} Network Model

Enfin, dans un registre légèrement différent, il y a le tunnel ICMP avec le (vieux) projet LOKI :
http://www.phrack.org/show.php?p=49&a=6(...)
http://www.phrack.org/show.php?p=51&a=6(...)

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Benoît Sibaud (Jabber id, page perso, ) le 14/04/2003 à 12:26. (lien). Évalué à 20.
Vu que le spam est à la mode, stéganographie via le spam
http://www.spammimic.com/(...) par exemple.

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par yodaz () le 14/04/2003 à 12:26. (lien). Évalué à 6.

Est ce que quelqu'un peut m'expliquer l'interet de cet outil, car je n'en vois pas trop l'interet. Autant cacher des données dans une image jpeg par exemple, et ensuite l'envoyer par ftp, ne serait ce pas plus simple ?

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par LupusMic (page perso, ) le 14/04/2003 à 13:02. (lien). Évalué à 17.
On peut dire que c'est pour le sport. Ou la recherche. N'oublie pas que des inventions inutiles (pompe optique) sont devenues incontournables (le LASER est partout).

Et pis j'ai bien rigolé ;) Rien que pour ça, ça vaut le coup d'exister !

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Larry Cow () le 14/04/2003 à 13:04. (lien). Évalué à 18.
Sauf que dans le cas où il y'a eu de précédents, il se peut que Charlie (le méchant dans toutes les histoires de crypto) essaye de retrouver l'info dans toutes les images qui passent par FTP/HTTP/*. Et puis, autant envoyer un message steganographié dans une image de vacances peut être discret, autant il y'a des cas où cela s'applique moins.

Dans ces cas-là, ça peut être plus opportun de cacher l'information dans une conversation IRC anodine (ou plus vicieux: pas anodine du tout. Comme ca Charlie loguera toute la conversation sans penser à regarder les couches du dessous).
- [+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par let antibarbie = xp <- xp - 1 (page perso, ) le 15/04/2003 à 07:24. (lien). Évalué à -1.
  Charlie ? et Jean-Kevin alors ? il a été arrêté par les chinois du FBI ?
  
  [-1] -> jesors

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Albert ARIBAUD () le 14/04/2003 à 13:08. (lien). Évalué à 7.
Est ce que quelqu'un peut m'expliquer l'interet de cet outil

Il n'y en a pas vraiment à mes yeux..

Autant cacher des données dans une image jpeg par exemple, et ensuite l'envoyer par ftp, ne serait ce pas plus simple ?

... car AMHA, la stéganographie, qui ne va pas forcément de pair avec le chiffrage, nécessite un vecteur le moins repérable possible, sachant que la quantité de données "porteuses" doit être considérablement plus grande que la quantité de données "portées".

Ce qui signifie que le trafic "porteur" doit être gros et sembler banal.

Dans ce cas, autant envoyer un JPEG en 1280x960 à 97% de qualité peut s'expliquer (il suffit que l'image contenue dans le jpg puisse présenter un intérêt :) ), autant générer un trafic TCP "porteur" de grande taille et qui n'ait pas l'air douteux va être difficile.

Albert.
- [+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par fleny68 () le 14/04/2003 à 13:10. (lien). Évalué à -1.
  Vive le p2p !
  
  --
  Non, rien
  - [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
    
    Posté par Albert ARIBAUD () le 14/04/2003 à 13:53. (lien). Évalué à 6.
    Vive le p2p !
    
    J'avais dit "qui n'ait pas l'air douteux". :)
    
    OK, je sors.
    
    Albert.

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Matthieu Moy (page perso, ) le 14/04/2003 à 13:33. (lien). Évalué à 8.
Tu peux encoder ton message dans une image jpeg, et ensuite, faire passer l'image jpeg par segTunnel ;-)
- [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par thoms (page perso, ) le 14/04/2003 à 15:25. (lien). Évalué à 5.
  Seulement un fois que tu as crypté le message avec PGP.

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par AlphA () le 14/04/2003 à 14:53. (lien). Évalué à 21.
Pour un usage commun, l'intérêt est proche de 0. Aussi intéressant pour M. Tout le monde qu'une reverse backdoor via icmp ou un cover channel dans le padding ssh.

L'intérêt peut se présenter, par exemple, si l'on recherche un moyen de communication après intrusion. Un flux http VALIDE (à base de PUT et de GET, par exemple) depuis un port de la machine compromise vers un site web externe sur le port 80 ne semble pas illégal ou douteux et passera généralement à travers un firewall. Mais si segtunnel est utilisé, on a un intéressant moyen de réaliser le transfert de fichiers importants, ou le transfert de commandes entre le serveur web (qui doit donc être controlé par le pirate) et la machine compromise.

Exemple : une fois ma backdoor en place, elle initie une connexion vers http://www.truc.eu.org(...) (donc un handshake tcp valide pour les firewalls statefull) et commence à envoyer /etc/shadow ou la base SAM ou je ne sais quoi vers le site par l'envoi régulier de commande http GET HTTP/1.0 index.html et en ignorant ce qui est renvoyé (une pauvre page web vide, par exemple). Petit à petit, coté serveur le fichier est reconstitué et le flux tcp semble valide pour un firewall et pire, semble valide pour un analyseur de flux http ! Un défaut qu'a httptunnel, qui est incapable (sans patcher) de passer à travers un proxy/analyseur tel que WebSweeper.

Dans l'autre sens, si la backdoor entretient la connexion vers le serveur du pirate par l'envoi régulier de GET HTTP/1.0 / de temps en temps, le serveur peut envoyer des commandes en utilisant lui aussi segtunnel. Un pattern particulier dans la réponse au GET (qui est aussi une session tcp) et hop, la backdoor passe en mode réception de commande, les réponses au GET suivantes contenant la commande à exécuter. Quand l'envoi de la commande est fini, la backdoor commence à envoyer la réponse toujours par le même moyen.

Maintenant cette solution est bien joli mais est mise en défaut par un proxy non transparent sauf si c'est le proxy qui est compromis. Une autre solution pour mettre cela en défaut est par exemple pf avec son option (me souvient plus du nom) permettant de modifier le paquet tcp afin par exemple d'éviter l'énumération des machines natées derrière un firewall pf.

Mais reconnaissons que l'intérêt est négligeable devant le challenge :)

La stéganographie

Posté par fleny68 () le 14/04/2003 à 12:27. (lien). Évalué à 8.

Pas de meilleur exemple que cette lettre magnifique:

http://www.securiteinfo.com/attaques/divers/steganographie.shtml(...)

--
Non, rien

[^]musset/sand : un faux probable

Posté par pappy (page perso, ) le 14/04/2003 à 12:33. (lien). Évalué à 12.
Cette lettre est très vraissemblablement un faux :

http://www.stellaweb.ch/nadar/wb/lettre_mus.htm(...)
- [^]Re: musset/sand : un faux probable
  
  Posté par fleny68 () le 14/04/2003 à 12:40. (lien). Évalué à 7.
  Ah bon?
  
  La première fois que je l'ai lue, c'était une reproduction d'une lettre manuscrite dans un "Pour la science", un article sur la stéganographie. Il y avait aussi un tableau avec du mose en brin d'herbe.
  
  Vrai ou faux, ça reste un bon exemple de stéganographie.
  
  --
  Non, rien
  - [^]Re: musset/sand : un faux probable
    
    Posté par pappy (page perso, ) le 14/04/2003 à 12:54. (lien). Évalué à 13.
    si tu parles du pour la science spécial crypto, je suis un des auteurs de l'article en question. Il se trouve que nous avions précisé que l'origine de ce texte était douteuse, mais ça a disparu à la PAO :(
    - [^]Re: musset/sand : un faux probable
      
      Posté par fleny68 () le 14/04/2003 à 13:08. (lien). Évalué à 2.
      Tu as des précision ? parce que je viens de faire une recherche sur le web et à part le site que tu donnes, j'ai pas trouvé d'allusions au fait que cela puisse-t-être un faux.
      
      (pour le pour la science, je sais plus, mais ça fait plus de trois ans.)
      
      --
      Non, rien
      - [^]Re: musset/sand : un faux probable
        
        Posté par patrick_g (page perso, ) le 14/04/2003 à 16:39. (lien). Évalué à 11.
        Hello,
        
        Ce qui est particulièrement remarquable et rigolo c'est que quand on suit vos deux liens (cf plus haut ) on tombe sur deux versions radicalement diffèrente de la réponse finale de Georges Sand =>
        
        sur http://www.securiteinfo.com/attaques/divers/ste(...)
        
        Cette grande faveur que votre ardeur réclame
        Nuit peut-être à l'honneur mais répond à ma flamme.
        
        sur http://www.stellaweb.ch/nadar/wb/lettre_mus.htm(...)
        
        Cette insigne faveur que votre coeur réclame
        Nuit à ma renommée et répugne à mon âme.
        
        alors, bordel, ça répond à sa flamme ou ça répugne à son âme ????
        
        Le suspense est insoutenable................
        
        [^]Re: musset/sand : un faux probable
        
        Posté par Larry Cow () le 14/04/2003 à 16:57. (lien). Évalué à 6.
        Ca ne change pas grand chose à sa réponse :)
        
        [^]Re: musset/sand : un faux probable
        
        Posté par sheepkiller () le 15/04/2003 à 06:00. (lien). Évalué à 2.
        De toute facon, elle a couche avec lui, il l'a trompee avec des filles de peu de vertu, et a venise elle est tombee amoureuse de son medecin.
        Ils se sont aimes, ils sont hais.
        Leurs parcours litteraires sont plein de petites piques sur leur relation, comme chez Musset "La confession d'un enfant du siecle".
        
        C'etait un petite aparte litteraire/biographique plus ou moins avenante 8-)
        
        [-1]

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Olivier (page perso, ) le 14/04/2003 à 12:51. (lien). Évalué à 5.

Elle en est où la loie sur la sécurité Interieur, ? Cette loie qui voulait que les FAI stockent les logs de connexions des Internautes, dont en autre:
- Pour les mails: Expediteur / Destinatire / Sujet du mail
- Pour l'IRC: Identifiant / adresse IP / heure de connexion
- Pour le FTP: Login / fichier téléchargé (upload ou download)
- Pour le HTTP: Url complète
- etc ..

Tout cela pour soit disant nous protéger des vilains terroristes qui seraient assez stupides pour envoyer des plans d'attaques par mails non cryptés ...

Avec une technique comme la stéganographie TCP/IP, ce genre de mesure est complètement dépassée. Les seuls gagnants seront les FAI qui pourront en toute quiétude et légalement exploiter ces masses de données.

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par LupusMic (page perso, ) le 14/04/2003 à 13:03. (lien). Évalué à 4.
Après Spy Games et Ennemy d'Etat, voici Jeu de Loie !

D'accord, je sors ... pffff ....

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par krys () le 14/04/2003 à 13:08. (lien). Évalué à 6.
Donc, nous disons :
- Plein, plein, plein de paquets IP avec des données cachées par stégano.
- On peut penser que sur un paquet IP tu n'a pas l'intégralité de tes données.
- Si tu est suffisamment parano : tu crypte les données que tue envoies.

Donc les FAI vont :
- Rechercher dans leurs logs de connexion TOUS les paquets IP correspondants.
- Les remettre dans le bon ordre.
- Extraire tous les champs incriminés.
- Les recoller bout à bout.
- Et trouver la clé de décodage de tes données (Si tu les as codées).

Sachant que cela leur rapportera sûrement moins qu'un petit sondage PHP sur leur portail.

[+] Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par adonai () le 14/04/2003 à 13:02. (lien). Évalué à -4.

Mais la steganographie, sai pas un outil de maichant terroriste ??

[ - 42 ] <- borne sup

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par Larry Cow () le 14/04/2003 à 13:05. (lien). Évalué à -1.
Tu veux dire "inf", non?
- [+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par fleny68 () le 14/04/2003 à 13:12. (lien). Évalué à -1.
  s'il veut dire sup, c'est que on ne peut pas lui mettre plus. Il faut qu'il finisse
  à -43 pour qu'il soit content.
  
  --
  Non, rien

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par XHTML/CSS inside (page perso, ) le 14/04/2003 à 13:08. (lien). Évalué à 0.
Le problème est de savoir où met-on la différence (la limite) entre un méchant terroriste et qqu'un qui veut juste garder un certain anonymat ?

Encore une fois, ce n'est pas la technologie qui est mauvaise, c'est l'utilisation que l'on en fait...

--
In tartiflette we trust !
- [+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP
  
  Posté par fleny68 () le 14/04/2003 à 13:15. (lien). Évalué à -1.
  Si la technologie est mauvaise. Elle est mise à notre disposition par le méchant BigBrother pour quon s'en serve et qu'il en profite pour nous surveiller. Mais nous sommes plus malin que lui. Nous nous en servons comme si nous ne le savions pas, et lui cherche des messages cachés dans chaque message anodin.
  
  Gloire à de Saussure et à ses successeurs!
  
  --
  Non, rien

Question au posteur

Posté par Olivier Jeannet () le 14/04/2003 à 16:05. (lien). Évalué à 8.

Je suis totalement hors sujet, mais je me pose la question depuis quelques news.

Le texte de celle-ci comporte des caractères non standards, dans la zone 128-159 (0x92 = 146 pour être précis), ce caractère étant affiché comme apostrophe sous Mozilla mais pas sous tous les navigateurs. En principe la page n'est pas conforme car ce caractère n'appartient pas au domaine iso-8859-1 (mais au Windows-bidule je crois). Je suppose que le rédacteur a fait un copier/coller depuis Word ou un truc comme ça, en tous cas je me demande comment c'est possible.

Merci de vos éclaircicements.

Revenir en haut de page

Articles précédents : Articles

Liens connexes

Dépêche modérée par

Articles : Stegtunnel, la stéganographie appliquée au TCP/IP

[+] Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Applette ?

[^]Re: Applette ?

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

La stéganographie

[^]musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

[^]Re: musset/sand : un faux probable

Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

[+] [^]Re: Stegtunnel, la stéganographie appliquée au TCP/IP

Question au posteur