Stegtunnel, la stéganographie appliquée au TCP/IP

Posté par  . Modéré par Amaury.
Étiquettes : aucune
0
14
avr.
2003
Sécurité
La stéganographie est l’art de cacher des données dans d’autres données. Cacher un texte dans une image, une image dans un fichier musical, une image dans une autre image, bref les possibilités sont nombreuses et l’équipe de développement de SynAckLabs ouvre de nouveaux horizons aux applications stéganographiques. En effet, celle-ci développe StegTunnel, un outil permettant de transmettre des données cachées dans les champs IPID et Numéros de séquence utilisés lors de connexions TCP.

Aller plus loin

  • # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

    Posté par  . Évalué à -10.

    2 phrases sur 3 proviennent de l'article. Quel travail de fond!

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  . Évalué à 10.

      Bon, OK, je me prends les [-], je le mérite.

      Mais sans déconner, cette news est inutile dans la forme approuvée. Pas d'infos quelconques sur la licence par exemple (GPL, BSD, propriétaire, Obiwan Kenobi?), aucune réflexion de l'auteur sur les utilités de ce logiciel, ni même de présentation des autres trucs de tunneling. Tout ça pour gagner 5 malheureux XP...

      Ah non, je viens de comprendre. C'était juste pour faire connaître la société "isecurelabs" (et le site Web, avec la belle applette Java)... Ben oui, regardez bien l'email du monsieur qui a posté la news...

      C'est pas une news, c'est de la publi-information (bien bien pire que celle de matiasf soit dit en passant, qui au moins donne de bonnes infos techniques sur RH).

      • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

        Posté par  . Évalué à 7.

        Salut, Je suis le Monsieur en question. J'ai proposé cet article pour faire connaitre cet outils que je trouve original. Le but de cet article n'etait pas d'étudier ce tool de fond en comble mais juste de donner l'information aux lecteurs, leur dire que ca existe. Pour info, isecurelabs.com n'est pas une société, ce n'est juste que mon modeste site perso. Enfin, si ce genre d'article ne te convient pas, tu n'es pas obligé de le lire. Je pense que linuxfr est assez ouvert pour tout le monde et il y a de la place pour tous et toutes les infos interessantes. Les différents commentaire ont surment premis à de nombreuses personnes de découvrire ce qu'est la stégano et ses applications. J'en suis content. J'espére que tu nous feras part de tes articles de fond et contributions hautement techniques, donnes nous l'exemple mon cher Jelt. On va finir par avoir peur de fournir des infos sur ce site, c'est dommage ... ca ne fait pas avancer les choses. Cordialement, Acz.

      • [^] # Applette ?

        Posté par  (site web personnel) . Évalué à 1.

        On dit appliquette en bon françois.

        Btw, moi aussi je me demande quelle est la licence de se truc.

        A quand une RFC qui décrit la stégano sur les plummes des pigeons voyageurs ? (notez qu'il existe déja une RFC (1149) pour tuneller IP par pigeon voyageur :)

        • [^] # Re: Applette ?

          Posté par  . Évalué à 0.

          Et une RFC (2549) qui implémente la qualité de service sur la sus-dite RFC.

  • # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

    Posté par  (site web personnel) . Évalué à 10.

    Contrairement à ce qui est dit dans l'article de isecurelabs, cette idée n'est pas nouvelle :

    En Mars 1996, Mr Rowland publia cela :
    http://www.firstmonday.dk/issues/issue2_5/rowland/(...)

    Il y a qq problèmes (connus) avec cette solution.

    Toujours en 1996, un article présente bcp de méthodes pour cacher des bits d'inforamtion dans les différentes couches du modèle OSI :
    T. G. Handel and M. T. Sandford
    Hiding Data in the {OSI} Network Model


    Enfin, dans un registre légèrement différent, il y a le tunnel ICMP avec le (vieux) projet LOKI :
    http://www.phrack.org/show.php?p=49&a=6(...)
    http://www.phrack.org/show.php?p=51&a=6(...)

  • # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

    Posté par  . Évalué à 6.

    Est ce que quelqu'un peut m'expliquer l'interet de cet outil, car je n'en vois pas trop l'interet. Autant cacher des données dans une image jpeg par exemple, et ensuite l'envoyer par ftp, ne serait ce pas plus simple ?

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  (site web personnel, Mastodon) . Évalué à 10.

      On peut dire que c'est pour le sport. Ou la recherche. N'oublie pas que des inventions inutiles (pompe optique) sont devenues incontournables (le LASER est partout).

      Et pis j'ai bien rigolé ;) Rien que pour ça, ça vaut le coup d'exister !

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  . Évalué à 10.

      Sauf que dans le cas où il y'a eu de précédents, il se peut que Charlie (le méchant dans toutes les histoires de crypto) essaye de retrouver l'info dans toutes les images qui passent par FTP/HTTP/*. Et puis, autant envoyer un message steganographié dans une image de vacances peut être discret, autant il y'a des cas où cela s'applique moins.

      Dans ces cas-là, ça peut être plus opportun de cacher l'information dans une conversation IRC anodine (ou plus vicieux: pas anodine du tout. Comme ca Charlie loguera toute la conversation sans penser à regarder les couches du dessous).

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  . Évalué à 7.

      Est ce que quelqu'un peut m'expliquer l'interet de cet outil

      Il n'y en a pas vraiment à mes yeux..

      Autant cacher des données dans une image jpeg par exemple, et ensuite l'envoyer par ftp, ne serait ce pas plus simple ?

      ... car AMHA, la stéganographie, qui ne va pas forcément de pair avec le chiffrage, nécessite un vecteur le moins repérable possible, sachant que la quantité de données "porteuses" doit être considérablement plus grande que la quantité de données "portées".

      Ce qui signifie que le trafic "porteur" doit être gros et sembler banal.

      Dans ce cas, autant envoyer un JPEG en 1280x960 à 97% de qualité peut s'expliquer (il suffit que l'image contenue dans le jpg puisse présenter un intérêt :) ), autant générer un trafic TCP "porteur" de grande taille et qui n'ait pas l'air douteux va être difficile.

      Albert.

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  (site web personnel) . Évalué à 8.

      Tu peux encoder ton message dans une image jpeg, et ensuite, faire passer l'image jpeg par segTunnel ;-)

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  . Évalué à 10.

      Pour un usage commun, l'intérêt est proche de 0. Aussi intéressant pour M. Tout le monde qu'une reverse backdoor via icmp ou un cover channel dans le padding ssh.

      L'intérêt peut se présenter, par exemple, si l'on recherche un moyen de communication après intrusion. Un flux http VALIDE (à base de PUT et de GET, par exemple) depuis un port de la machine compromise vers un site web externe sur le port 80 ne semble pas illégal ou douteux et passera généralement à travers un firewall. Mais si segtunnel est utilisé, on a un intéressant moyen de réaliser le transfert de fichiers importants, ou le transfert de commandes entre le serveur web (qui doit donc être controlé par le pirate) et la machine compromise.

      Exemple : une fois ma backdoor en place, elle initie une connexion vers http://www.truc.eu.org(...) (donc un handshake tcp valide pour les firewalls statefull) et commence à envoyer /etc/shadow ou la base SAM ou je ne sais quoi vers le site par l'envoi régulier de commande http GET HTTP/1.0 index.html et en ignorant ce qui est renvoyé (une pauvre page web vide, par exemple). Petit à petit, coté serveur le fichier est reconstitué et le flux tcp semble valide pour un firewall et pire, semble valide pour un analyseur de flux http ! Un défaut qu'a httptunnel, qui est incapable (sans patcher) de passer à travers un proxy/analyseur tel que WebSweeper.

      Dans l'autre sens, si la backdoor entretient la connexion vers le serveur du pirate par l'envoi régulier de GET HTTP/1.0 / de temps en temps, le serveur peut envoyer des commandes en utilisant lui aussi segtunnel. Un pattern particulier dans la réponse au GET (qui est aussi une session tcp) et hop, la backdoor passe en mode réception de commande, les réponses au GET suivantes contenant la commande à exécuter. Quand l'envoi de la commande est fini, la backdoor commence à envoyer la réponse toujours par le même moyen.

      Maintenant cette solution est bien joli mais est mise en défaut par un proxy non transparent sauf si c'est le proxy qui est compromis. Une autre solution pour mettre cela en défaut est par exemple pf avec son option (me souvient plus du nom) permettant de modifier le paquet tcp afin par exemple d'éviter l'énumération des machines natées derrière un firewall pf.

      Mais reconnaissons que l'intérêt est négligeable devant le challenge :)

  • # La stéganographie

    Posté par  . Évalué à 8.

    Pas de meilleur exemple que cette lettre magnifique:

    http://www.securiteinfo.com/attaques/divers/steganographie.shtml(...)

    • [^] # musset/sand : un faux probable

      Posté par  (site web personnel) . Évalué à 10.

      Cette lettre est très vraissemblablement un faux :

      http://www.stellaweb.ch/nadar/wb/lettre_mus.htm(...)

      • [^] # Re: musset/sand : un faux probable

        Posté par  . Évalué à 7.

        Ah bon?

        La première fois que je l'ai lue, c'était une reproduction d'une lettre manuscrite dans un "Pour la science", un article sur la stéganographie. Il y avait aussi un tableau avec du mose en brin d'herbe.

        Vrai ou faux, ça reste un bon exemple de stéganographie.

        • [^] # Re: musset/sand : un faux probable

          Posté par  (site web personnel) . Évalué à 10.

          si tu parles du pour la science spécial crypto, je suis un des auteurs de l'article en question. Il se trouve que nous avions précisé que l'origine de ce texte était douteuse, mais ça a disparu à la PAO :(

          • [^] # Re: musset/sand : un faux probable

            Posté par  . Évalué à 2.

            Tu as des précision ? parce que je viens de faire une recherche sur le web et à part le site que tu donnes, j'ai pas trouvé d'allusions au fait que cela puisse-t-être un faux.

            (pour le pour la science, je sais plus, mais ça fait plus de trois ans.)

            • [^] # Re: musset/sand : un faux probable

              Posté par  (site web personnel) . Évalué à 10.

              Hello,

              Ce qui est particulièrement remarquable et rigolo c'est que quand on suit vos deux liens (cf plus haut ) on tombe sur deux versions radicalement diffèrente de la réponse finale de Georges Sand =>

              sur http://www.securiteinfo.com/attaques/divers/ste(...)

              Cette grande faveur que votre ardeur réclame
              Nuit peut-être à l'honneur mais répond à ma flamme.

              sur http://www.stellaweb.ch/nadar/wb/lettre_mus.htm(...)

              Cette insigne faveur que votre coeur réclame
              Nuit à ma renommée et répugne à mon âme.


              alors, bordel, ça répond à sa flamme ou ça répugne à son âme ????

              Le suspense est insoutenable................

              • [^] # Re: musset/sand : un faux probable

                Posté par  . Évalué à 6.

                Ca ne change pas grand chose à sa réponse :)

              • [^] # Re: musset/sand : un faux probable

                Posté par  . Évalué à 2.

                De toute facon, elle a couche avec lui, il l'a trompee avec des filles de peu de vertu, et a venise elle est tombee amoureuse de son medecin.
                Ils se sont aimes, ils sont hais.
                Leurs parcours litteraires sont plein de petites piques sur leur relation, comme chez Musset "La confession d'un enfant du siecle".

                C'etait un petite aparte litteraire/biographique plus ou moins avenante 8-)

                [-1]

  • # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

    Posté par  (site web personnel) . Évalué à 5.

    Elle en est où la loie sur la sécurité Interieur, ? Cette loie qui voulait que les FAI stockent les logs de connexions des Internautes, dont en autre:
    - Pour les mails: Expediteur / Destinatire / Sujet du mail
    - Pour l'IRC: Identifiant / adresse IP / heure de connexion
    - Pour le FTP: Login / fichier téléchargé (upload ou download)
    - Pour le HTTP: Url complète
    - etc ..

    Tout cela pour soit disant nous protéger des vilains terroristes qui seraient assez stupides pour envoyer des plans d'attaques par mails non cryptés ...

    Avec une technique comme la stéganographie TCP/IP, ce genre de mesure est complètement dépassée. Les seuls gagnants seront les FAI qui pourront en toute quiétude et légalement exploiter ces masses de données.

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  (site web personnel, Mastodon) . Évalué à 4.

      Après Spy Games et Ennemy d'Etat, voici Jeu de Loie !

      D'accord, je sors ... pffff ....

    • [^] # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

      Posté par  . Évalué à 6.

      Donc, nous disons :
      - Plein, plein, plein de paquets IP avec des données cachées par stégano.
      - On peut penser que sur un paquet IP tu n'a pas l'intégralité de tes données.
      - Si tu est suffisamment parano : tu crypte les données que tue envoies.

      Donc les FAI vont :
      - Rechercher dans leurs logs de connexion TOUS les paquets IP correspondants.
      - Les remettre dans le bon ordre.
      - Extraire tous les champs incriminés.
      - Les recoller bout à bout.
      - Et trouver la clé de décodage de tes données (Si tu les as codées).

      Sachant que cela leur rapportera sûrement moins qu'un petit sondage PHP sur leur portail.

  • # Re: Stegtunnel, la stéganographie appliquée au TCP/IP

    Posté par  . Évalué à -4.

    Mais la steganographie, sai pas un outil de maichant terroriste ??

    [ - 42 ] <- borne sup

  • # Question au posteur

    Posté par  . Évalué à 8.

    Je suis totalement hors sujet, mais je me pose la question depuis quelques news.

    Le texte de celle-ci comporte des caractères non standards, dans la zone 128-159 (0x92 = 146 pour être précis), ce caractère étant affiché comme apostrophe sous Mozilla mais pas sous tous les navigateurs. En principe la page n'est pas conforme car ce caractère n'appartient pas au domaine iso-8859-1 (mais au Windows-bidule je crois). Je suppose que le rédacteur a fait un copier/coller depuis Word ou un truc comme ça, en tous cas je me demande comment c'est possible.

    Merci de vos éclaircicements.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.