[Outofthebox] Mind Proxying?

[Angelo Dell'Aera]

Quando inizia una nuova settimana lavorativa di solito si tende ad
essere assaliti dalla malinconia e anche questo lunedi' non e'
diverso da tanti altri passati.

Durante questo fine settimana mi e' capitato di riflettere su alcune
questioni che alcuni considereranno trite e ritrite ma che non
smettono mai di suscitare scintillii nella mia povera mente deviata.

Ho ripreso in mano un vecchio paper di Maximiliano Caceres di Core
Security sulla tecnica del Syscall Proxying

www.coresecurity.com/files/files/11/SyscallProxying.pdf

L'ho riletto con interesse e forse l'ho apprezzato piu' adesso della
prima volta che mi era capitato di leggerlo tempo fa. Certo l'idea di
utilizzare un server stub shellcode invece di una classica bindshell
alla fine non suona come nulla di particolarmente nuovo per chi abbia
almeno una volta nella vita sentito parlare di RPC ma l'idea di proxare
una syscall su un host remoto mediante un meccanismo RPC-like mi e'
sembrata quanto meno acuta.

Poi ci ho ripensato un attimo. Mi e' venuta in mente l'associazione tra 
Caceres e Core Impact. Forse ci ho messo troppo tempo ma alla fine
forse ho capito e mi sono sentito anche un po' stupido a non averci
pensato prima. 

Questa tecnica e' utile soltanto se ci si riscrive tutti i tool che si
usano di solito durante un'attivita' di penetration test in modo che
essi utilizzino il client stub. Lo vedo quel tipo li' in fondo che si
sbraccia e che grida a gran voce LD_PRELOAD ma faro' finta di non
vederlo e portero' avanti le mie ipotesi con gli occhi ben coperti da
una fetta di prosciutto.

Chi si riscriverebbe qualsiasi tool per poter proxare una syscall
mediante un client stub su un sistema compromesso? Certo e' comodo 
ma nessuno mi venga a dire che e' davvero cosi' essenziale quindi
tendenzialmente io non lo farei. 

Ma qualcuno l'ha fatto. Qualcuno che trova potenzialmente utile poter
ridurre un'attivita' di penetration test a una GUI punta e clicca tale
da far sentire anche il novellino un esperto pentester. Core Impact
tanto per fare nomi e cognomi.

A questo punto mi sento assalire da una certa sensazione di fastidio.
Non so quale sia il motivo di questo mio astio ma mi succede sempre
ogni volta che vedo prodotti che fanno tutto in maniera automatizzata e
che innescano in taluni personaggi la sensazione che saperne di
security sia questione di acrobazie di mouse e che "con Core Impact si
buca tutto" (cit.). 

Con tutto questo non intendo dire che voglio boicottare Core
Impact. Forse un giorno lo provero' e magari lo trovero' anche utile
per il mio lavoro. Quello che intendo dire e' che qualche anno fa
chi si limitava a utilizzare tool senza metterci un pizzico di
cervello lo chiamavamo kiddie e forse ci andavamo anche piu' sul
pesante. Perche' adesso dovrei considerare "pentester" una persona 
che usa Core Impact e che non ha minimamente idea di come funzioni
un exploit?
    

-- 

Angelo Dell'Aera 'buffer' 
Antifork Research, Inc.	  	http://buffer.antifork.org
Metro Olografix

PGP information in e-mail header


-------------- parte successiva --------------
Un allegato non testuale è stato rimosso....
Nome:        signature.asc
Tipo:        application/pgp-signature
Dimensione:  198 bytes
Descrizione: non disponibile
Url:         https://www.olografix.org/mailman/private/outofthebox/attachments/20061211/4c416fb4/attachment.bin