Keynote SSTIC 2009 – IpMorph : Unification de la mystification de prise d’empreinte

Présentation : Guillaume PRIGENT, Fabrice HARROUET

Détection active d’empreinte:
Des stimuli sont émis, et les réponses sont analysées pour y retrouver un pattern connu.

Détection passive d’empreinte:
L’écoute réseau peut aussi suffire à identifier des patterns (présence d’une sonde sur un réseau, ou sur un hôte).

L’outil présenté permet de cacher ces patterns, en les modifiant pour refléter une autre identité. Il est placé en coupure sur un un réseau physique ou virtuel.

3 catégories de mystification sont identifiées:

  1. Le filtrage
  2. La configuration et modification de pile TCP/IP (host based)
  3. Substitution de pile TCP/IP (proxy behaviour)

IpMorph se situe dans la 3e catégorie. Codé en C++, utilisé en « userland » et portable Linux / BSD  / Mac OS, et sous GPLv3.

Il est capable de travailler de l’Ethernet jusqu’a TCP.

Le but étant de tromper les fingerprinters avec un taux de 100%, il fallait donc comprendre tous leurs systèmes, et les utiliser (le produit embarque toutes les signatures pour les combiner de la manière voulue, afin de refléter une autre identité).

L’outil, bien que détectable, fonctionne sur tous les fingerprinters, cachant ainsi les réelles informations aux éventuels attaquants.