#tcp

57b731e9@nerdpol.ch

Third preliminary draft

Minus Protocol Specification

The Name of the Minus Protocol

The name Minus was inspired by Gopher Plus. Gopher Plus added features to Gopher; Minus subtracts features from Gopher.

Minus Transactions

Server: listens for TCP connections on port 1990
Client: opens a TCP connection to the server on port 1990
Server: accepts the TCP connection
Client: sends a file specifier that specifies the file to be downloaded
Server: sends the requested file or a UTF-8 text message explaining why the specified file was not sent
Server: closes the TCP connection

The specifier is one line of text which can contain only the characters inside the following quotation marks.

"ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz 0123456789-_/."

If the specifier is / or zero-length, the specifier will default to index.minus. This is similar to index.html in HTTP.

The error message mentioned above should be UTF-8 text with \n at the end of lines, and not \r\n.

There must be no other communication between the server and client. Notice that no information about the client is sent to the server.

Security

Minus is insecure unless TLS is used or the server is run as a Tor Onion Service. Running as a Tor Onion Service is preferred because it makes everything easier. No registration of a domain name is necessary, no TLS certificate is required, and both server and client are easier to implement without TLS.

If TLS is used, the scheme in the URL should be minuss:// instead of minus://.

Minus URL Format

Here is an example of a Minus URL.

minus://vdvfh9y003nvebcctyc67mnpl1fuvfayoh2qzyo9ksyj3m1so5idkyef.onion/index.minus

(There is not a server at this domain. This is just an example.)

This has three parts: the protocol (or scheme) minus://, the host (an FQDN or an IP address) vdvfh9y003nvebcctyc67mnpl1fuvfayoh2qzyo9ksyj3m1so5idkyef.onion, and /index.minus (the specifier sent by the client to the server). See the section above for the complete list of characters allowed in a specifier.

Minus URLs in .minus documents should be selectable links that open the specified document. In a GUI client, these should be clickable.

If TLS is used, the scheme in the URL should be minuss:// instead of minus://.

Names of Files

The client must use the specifier that specified the file as its name, even though the file may be saved on the server with a different name. The client will not know what directories and files are on the server, nor how directories there are structured.

The .minus File Type

Files with the .minus filename extension should be UTF-8 text files. The server should not limit the line length of lines in these files (as in Gopher). However, the client should.

Lines in .minus files should end with \n and not \r\n.

The client should recognize URLs in the text of .minus files and make them easily selectable. Selecting them should download the specified file. If the file downloaded is a .minus file, it should be displayed. If it is a .txt, .text, or .asc file, it should also be displayed, but without necessarily making URLs in the text selectable. All other files should be downloaded and saved to mass storage, unless the client is also a browser for other file types (for example, .html).

Minus does not allow for embedding other files in a .minus file such that they are displayed in the same window as the text. No URLs in the text should ever be automatically downloaded.

Display of Text in .minus Files

How the text of .minus files is displayed should be controlled by the client and its user. However, the text of the .minus file may indicate, with markings, what functions parts of the text play in the document.

For example, the text could indicate what lines of the document are headings and subheadings. This could be done by beginning the line with a # or more than one #, followed by a space. The client and its user could decide how headings should be displayed. Similarly, the ` could indicate the beginning and end of a code snippet, and the client could display these snippets differently from the rest of the text.

It is also acceptable for the client not to display marked text or markings differently from the rest of the text.

Minus Compared to Gopher, Gemini, and HTTP

Gemini is meant to be less complex and easier to implement than HTTP, but more complex than Gopher. Minus, on the other hand, is meant to be less complex and easier to implement than all of these others, including Gopher.

This simplicity is essential if the Internet is to, once again, become human-friendly.

HTTPS 1.1 and HTML5 are so complex that no single person can implement a server or a client that supports the entire HTTPS 1.1 and HTML5 standards. In fact it requires a large team of people to do so. It is, therefore, not surprising that there very few clients or servers not based on some other client or server.

Because complexity is the enemy of security, this software is also insecure.

Perhaps the worst problem with HTTP 1.1 and HTML5 is the way, by design, that they spy on users of HTTPS 1.1 clients. In Minus, the only information communicated by the client to the server is the specifier that specifies the file to be downloaded. This is very different from HTTPS 1.1. Even worse, HTTPS 1.1 allows the server to download and store information on the client machine that is not explicitly requested by the user.

When I implemented my own Gopher server, I found that even Gopher has complexity I do not need or want. This is why I am doing this.

This document is 988 words long. The official Gopher specification is 5395 words long. The official HTTP 1.1 specification is 61904 words long.

#internet #protocol #tcp #file-server #hypertext #http #gemini #gopher #minus #minus-protocol

aktionfsa@diasp.eu

Internet robuster als gedacht

Vorteile eines paketvermittelnden Netzes

Viele hatten gedacht, dass ein Krieg mit der Ausschaltung der Kommunikationsinfrastruktur des Gegeners beginnt und umso erstaunter sieht man nach einem Monat noch immer ein funktionierendes Internet in der Ukraine, sowohl über Kabel als auch mobil.

Von dem Hackerangriff auf den KA-Sat Satelliten der US-amerikanischen Firma Viasat am 24.2. hatten wir berichtet. Auch sind verschiedene Antennenanlagen zerstört worden und mehrfach auch Gebäude in denen Router verschiedene Stränge des Internets verbinden.

Zum einen sind weiterhin Techniker der verschiedenen ukrainischen Internet Anbieter unterwegs und reparieren Ausfälle notdürftig. Viel entscheidender ist jedoch die vor etwa 50 Jahren vom US Militär, zuerst ab 1968 unter dem Namen ARPA-Net, entwickelte Struktur des Internets. Das zugrundeliegende Netzwerk-Protokoll TCP/IP (Transport Control Protocol) baut auf ein vermaschtes Netz, in dem es im Netz viele Wege zu einem Knoten gibt und die Datenpakete nur ihren Weg dorthin finden müssen.

Sascha Lobo kennzeichnet in seiner Kolumne im Spiegel das Netz so: Die TCP-Entwickler gehen davon aus, dass das Netzwerk selbst dabei eher »dumm« sein sollte und dafür die Endgeräte intelligent. Das verschiebt die Kontrolle über das Netzgeschehen drastisch in Richtung der Endanwender und erlaubt sogar, vergleichsweise einfach ganz unterschiedliche Teilnetze miteinander zu verbinden.

Im Gegensatz zu einem solchen Netzaufbau stand in den 80-iger Jahren die Ansicht der in der ITU (International Telecommunication Union) verbundenen Telekomunikationsunternehmen fast aller Staaten, dass

  • das Netz diesen Unternehmen gehört,
  • sie jeweils ein Leitung zwischen zwei Kunden schalten und diese darüber verbinden und abrechnen.

Das von der ITU favorisierte Protokoll hieß X.25 und kann im Gegensatz zum TCP/IP als hochkomplex - aber trotzdem nicht intelligent - bezeichnet werden. Der Autor dieses Artikel erinnert sich noch gut an die Anschaffung eines X.25 Vorrechners für einen IBM Computer (3,5m*1,5m*0,75m) Mitte der 80-iger Jahre zum Preis von über 100.000DM - nur um diesen ins "Netz" zu bekommen. Nur 10 Jahre später reichte eine TCP/IP-LAN Steckkarte für ungefähr 100DM - Preis inzwischen um 10€.

Das Internetprotokoll TCP/P hat sich gegen den erbitterten Widerstand der Telekomunikationsunternehmen durchgesetzt und ihrer Macht ein Ende gesetzt. Sie bestimmten vorher, welche Geräte überhaupt mit dem Netz verbunden werden durften und waren die alleinigen Anbieter von Telekomunikationsdienstleistungen. Damit war es dann Mitte der 90-iger Jahre zu Ende. Auf die scheinbare "Demokratisierung" des Netzes folgte dann der Aufstieg und die Konzentration der Inhalts-Anbieter in den Händen von US Konzernen.

Zurück in die Ukraine: Das vielseitig vermaschte Netz diverser (privater) Internetanbieter ist bis auf wenige Stunden nach der Zerstörung einzelner Knoten weiter nutzbar. Die Datenpakete finden weiterhin irgendeinen Weg zu ihrem jeweiligen Ziel - der Vorteil von Paketvermittlung gegenüber Leitungsvermittlung ist offensichtlich - auch warum die Entwicklung für das US Militär so wichtig war.

Der Nachteil für die Nutzer eines paketvermittelnden Netzes soll natürlich nicht verschwiegen werden: In der Leitungsvermittlung muss der Lauscher die Leitung anzapfen, um eine Kommunikation zu belauschen - bei der Paketvermittlung sind die Datenpakete in den beteiligten Subnetzen und an allen Knotenpunkten, die sie passieren mitzulesen.

Diesen Nachteil für die Nutzer kann jetzt der ukrainischen Geheimdienst zu seinem Vorteil nutzen, der immer wieder militärische Kommunikation der russischen Streitkräfte abfangen kann, weil diese offenbar über ukrainische Infrastrukturen abgewickelt wird.

Mehr dazu bei https://www.spiegel.de/netzwelt/netzpolitik/ukraine-krieg-warum-das-ukrainische-internet-noch-immer-laeuft-kolumne-a-de27cbdd-8431-4471-8d98-720d38190263
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/7977-20220405-internet-robuster-als-gedacht.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/7977-20220405-internet-robuster-als-gedacht.htm
Tags: #Internet #TCP #X.25 #Geheimdienste #Hacking #Cyberwar #Rusland #Ukraine #Ausfallsicherheit #Leitungsvermittlung #Paketvermittlung #USA #Militär #Aufrüstung #Frieden #Krieg

prplcdclnw@diasp.eu

DDoSers are using a potent new method to deliver attacks of unthinkable size

Basically, "middleboxes" used for censorship are being used for DDoSing.

https://arstechnica.com/information-technology/2022/03/unending-data-floods-and-complete-resource-exhaustion-ddoses-get-meaner/

These servers—known as middleboxes—are deployed by nation-states such as China to censor restricted content and by large organizations to block sites pushing porn, gambling, and pirated downloads. The servers fail to follow transmission control protocol specifications that require a three-way handshake—comprising an SYN packet sent by the client, an SYN+ACK response from the server, followed by a confirmation ACK packet from the client—before a connection is established.

#internet #ddos #middlebox #censorship #site-blocking #tcp #networks #sites #websites

legeneralmidi@diaspora.psyco.fr

Des chercheurs en sécurité ont découvert CronRAT, un nouveau cheval de Troie d'accès à distance (RAT) furtif conçu pour attaquer les systèmes Linux
Se cachant sous la forme d'une tâche planifiée

Des chercheurs en sécurité ont découvert un nouveau #chevaldeTroie d'accès à distance (RAT) furtif, conçu pour attaquer les systèmes Linux. Baptisé CronRAT, ce malware cible actuellement les boutiques en ligne et permet aux attaquants de voler des données de cartes de crédit en déployant des #skimmers de paiement en ligne sur les serveurs Linux.

Les chercheurs de Sansec avertissent que CronRAT "permet le vol de données Magecart côté serveur en contournant les solutions de sécurité basées sur le navigateur". C'est un phénomène particulièrement préoccupant.

CronRAT est décrit comme "une menace sophistiquée, dotée de techniques furtives inédites", et Sansec affirme que son mode de fonctionnement signifie qu'elle ne sera pas reconnue par les autres sociétés de sécurité avant un certain temps.

L'entreprise explique : "Sansec a découvert que CronRAT était présent sur plusieurs magasins en ligne, dont le plus grand magasin du pays. En raison de son exécution inédite, nous avons dû réécrire une partie de notre algorithme eComscan afin de le détecter. CronRAT n'est actuellement pas détecté par les autres fournisseurs de sécurité".

La société de #sécurité poursuit :

"La principale prouesse de CronRAT est de se cacher dans le sous-système calendrier des serveurs Linux ("cron") un jour inexistant. De cette façon, il n'attire pas l'attention des administrateurs de #serveurs. Et de nombreux produits de sécurité n'analysent pas le système cron de Linux.
CronRAT facilite le contrôle persistant d'un serveur de #commerceélectronique. Sansec a étudié plusieurs cas où la présence de CronRAT a conduit à l'injection de skimmers de paiement (alias Magecart) dans le code côté serveur."

Le CronRAT ajoute un certain nombre de tâches à la crontab avec une curieuse spécification de date : 52 23 31 2 3. Ces lignes sont syntaxiquement valides, mais génèrent une erreur d'exécution lorsqu'elles sont exécutées. Cependant, cela ne se produira jamais car elles sont programmées pour être exécutées le 31 février. Au lieu de cela, le véritable code du malware est caché dans les noms des tâches et est construit en utilisant plusieurs couches de compression et de décodage base64.

La véritable charge utile de CronRAT est un "programme #Bash sophistiqué qui se caractérise par l'autodestruction, la modulation du temps et un protocole binaire personnalisé pour communiquer avec un serveur de contrôle étranger".

De plus, la connexion se fait sur #TCP via le port 443 en utilisant une fausse bannière pour le service SSH #Dropbear, ce qui permet également au malware de rester sous le radar.

Après avoir contacté le #serveur C2, le déguisement tombe, envoie et reçoit plusieurs commandes, et obtient une bibliothèque dynamique malveillante. À la fin de ces échanges, les attaquants derrière CronRAT peuvent exécuter n'importe quelle #commande sur le #système compromis.

#CronRAT a été trouvé sur plusieurs magasins à travers le monde, où il a été utilisé pour injecter sur le serveur des scripts qui volent les données des #cartesdePaiement - les attaques dites #Magecart.

#Sansec décrit le nouveau #malware comme "une menace sérieuse pour les serveurs de commerce électronique #Linux", en raison de ses capacités :

  • Exécution sans fichier
  • Modulation du temps
  • Sommes de contrôle anti-tampering
  • Contrôle via un protocole binaire et obscurci
  • Lancement d'un #RAT en tandem dans un sous-système Linux distinct.
  • Serveur de contrôle déguisé en service "Dropbear #SSH". -Charge utile cachée dans les noms de tâches programmées #CRON légitimes.

Toutes ces caractéristiques rendent CronRAT pratiquement indétectable. Sur le service d'analyse #VirusTotal, 12 moteurs #antivirus ont été incapables de traiter le fichier malveillant et 58 d'entre eux ne l'ont pas détecté comme une menace.

Source : Sansec

#virus #troyen #cybersécurité #piratage #hacking