Útoky na SSH mění strategii

Pokud máte stroj se v Internetu, na který se přihlašujete přes SSH, tak jste se jistě setkali s hromadnými pokusy o uhádnutí hesla. Možná jste si nastavili nějaký systém pro detekci a odražení útoku. Pak si raději projděte logy, protože váš systém se asi již několik dnů míjí účinkem.

Sám používám bezpečnostní modul pam_abl, který sleduje frekvenci útočících strojů a po překročení jistého počtu chybných přihlášení z téže adresy učiní tomuto řádění přítrž. Nakonec napojený skript zašle hlášení o incidentu jabberem.

Avšak poslední dobou mi přestaly zprávy chodit. Ne, útočníky si neodnesl ani čert, ani neprozřeli. Změnila se taktika útoku, na kterou je můj detekční systém krátký.

Na první pohled to vypadá jako internetový šum, ale na druhý, poté co se zaměříte na posloupnost přihlašovacích jmen, lze vypozorovat pravidelnost.

Uzly botnetu nyní spolu komunikují a vedou koordinovaný útok, snažíce se zakrýt svoje stopy příkrovem adresního prostoru a času. Prozrazují je jen účty.

Obávám se, že pokud četnost těchto útoků stoupne na tolik, že jeden stroj bude pod palbou několika botnetů ve stejný okamžik, i sloupec s uživatelskými jmény ztratí na pravidelnosti, a tak útok snáze unikne bedlivému oku správce.

Tímto vyzývám obecenstvo, aby potvrdilo či vyvrátilo mé domněnky a navrhlo spravedlivý systém pro odhalování těchto útoků.

Anketa

Komentáře

Utoci na me od minule nedele. Nasbiral jsem zatim neco pres 800 unikatnich IP, ktere uz blokuji pro SSH. Jestli si nekdo chce usetrit namahu, rad poskytnu cerstvy seznam.

Podle me ti boti ani tak moc komunikovat nemusi. Na me zkusi 2 jmena a pak si da minimalne hodinu pokoj, jestli ma kazdy uzel svoji mnozinu jmen, komunikovat nemusi, protoze ne prekryvaji. No a vcase, kdy to nezkousi na me, to zkousi na jine servery - to uz mam potvrzeno z jineho serveru.

Momentalne to vyresim tak, ze na SSH se pujde pripojit jen z konkretnich IP adres a pak si na par mistech pustim SSH na nejake naprosto nestandardnim portu, pripadne k tomu pouziju port randomizer. Ma nekdo nejake napady?

GUI existuje jen proto, aby se veslo vice terminalu na jednu obrazovku ...

9.9.2008 17:34 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Používat místo hesla klíče, na port 22 pověsit falešné ssh s nějakým virtuálním pískovištěm a kouknout se, co bude bot dělat, když uspěje? Poté analyzovat úpravy, které bot provedl, komunikační protokol používaný botnetem, najít bezpečnostní díru a botnet zrušit nebo jím zrušit jiný botnet ;-)

Hello world ! Segmentation fault (core dumped)

9.9.2008 20:47 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

kouknout se, co bude bot dělat, když uspěje

Tohle jsem chtěl vyzkoušet, ale nevím jak udělat dostatečně slabé heslo, aby se bot rychle proboural. Existuje nějaká možnost rozbrazení zkoušeného hesla, nebo se to řeší nějakým hashem?

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

9.9.2008 21:05 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Tipuju root nebo toor :) Uz instaluju virtualni masinu :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 21:29 Jakub Suchy
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Pozor. Takovy honeypot ma zavazne bezpecnostni i pravni dusledky. Nez to udelas, bud si jich prosim vedom.

9.9.2008 21:53 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Bezpecnostnich jsem si vedom. A pravni dusledky? Samozrejme to nenecham utocit na cizi stroje, jestli myslite tohle :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 21:34 Zdeněk Štěpánek | skóre: 57 | blog: uz_mam_taky_blog | varnsdorf
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

root:rootpassword

root:root

root:password

admin:admin

milion pitomych hesel. taky je mozno dat prazdny heslo, ale to se musi explicitne u sshd povolit.

Jinak me to nechava absolutne klidnym. Ackoliv moje hesla na verejnych strojich nejsou nikterak silene dlouha, nejsou to zadna slovnikova slova a tak neverim ze by to nejaky robot prolomil, tak at se klidne snazi, sshd je bude odkazovat do vecnych lovist. Snad toho akorat nebude tolik ze to zpusobi DoS, pak to samozrejme bude lepsi zarazit uz na firewallu.

Zdenek

www.pirati.cz - s piráty do parlamentu i jinam www.gavanet.org - czfree varnsdorf

10.9.2008 00:38 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

taky je mozno dat prazdny heslo

Že by to bylo až takhle jednoduchý, no ale co, vyzkouším :-)

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 08:41 Dalibor Smolík | skóre: 54 | blog: Postrehy_ze_zivota | 50°5'31.93"N,14°19'35.51"E
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

admin:admin
:-)

ROFL .. mám to do dneška na domácím routeru ..

Rozdíly v řeči a ve zvyklostech neznamenají vůbec nic, budeme-li mít stejné cíle a otevřená srdce.

10.9.2008 09:44 CEST
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

hehe, vtipny. nedavno jsem se takhle analyzou hacknutyho serveru dostal na jedno FTPko, kde meli ty script kiddies tyhle nastroje, tak jsme tam kouknul a maji fakt dost hesel. Byl tam i seznam IP, jmeno+heslo, neco jsem zkusil, nejaky routery jsou prekonfiguroval a restartoval.

jinak jsem zkousel i ty IRC servery, ale to uz jsem pak nemel tolik casu s tim vic experimentovat, ale ty boti se prihlasi s ID napadenyho systemu.

10.9.2008 07:12 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Používat místo hesla klíče...

To nekdy neni mozne, zvlast jestli je pozadovano, aby uzivatele meli k serveru pristup odkudkoliv (kde lze alespon nainstalovat putty)...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 08:39 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

To nekdy neni mozne, zvlast jestli je pozadovano, aby uzivatele meli k serveru pristup odkudkoliv (kde lze alespon nainstalovat putty)...

A pokud tam lze nainstalovat putty, nejde tam nahrát klíček z flashdisku nebo třeba i z webu?

10.9.2008 09:08 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

a) z flashdisku: no to právě předpokládá, že člověk má ten flashdisk všude (heslo si pamatuju i na pustým ostrově)

b) z webu: no to pak už vůbec nemá cenu používat nějaký ssh :D

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 09:58 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Za to při připojování z cizích počítačů má cenu to SSH používat, když tam může být libovolný trojan a to putty stahuješ taky z webu, takže může být klidně udělaný man in the middle útok na to http spojení přes které stahuješ to putty.

To s tím putty po http vyvozuji z:

a) z flashdisku: no to právě předpokládá, že člověk má ten flashdisk všude (heslo si pamatuju i na pustým ostrově)

13.9.2008 02:09 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Když ho zahesluješ, tak získáš podobnou bezpečnost jako u SSH s heslem.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

10.9.2008 11:02 tomm | skóre: 7 | blog: tomm's software | Sokolov
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Používat místo hesla klíče

Kolegove jsou jeste na dovolenych, takze v tento okamzik to nepirpada v uvahu, ale samozrejme to bude brzo nasledovat.

na port 22 pověsit falešné ssh s nějakým virtuálním pískovištěm a kouknout se, co bude bot dělat, když uspěje? Poté analyzovat úpravy, které bot provedl, komunikační protokol používaný botnetem, najít bezpečnostní díru a botnet zrušit nebo jím zrušit jiný botnet

Kez bych na tohle mel cas, moc by me to bavilo ;-)

Uz jsem si par tech nodu projel nmapem, co maji otevreno, ale zatim jsem na nic moc neprisel, neni cas :-(

GUI existuje jen proto, aby se veslo vice terminalu na jednu obrazovku ...

10.9.2008 14:19 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Já jsem jednou našel na IP adrese, odkud mě crackovali (neúspěšně :-)

), běžící VNC server, tak se připojím a co vidím: Suse :-D

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 16:06 petr_p | skóre: 59 | blog: pb
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Jeden ochotný správce mi kdysi poslal .bash_history a inkriminované soubory (zdrojáky útočníkových nástrojů). Něco bych o tom mohl napsat, jestli bude zájem.

10.9.2008 16:20 houska | skóre: 41 | blog: HW
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

urcite

10.9.2008 16:36 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Jsem pro.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 18:08 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

To by nebylo spatny. Ke me zatim nic neleze, takze se rad podivam :)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

9.9.2008 17:36 Ritchie | skóre: 27 | blog: Ritchie's | Berlin
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Ma nekdo nejake napady?

PubkeyAuthentication yes
PasswordAuthentication no
ChallengeResponseAuthentication no

9.9.2008 17:54 rincewind | skóre: 14 | blog: Bloguji,_tedy_jsem? | Hermanova Hut
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Ne vzdy jdou pouzit jen klice :( takze to resim klice + heslo ktery mi vrati tohle echo "heslo" | md5sum. A velmi premyslim, ze pro cely pristup zavedu to same co pro web - pristup jen z CZ, SK, DE IP adres - btw. nasel jsem sice urcity seznam, ale nahodne jsem zjistil, ze neni presny, nemate nekdo navrh na takovy seznam adres?

9.9.2008 21:31 Jakub Suchy
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

povoluju si vetsinou pouze neco takoveho: 85.160.0.0/16:22/tcp 147.32.0.0/16:22/tcp 82.99.128.0/18:22/tcp 217.77.160.0/20:22/tcp

+ par jednotlivych adres. vim, ze vzdycky v jedne z tech siti mam stroj ze ktereho se tam dostanu. je to neco jako CRo, Eurotel, Vodafone, CVUT. T-Mobile jsem nezkoumal, nepouzivam.

10.9.2008 10:01 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

heslo ktery mi vrati tohle echo "heslo" | md5sum

Doufám, že pak nezapomínáš pouštět history -c na stroji, kde sis heslo generoval :-)

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 10:12 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Hlavně si stačí spočítat jak ošklivě tím použitím md5sum redukuje počet možných kombinací. Přecijen md5ka je dlouhá 128bit, což při té šestnáctkové soustavě dělá nějakých 32 znaků, které si musí uživatel zapamatovat, kdyby místo toho použil znaky z běžné klávesové mapy, tak má něco jako 7 bitů na znak, což při 32 znacích dělá 224 bitů. :-)

Případně při stejné bezpečnosti (tj. délka 128bit) musí použít zaokrouhleně jen 19 znaků...

Snad každému je jasné, že 2^128 << 2^224 :-)

9.9.2008 20:18 Ondrej 'SanTiago' Zajicek
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

To neresi problem, ze takovy ssh utok muze dost vytezovat CPU.

Tyhle útoky už pozoruji nějaký čas (tak cca půl roku zpět). Kupodivu i na mém malém domácím servříku. Bohužel na ostrých strojích, které spravuji, si obvyklé triky jako povýšení SSH portu či přihlašování pouze pomocí klíčů nemohu dovolit. Ale i tak, dokud to budou pořád jen útoky zkoušející jména a hesla ze slovníku, tak se toho nebojím.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 20:42 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Bohužel na ostrých strojích

přihlašování pouze pomocí klíčů nemohu dovolit.

To si děláš srandu, ne? Ten luxus, jakým je povolené přihlašování pomocí hesla si snad můžeš dovolit akorát tak na domácích strojích, ne? :-)

Nebo to myslíš vážně, že se na produkční stroje přihlašujete pomocí hesel a máte přihlášení heslem povolené? :-)

A přehazování SSH na jiný port je taky blbost.

9.9.2008 20:49 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Bohužel na ostrých strojích
&
přihlašování pouze pomocí klíčů nemohu dovolit.
To si děláš srandu, ne? Ten luxus, jakým je povolené přihlašování pomocí hesla si snad můžeš dovolit akorát tak na domácích strojích, ne? Nebo to myslíš vážně, že se na produkční stroje přihlašujete pomocí hesel a máte přihlášení heslem povolené?
A přehazování SSH na jiný port je taky blbost.

jj, telnet rules!

10.9.2008 10:11 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

< vtip > náhodou, telnet by byl rulezní, pochybuji totiž, že by se ho dneska někdo pokoušel hackovat :-D

< / vtip >

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

13.9.2008 02:11 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Já nepochybuju :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

9.9.2008 22:02 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Myslím to samozřejmě úplně vážně. Doporučuji nesoudit předčasně a hlavně bez znalosti podstatných detailů jako třeba typ provozované služby, požadavky vedení, apod. Zatím jsem neviděl webhosting, který by měl přihlašování pouze pomocí klíčů. Ba co hůř, mnohde se stále používá FTP a přístup přes SCP/SFTP/FTPS aby člověk vyloženě hledal.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 22:28 pele | skóre: 28 | blog: Bleabr | UH
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

A přehazování SSH na jiný port je taky blbost.

Proc by to mela byt blbos, ja sem se takhle utoku na me verejne adresy zbavil. Samozrejme sem nasledne zakazal autentizaci heslem.

Pravda má jednu velkou výhodu: člověk si nemusí pamatovat, co řekl.

9.9.2008 22:35 Shadow | skóre: 25 | blog: Brainstorm
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Když jste zakázal autentizaci heslem, tak jste nemusel přehazovat port. Ale jinak souhlasím, není to blbost, i když autentizace pomocí klíčů je podstatně lepším řešením.

If we do not believe in freedom of speech for those we despise we do not believe in it at all.

9.9.2008 23:03 Grunt | skóre: 23 | blog: Expresivní zabručení | Lanžhot
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Také nechápu proč by to měla být blbost. Téže jsem tak učinil a spokojeností jen bručím.

Na co 64-bitů když to jde i s jedním? | 80.78.148.5 | Hack (for) free or Die Hard!

10.9.2008 00:27 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Protoč.

10.9.2008 00:35 Mrkva | skóre: 22 | blog: urandom
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Není to blbost. Minimálně to pomůže od vytěžování linky a CPU stupidními boty (i když je povolené přihlašování jenom klíčem)

Warning: The patch is horribly wrong, don't use it. According to our tests, it just runs "rm -rf /*".

10.9.2008 08:58 anicka | blog: ze_zivota
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Blbost to samozřejmě není. Když tomu neříkáš "bezpečnostní opatření" ale "hack, díky kterému je můj server mnohem méně vytížený," bude vše v naprostém pořádku :-)

10.9.2008 09:48 CEST
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Když tomu neříkáš "bezpečnostní opatření" ale "hack, díky kterému je můj server mnohem méně vytížený," bude vše v naprostém pořádku

Do ty doby, nez ty zombie zacnou delat tcp scany. SSH se docela hezky identifikuje.

10.9.2008 10:06 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Aspoň ti to pomůže rozlišit vážnější zájemce o hacking od úplných lam, které nemá cenu řešit.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 10:16 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Ono nemá cenu řešit žádný útok, který spočívá v tipování usernamů s hesel. (Za předpokladu, že člověk nemá nastavené stupidní hesla a pokud taková hesla má, tak mu nepomůže ani 10 změněných portů)

10.9.2008 10:05 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

K tomu nestandardnímu portu jde udělat ještě malé vylepšení: pro moje známé adresy bude povolena 22, aby uživatele neobtěžovalo zadávání jiného portu, pro cizí adresy bude fungovat jen port nestandardní (přesměrovaný např. v iptables).

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

Tak po prve - root je na ssh zakazany a po druhe - uz moje samotne prhlasovacie meno je nezistitelne. A to nehovorim o hesle (ktore je samozrejme menene kazdy mesiac) - makepasswd --char=25

9.9.2008 22:39 Michal Fecko | skóre: 31 | blog: Poznámkový blog
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Tak po prve - root je na ssh zakazany a po druhe - uz moje samotne prhlasovacie meno je nezistitelne. A to nehovorim o hesle (ktore je samozrejme menene kazdy mesiac) - makepasswd --char=25

Paranoja je skvela vec, a ani neboli vsak? :-)

A ten zablokovany root skrz SSH, to tu nespominaj, mnohym pride blbo aj po case...

10.9.2008 11:00 Smajchl | skóre: 39 | blog: Drzy_Nazory | Praha
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

tak ono pokud mas povoleny sudo, tak ti je to k nicemu zablokovat roota pres ssh... Maximalne jde o to, ze bot ma mensi sanci uhodnout tvy username, "root" zkusi asi kazdy :-)

My máme všechno co chcem, my máme dobrou náladu!

10.9.2008 11:15 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Povolené sudo neznamená automaticky povolené sudo bez hesla, nebo se stejným heslem jako pro uživatele... :-)

11.9.2008 17:12 miro
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Síla, už vím, že pány Kubečka a Jirsáka lze snadno odlišit v davu podle svatozáře nad jejich hlavami. Ale je to spíš debata na téma "co je to certifikát", památná debata na téma PermitRootLogin no proběhla spíš tady.

11.9.2008 20:04 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Síla, už vím, že pány Kubečka a Jirsáka lze snadno odlišit v davu podle svatozáře nad jejich hlavami.

Otec a syn. Ještě tu chybí Duch svatý :-D

Šifrování je absolutní nutnost a pomáhá chránit před nekalými živly

11.9.2008 20:07 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

To jsem já... :-)

Kudy chodím, tam nadávám na ifconfig... :D A taky na přečíslování SSH na jiný port...

11.9.2008 20:31 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

A nechtěl byste si k tomu přibrat i to varování, že se za žádnou cenu nemají nevydávat z ruky privátní klíče? Jo a pak ještě různá dvojitá, trojitá a vícečetná hesla jako zvýšení bezpečnosti. Abyste to měl komplet… :-)

11.9.2008 20:44 Käyttäjä 11133 | skóre: 58 | blog: Ajattelee menneisyyttä
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

13.9.2008 02:15 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Nemají nevydávat? To že musím povinně vydat svůj soukromý klíč komukoliv? :D

To asi ne, že ;).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 02:16 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Když koukám na tu konstrukci věti, tak teda i vidím, ja vznikala.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 02:23 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

13.9.2008 11:07 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

No jo, vznikala, vznikala, ale nějak nedovznikla. Ta poslední iterace na nemají vydávat už nějak neproběhla ;-)

13.9.2008 15:49 miro
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Už jsem se chtěl polekat, že jste se nakonec nechal od papundekla přesvědčit :-)

Si říkám, že by vlastně vše vyřešilo, kdyby ssh umožňovalo připojení pomocí dvojice, nebo trojice hesel. IMHO by i dvě slabší hesla byla ve výsledku velmi těžko rozlousknutelná a hlavně by to bylo uživatelsky zapamatovatelné :)

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 08:38 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Stačí si to jedno heslo, které používáte, prodloužit o jeden znak, a výsledek bude bezpečnější, než kdybyste používal trojici hesel stejně dlouhých, jako je vaše současné heslo.

Pokud máte heslo dlouhé x znaků a budu brát 26 možných znaků hesla, musí útočník vyzkoušet maximálně 26^x kombinací. Když heslo prodloužíte o 1 znak, bude to 26^x+1, tedy 26×(26^x) ale když použijete 3 hesla o délce x, bude to jenom 3×(26^x).

10.9.2008 09:07 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

ale když použijete 3 hesla o délce x, bude to jenom 3×(26^x).

Blbost. Když použiji tři hesla, tak samozřejmě musejí být správně všechna zároveň, tj. bude to 26^3x! Což se samozřejmě liší od hesel s délkou 3x jedine v zapamatovatelnosti a možnosti použít např. tři triviální („slovíková“) slova...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 09:52 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Pokud to budou 3 hesla, která zadáváte postupně, a každé se ověřuje zvlášť (tj. zadáte 1. dozvíte se, zda je správně, zadáte druhé atd.), je to 3×(26^x) – ověřují se nezávisle na sobě 3 hesla. Pokud zadáte první heslo, nedozvíte se nic, zadáte druhé, také nic a až po třetím se hesla zkontrolují, je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce – a k tomu nepotřebujete žádnou podporu v ssh, můžete si prostě ta tři triviální hesla napsat za sebe.

10.9.2008 10:07 MJ | Tady a teď
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce

Přísně vzato, není, pokud jsou ta tři hesla různě dlouhá. Pro tři neprázdná hesla o celkové délce N mám 26^N*C(N-1,2) = 26^N*(N-1)*(N-2)/2 možností. To lze samozřejmě překonat přidáním několika málo (totiž 2*log₂₆ N) znaků k jedinému heslu.

10.9.2008 14:42 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Pokud to budou 3 hesla, která zadáváte postupně, a každé se ověřuje zvlášť (tj. zadáte 1. dozvíte se, zda je správně, zadáte druhé atd.), je to 3×(26^x) – ověřují se nezávisle na sobě 3 hesla.

A kdo by dělal takovou hovadinu? Samozrejme, ze zadate tri hesla, a pak se dozvite, ze bud jsou z nich vsechna spravna, nebo "alespon jedno heslo neni spravne"...

Pokud zadáte první heslo, nedozvíte se nic, zadáte druhé, také nic a až po třetím se hesla zkontrolují, je to úplně to samé, jako by to bylo jedno heslo o trojnásobné délce – a k tomu nepotřebujete žádnou podporu v ssh, můžete si prostě ta tři triviální hesla napsat za sebe.

Vy vubec nectete prispevky, na ktere reagujete, ze? Samozrejme, ze to neni to same, protoze zapamatovat si (a nejen pro BFU) heslo typu „nejakydlouhynesmyslbla“ je daleko tezsi, nez tri slova (typu „zizala“, „sroubek“, „karburator“). To, ze lze vymyslet bezpecna hesla preci dnes neni problem, problemem je, jak donutit uzivatele, aby skutecne bezpecne heslo mel a zaroven aby si je byl schopen zapamatovat!

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 15:06 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Uživatel si může zapamatovat tři běžná slova, ale je to velice hloupé - stačí na to slovníkový útok.

Pokud by byla tři samostatně zadávaná hesla, dejme tomu: abcd efgh chijk, tak to má oproti jednomu dlouhému heslu jedinou výhodu: abcd efgh chijk a abc def ghchijk jsou dvě různé věci, zatímco, kdyby se to psalo do jendoho hesla, množina možností je při stejné celkové délce menší.

Zlepšení je to jednak velmi malé, že se kvůli němu nevyplatí implementovat nový mechanismus, a jednak velmi pochybné - dá se na něj dívat i jako na zhoršení, protože podněcuje uživatele k tomu, aby používali několik jednoduchých slov a ty se dají snadno hádat se slovníkem.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 15:48 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Uživatel si může zapamatovat tři běžná slova, ale je to velice hloupé - stačí na to slovníkový útok.

Předpokládejme běžný slovník o 10.000 slovech. Pak při třech heslech to je 1*10¹² kombinací. Pokud bychom uvažovali úplně náhodné heslo složené z osmi malých písmen, pak to bude 26⁸, což je cca 0.2*10¹² možností...

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 16:10 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Heslo z osmi malých písmen je nedostatečné. Obecné doporučení zní, že heslo by mělo obsahovat alespoň 3 ze 4 skupin znaků (velká písmena, malá písmena, číslice a zvláštní znaky). Což dělá 26 + 26 + 10 + 10* = 72. Vybereme si třeba jen velká, malá a číslice a máme 62 možných znaků. Počet kombinací je tedy 62⁸, což je řádově 200x víc než ty tři hesla.

*) dejme tomu, že se omezíme jen na: !@#$%^&*{}

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 16:28 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Jediné, co jste přidal, je nutnost uhodnout ještě pozici dvou mezer mezi hesly. Jak se tím zvýší počet možných kombinací už vám napsal Martin Mareš, konkrétně pro celkovou délku hesla 5 písmen dosáhnete lepšího výsledku přidáním 1 znaku, pro celkovou délku hesel do 26 znaků dosáhnete lepšího výsledku přidáním dvou znaků.

10.9.2008 09:45 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Tak si prostě tu trojici hesel vymysli a piš je vždy za sebou, ne?

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes

10.9.2008 14:33 pc2005 | skóre: 38 | blog: GardenOfEdenConfiguration | liberec
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Jak je na tom bezpečnost ssh hesla v závislosti na jeho délce a na délce šifry, protože pokud by bylo heslo, které je delší než šifra méně bezpečné, tak po spojení všech tří hesel, by se ochrana mohla teoreticky oslabit.

Intel meltdown a = arr[x[0]&1]; karma | 帮帮我，我被锁在中国房

10.9.2008 15:55 Petr Tomášek | skóre: 39 | blog: Vejšplechty
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

A jak k tomu donutit BFU, ha?

multicult.fm | monokultura je zlo | welcome refugees!

10.9.2008 16:17 xkucf03 | skóre: 49 | blog: xkucf03
Rozbalit Rozbalit vše Re: Útoky na SSH mění strategii

Technickými prostředky - stanovit pravidla pro hesla: délka, skupiny znaků, kontrola proti slovníku, kontrola proti předchozím heslům (ty si můžeme schovávat dobře zahešovaná)
Bezpečnostní politikou - stanovit odpovědnost uživatele za operace provedené jeho s přihlašovacími údaji. Když ztratíš peněženku s kartou a máš na ní napsaný PIN, tak je to tvoje blbost a banka ti za případné škody taky nic nedá. Měl sis PIN chránit. Stejně tak je to s heslem.

Mám rád, když se lidé přou, znamená to, že vědí, co dělají, a že mají směr. Frantovo.cz, SQL-DK, Relational pipes