Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

V diskusním listu Full Disclosure byl popsán postup, jak může útočník pomocí ssh a zranitelnosti CVE-2016-6210 v OpenSSH zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem. V případě, že je povolena autentizace jménem a heslem, zkouší útočník uživatelská jména a dlouhá 10 kB hesla. V případě, že účet s daným jménem na počítači neexistuje, samozřejmě není o tom útočník hned informován, ale spouští se kód, kde se provádí šifrování hesla pomocí šifry Blowfish. V případě, že účet na počítači existuje, vypočítává se obvykle SHA256 nebo SHA512 otisk hesla. Výpočet otisku u tak dlouhého hesla trvá déle než šifrování hesla. Pokud tedy útočník dostane odpověď do určitého času, tak účet s daným uživatelským jménem neexistuje.

Chmm, pekna hypoteza ... fungujici s nejakou pravdepodobnosti mozna v labu. A ted k realite netu ... rek bych, ze radove vic rychlost reakce ovlivni sit jako takova.

19.7.2016 11:47 hnmpr
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Nevím jestli jsi se díval na kód v odkazu, je tam zmíněno:

*** when TCP timestamp option is enabled the best way to measure the time would be using timestamps from the TCP packets of the server, since this will eliminate any network delays on the way.

19.7.2016 22:40 j
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Stejne je to knicemu, ze tam existuje root vim, a nepotrebuju nic scanovat, ze ... a rek bych, ze daleko efektivnejsi bude si strelit prijmeni administratoru jako dalsi ucty ... pripadne dalsi podobny akce. Nez zkouset random nejaky slovniky.

20.7.2016 02:25 Sten
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Na naprosté většině distribucí je přednastaveno PermitRootLogin without-password, takže znalost existence roota vám v brute-force útoku nepomůže. Zjištění, jestli uživatel, u kterého se snažíte brute-forceovat heslo, existuje, dost pomůže snížit náročnost takového útoku.

20.7.2016 20:27 Michal Kubeček | skóre: 72 | Luštěnice
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Především je holý nerozum mít autentizaci heslem povolenou pro jakéhokoli uživatele. Spíš by bylo zajímavé, jestli je měřitelný časový rozdíl mezi existujícím a neexistujícím uživatelem i při použití autentizace klíčem.

21.7.2016 04:21 Sten
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Docela pochybuju, že by to šlo, alespoň ne stejným způsobem, tenhle útok používá velmi dlouhé heslo, ale u klíčů generuje challenge server.

Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.

21.7.2016 09:21 Jendа | skóre: 78 | blog: Jenda | JO70FB
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Byl by ale takový útok vůbec zajímavý? Klíče se nedají prolomit pomocí brute force.

Záleží na distribuci ;-)

22.7.2016 09:53 ⧠ A = 0 | skóre: 11 | blog: Technokratovo_zrcadlo | Helsinki
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Příloha:

kuvankaappaus7.png (246414 bytů)

Hustě. Kvalita a pokrytí lokalisace někdy dokáže překvapit.

(Koukám, že tohle se bude Debianu omlacovat o hlavu asi ještě za dvacet let.)

Nevolte zmrdy.

20.7.2016 10:32 martin-ux
Rozbalit Rozbalit vše Re: Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

striktne povedane neviete naisto, ze je tam root .. viete len, ze je tam user s uid 0.

Chyba v OpenSSH umožňuje zjistit, zda na počítači existuje účet s konkrétním uživatelským jménem

Komentáře