https://m.opennet.me/openforum/vsluhforumID3/108580.html В OpenSSH выявлена (http://seclists.org/fulldisclosure/2016/Jul/51) уязвимость (CVE-2016-6210), позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Исправление с устранением уязвимости пока не выпущено, прямой опасности проблема не представляет, а лишь снижает трудоёмкость атак по подбору параметров входа в систему.<br><br><br><br>Для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется доьше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.<br><br><br>Суть выявленной уязвимости в том, что для несуществующих пользователей применяется фиктивный хэш BLOWFISH, который проверяется https://m.opennet.me/openforum/vsluhforumID3/108580.html#26 Thu, 21 Jul 2016 01:36:13 GMT Я так понял, что отправляется первый попавшийся пароль 10к и по времени отказа идёт анализ<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#25 Wed, 20 Jul 2016 14:35:39 GMT Статистически.<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#24 Wed, 20 Jul 2016 12:49:32 GMT Ну например генератором, ориентированным на удобство произношения.<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#23 Wed, 20 Jul 2016 10:50:36 GMT Предлагая -- предлагай. Где патч?<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#22 Tue, 19 Jul 2016 22:12:33 GMT &gt; Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль" <br>&gt; полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули <br>&gt; другой алгоритм... Ну вот нафига?<br><br>Какой вы умный. Никто бы не догадался, а вы смогли.<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#21 Tue, 19 Jul 2016 11:20:43 GMT Чем?<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#20 Tue, 19 Jul 2016 08:46:08 GMT Интересно, а как они вычисляют задержки канала... Я еще понимаю, когда стоит какой-нибудь пень третий, а если там Core i7?<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#19 Mon, 18 Jul 2016 21:35:52 GMT А разве через /dev/urandom не проще?:)<br>Зачем пользоваться непонятной программой?<br><br>#cat /dev/urandom&#124;tr -dc a-zA-Z0-9&#124;head -c10<br> https://m.opennet.me/openforum/vsluhforumID3/108580.html#18 Mon, 18 Jul 2016 17:58:04 GMT Чел имел ввиду системные изменения, чтобы был некий фейковый юзер в системе с такимим же параметрами как у всех и чтобы он все время проверялся вместо несуществующего (но туту тоже ряд подводных камней)<br>