The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

05.08.2015 09:47  Трюк с определением персональных данных через SSH

Filippo Valsorda из компании CloudFlare подготовил заслуживающий внимания сервис, выдающий персональные данные пользователя (ФИО, email и т.п.) при выполнении команды "ssh whoami.filippo.io", без проведения какой-либо аутентификации. Некоторые восприняли данный сервис как демонстрацию неизвестной ранее уязвимости в OpenSSH, но на самом деле в реализации сервиса используются штатные и документированные особенности работы SSH.

В частности, при попытке соединения с сервером, ssh-клиент автоматически последовательно отправляет все имеющиеся открытые ключи пользователя - если очередной ключ не подошёл, отправляется следующий и т.д. В том числе отправляются открытые ключи, используемые для GitHub. Так как GitHub предоставляет доступ к открытым ключам пользователей, в сервисе whoami.filippo.io используется данная возможность и осуществляется сверка переданных в рамках текущего сеанса ключей с содержимым базы ключей GitHub. В случае совпадения ключа, загружаются и выводятся данные из профиля на GitHub.

Для запрета отправки всех открытых ключей с явной привязкой заданных ключей к хостам, в .ssh/config можно указать:


    IdentitiesOnly yes
    Host github.com
        IdentityFile ~/.ssh/id_rsa

Исходные тексты сервиса можно загрузить здесь.

  1. Главная ссылка к новости (https://news.ycombinator.com/i...)
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: ssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 09:54, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Это не баг, а просто особенность работы с ключами.
     
     
  • 2.6, Котан (?), 11:45, 05/08/2015 [^] [ответить]    [к модератору]
  • +11 +/
    Но как вы догадались, Холмс?!

    В новости и говорится, что это "трюк", а не баг и не уязвимость.

     
  • 2.36, Аноним (-), 23:50, 05/08/2015 [^] [ответить]    [к модератору]
  • –3 +/
    "Это не баг, это фича" - пробурчал Тео, пересчитывая микрософтовские доллары.
     
  • 1.2, Какаянахренразница (ok), 10:21, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]
  • +15 +/
    А я, блин, не мог понять, как ssh определяет, который из моих ключей использовать при аутентификации. Так он, зараза, втыкает их все по очереди, пока какой-нибудь не подойдёт... Плятт.
     
     
  • 2.10, Аноним (-), 12:49, 05/08/2015 [^] [ответить]    [к модератору]
  • +7 +/
    > А я, блин, не мог понять, как ssh определяет, который из моих
    > ключей использовать при аутентификации. Так он, зараза, втыкает их все по
    > очереди, пока какой-нибудь не подойдёт... Плятт.

    Но ведь есть ssh_config где мало того что можно всё намертво привязать, так ещё и алиасы можно делать.

     
     
  • 3.17, Anonimus (??), 14:13, 05/08/2015 [^] [ответить]     [к модератору]  
  • –2 +/
    Хорошо написанная программа никогда и ничего не использует по умолчанию, а всегд... весь текст скрыт [показать]
     
     
  • 4.19, Аноним (-), 14:31, 05/08/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    Да, имея твой открытый ключ, люди смогут разрешить тебе ходить на их серваки. Ты в опасносте.
     
     
  • 5.20, Аноним (-), 14:43, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Таки в опасносте. Ведь кто попало может записывать и анализировать твои посещения вплоть до полной деанонимизации (через тот же Гитхаб). Мелочь, а неприятно.
     
     
  • 6.21, arisu (ok), 14:54, 05/08/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    ну так заведи для дурьхаба отдельный ключ и не суй его больше никуда.
     
     
  • 7.28, Аноним (-), 18:20, 05/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Это не поможет Ведь SSH при переборе подсунет мой гитхабовский ключ на, к приме... весь текст скрыт [показать]
     
     
  • 8.29, arisu (ok), 18:23, 05/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    обыватели. ssh. отличная шутка, евгений ваганович!

    а мануалы, конечно, читать не надо. не барское это дело.

     
     
  • 9.31, Аноним (-), 18:42, 05/08/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Никаких шуток Чтобы пользоваться ssh не обязательно быть экспертом по криптогра... весь текст скрыт [показать]
     
     
  • 10.33, arisu (ok), 19:00, 05/08/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    видишь ли, у 171 занятых своим делом людей 187 есть специальные сотрудники, ... весь текст скрыт [показать]
     
     
  • 11.37, Аноним (-), 23:58, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    И тем не менее, Кэп, западло в дефолтах в программе которая по части секурити - это фигово, да.

    Их таких хороших надо с LibreSSL объединить - два грабледрома найдут друг друга наконец.

     
     
  • 12.43, arisu (ok), 00:18, 06/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > И тем не менее, Кэп, западло в дефолтах в программе которая по
    > части секурити - это фигово, да.

    фигово. только вот в ssh я западла всё ещё упорно не вижу.

     
     
  • 13.48, Аноним (-), 00:33, 06/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Действительно Оно хреново защищает траффик сессии Оно встает колом при нашеств... весь текст скрыт [показать]
     
     
  • 14.51, arisu (ok), 00:40, 06/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    есть мнение, что очки нужны тому, кто вместо «никакого западла» умудряется прочитать «никаких проблем».
     
  • 14.53, Ytch (ok), 01:58, 06/08/2015 [^] [ответить]     [к модератору]  
  • +/
    Ну, несмотря на недостатки, сколько я не обновлял ssh оно ещё ни разу не преврат... весь текст скрыт [показать]
     
  • 6.27, Crazy Alex (ok), 18:13, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    А анонимность - вообще нифига не штатный режим работы в интернете. Хочешь анонимности - настраивай.
     
     
  • 7.32, Аноним (-), 18:46, 05/08/2015 [^] [ответить]    [к модератору]  
  • +/
    Нет, всего лишь хочу, чтобы программы делали то, что заявлено без таких совершенно необязательных побочных эффектов, как этот.
     
     
  • 8.34, arisu (ok), 19:01, 05/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    что ssh не делает из того, что заявлено?
     
     
  • 9.38, Аноним (-), 23:59, 05/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Оно делает то что нигде так по простому и громко не заявлено - шлет вообще все к... весь текст скрыт [показать]
     
     
  • 10.41, arisu (ok), 00:17, 06/08/2015 [^] [ответить]     [к модератору]  
  • +/
    нет совершенно разные вещи тебе слово 171 публичный 187 в словосочетании ... весь текст скрыт [показать]
     
     
  • 11.47, Аноним (-), 00:26, 06/08/2015 [^] [ответить]     [к модератору]  
  • +/
    Публичный ключ и отсылка вообще всех публичных ключей до которых оно дотянулось ... весь текст скрыт [показать]
     
     
  • 12.50, arisu (ok), 00:38, 06/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    тогда расскажи, как ты себе представляешь механизм назначения соответствий ключу... весь текст скрыт [показать]
     
  • 4.66, Аноним (-), 12:28, 10/08/2015 [^] [ответить]    [к модератору]  
  • +/
    Зашибись ты специалист. Если не знал об этом, значит никогда не запускал ссш-клиента в дебаге.
     
  • 2.23, Anonplus (?), 17:33, 05/08/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    Что интересно, PuTTY, над которым на этом ресурсе принято потешаться, требует яв... весь текст скрыт [показать]
     
     
  • 3.24, arisu (ok), 17:37, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    что не менее интересно — ssh тоже так умеет. но читать документацию — это же западло!
     
     
  • 4.39, Аноним (-), 00:05, 06/08/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Не, вот извините. Западло - это когда программы пытаются умничать и в результате оказывают медвежью услугу. Подтерев своему обладателю зад наждачкой. С аргументом "извините, туалетной бумаги нет".
     
     
  • 5.40, arisu (ok), 00:17, 06/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    нет тут никакого западла и никаких медвежьих услуг. юзер не прочитал документацию, наложил кучу ключей? так пусть не использует консольный ssh, для него это слишком сложно.
     
     
  • 6.46, Аноним (-), 00:22, 06/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Ну окей, я подумаю над этим Софт который без спроса отсылает пачку ключей на ле... весь текст скрыт [показать]
     
  • 6.55, Ytch (ok), 02:36, 06/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Да даже без документации, вот наложив кучу ключей, как можно не задаться вопросо... весь текст скрыт [показать]
     
     
  • 7.56, Какаянахренразница (ok), 06:31, 06/08/2015 [^] [ответить]     [к модератору]  
  • +/
    Вопрос такой возникает Но, если ответа на него нет нет времени читать документ... весь текст скрыт [показать]
     
     
  • 8.57, arisu (ok), 10:35, 06/08/2015 [^] [ответить]    [к модератору]  
  • –4 +/
    нет мозгов — зачем в консоль полез?
     
     
  • 9.59, Какаянахренразница (ok), 15:47, 07/08/2015 [^] [ответить]     [к модератору]  
  • +/
    А таких как ты наслушался потому что Захотелось секурности, знаешь ли В интерн... весь текст скрыт [показать]
     
     
  • 10.60, arisu (ok), 16:04, 07/08/2015 [^] [ответить]    [к модератору]  
  • +/
    ну да. а то, что при этом надо мозги включать и понимать, что делаешь — это нет, это сообразить никак. вот правильно говорят, что дурака учить — только портить.
     
     
  • 11.61, Какаянахренразница (ok), 17:46, 07/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Сообразить, что надо включить мозги У тебя рекурсия Я среднестатистический чел... весь текст скрыт [показать]
     
     
  • 12.62, arisu (ok), 18:13, 07/08/2015 [^] [ответить]     [к модератору]  
  • +/
    это твои личные проблемы зачем ты полез туда, где наличие рабочих, невыключеных... весь текст скрыт [показать]
     
     
  • 13.67, Какаянахренразница (ok), 19:14, 11/08/2015 [^] [ответить]     [к модератору]  
  • +/
    Поясняю специально для тебя если у миллиардов юзеров одна и та же проблемя, она... весь текст скрыт [показать]
     
     
  • 14.68, arisu (ok), 19:18, 11/08/2015 [^] [ответить]     [к модератору]  
  • –1 +/
    ну, устраивайте кружки безмозглых дебилов и там жалуйтесь друг другу нет потом... весь текст скрыт [показать]
     
     
  • 15.69, Какаянахренразница (ok), 13:05, 12/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Давно 12288 устроили Интернетом называется Перечитай новость Уйма людей, исп... весь текст скрыт [показать]
     
     
  • 16.70, arisu (ok), 16:31, 12/08/2015 [^] [ответить]     [к модератору]  
  • +/
    а вот это пока всё ещё только ваши влажные мечты я понимаю, что тебе не хочется... весь текст скрыт [показать]
     
     
  • 17.71, Какаянахренразница (ok), 21:54, 13/08/2015 [^] [ответить]     [к модератору]  
  • +/
    А кто, по-твоему, сидит в интернетах И чем они, по-твоему, там занимаются Имен... весь текст скрыт [показать]
     
     
  • 18.72, arisu (ok), 22:07, 13/08/2015 [^] [ответить]     [к модератору]  
  • +/
    это опять ваша личная беда продолжайте жаловаться и крепчать, пока вас сношают ... весь текст скрыт [показать]
     
  • 1.3, Аноним (-), 10:31, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    О сколько нам открытий чудных... готовит запуск ssh с -v
     
     
  • 2.35, zfs (??), 19:27, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    А -vvv тем паче.
     
  • 1.5, arisu (ok), 11:35, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +2 +/
    проверил. не определяет. фуфло.
     
     
  • 2.7, Аноним (-), 12:15, 05/08/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    Дык... как и всё, что на go же написано
     
  • 2.12, Michael Shigorin (ok), 13:04, 05/08/2015 [^] [ответить]    [к модератору]  
  • –1 +/
    > проверил. не определяет. фуфло.

    Как, и тебя? :)

     
  • 2.13, Аноним (-), 13:49, 05/08/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    проверил. не определяет. фуфло.
    > А может у тебя нет аккаунта на гитхабе?
     
  • 2.42, Аноним (-), 00:17, 06/08/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Дык у тебя поди нет ключа на гитхабе Не отменяет того факта что оно льет все кл... весь текст скрыт [показать]
     
  • 1.8, XoRe (ok), 12:17, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    $ ssh whoami.filippo.io
    The authenticity of host 'whoami.filippo.io (178.32.139.168)' can't be established.
    RSA key fingerprint is c8:9a:b0:9d:59:96:24:37:70:4c:ef:eb:31:47:68:40.
    Are you sure you want to continue connecting (yes/no)? no
    Host key verification failed.

    В конце концов, в ssh не просто так спрашивают "(yes/no)?"

     
     
  • 2.9, Аноним (-), 12:48, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Но ведь это yes/no совсем про другое. Оно же в первый раз на любой хост спрашивает.
     
     
  • 3.14, XoRe (ok), 13:54, 05/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    > Но ведь это yes/no совсем про другое. Оно же в первый раз
    > на любой хост спрашивает.

    Именно.
    В этот момент у пользователя есть выбор, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил.

     
     
  • 4.44, Аноним (-), 00:18, 06/08/2015 [^] [ответить]     [к модератору]  
  • +/
    Вот только этот момент совершенно не очевиден тем кто не в курсе интимных особен... весь текст скрыт [показать]
     
     
  • 5.54, Ytch (ok), 02:13, 06/08/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    >> В этот момент у пользователя есть выбор, передавать ли информацию обо всех
    >> своих публичных ключах на новый хост, на который он ни разу не заходил.
    > Вот только этот момент совершенно не очевиден тем кто не в курсе
    > интимных особенностей криптографии и весьма тонких деталей реализации в openssh.

    Зато это предупреждение требует от тебя явно сказать yes, после которого из громкой фразы "шлет все ключи кому попало" вычеркивайте часть про "кому попало". Вы (и только вы) приняли решение вообще попытаться подключиться к чему-то чего ssh ранее не знал, и повторно подтвердили ещё свое желание. А если из фразы убрать про кому попало, а перед словом "ключи" добавить слово "публичные", то фраза становится безобидной (хоть и неприятной из-за слова "все").
    Лично я вообще не понимаю как так можно -  вот ты создал специальный, отдельный ключ для работы с каким-то сервисом (уже заморочился и не поленился), как его можно взять и не прописать в конфиг? Надеясь на что? Что ssh угадает причем именно с первого раза какой из вороха ключей ему использовать?

     
  • 4.73, freehck (ok), 08:51, 21/06/2017 [^] [ответить]    [к модератору]  
  • +/
    > В этот момент у пользователя есть выбор, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил.

    А почему меня как пользователя вообще должно волновать, что я передаю кому-то свои публичные ключи? На то они ведь они и публичные.

    >> Но ведь это yes/no совсем про другое.

    А y/n тут про то, что ssh предлагает Вам удостовериться, что Вы подключаетесь именно к тому хосту, к которому хотите, а не к хитрожопому посреднеку.

     
  • 2.11, Аноним (-), 13:02, 05/08/2015 [^] [ответить]    [к модератору]  
  • –3 +/
    Для тупеньких: в твоей базе открытых ключей нет такого хоста, ssh-клиент тебя спрашивает добавить или нет. Если ключ подменят, то клиент тебе скажет, что ключ сменился.
     
     
  • 3.15, XoRe (ok), 13:57, 05/08/2015 [^] [ответить]    [к модератору]  
  • +/
    > Для тупеньких: в твоей базе открытых ключей нет такого хоста, ssh-клиент тебя
    > спрашивает добавить или нет. Если ключ подменят, то клиент тебе скажет,
    > что ключ сменился.

    Просто попробуйте посмотреть дальше собственного носа.
    В этот момент пользователь может остановиться и подумать, передавать ли информацию обо всех своих публичных ключах на новый хост, на который он ни разу не заходил?
    Или нажать "no" и добавить в .ssh/config настройки для этого хоста.

     
     
  • 4.30, angra (ok), 18:24, 05/08/2015 [^] [ответить]    [к модератору]  
  • +/
    А смотрящим дальше своего носа не приходила идея подумать о цели конекта еще при наборе команды?
    Ну и никакого выбора насчет передачи ключей на этом вопросе нет. Это вопрос о продолжении соединения. Методы аутентификации задаются в другом месте.
     
  • 4.49, Аноним (-), 00:38, 06/08/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Когда Вася конектится к гитхабу - ему совершенно не очевидно что какое-нибудь АН... весь текст скрыт [показать]
     
     
  • 5.52, arisu (ok), 00:43, 06/08/2015 [^] [ответить]    [к модератору]  
  • +/
    > Когда Вася конектится к гитхабу - ему совершенно не очевидно что какое-нибудь
    > АНБ (или просто очередные хацкеры гитхаба, коих уже бывали целые полчища),
    > поднажавшее на админов гитхаба (или просто разломав их сервак) - резвенько
    > получит полный список ресурсов, где у Васи вообще права были.

    более того: это и мне не очевидно. можно полюбопытствовать, каким образом они это сделают? а‐а‐а, вася дебил, и у него один публичный ключ для всего? дак дебилов защищать бессмысленно: они любую защиту поставят раком, даже не заметив этого.

     
  • 1.16, Аноним (-), 14:08, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    у меня 14 ключей, а перебирает только первые 3. До гитхабовского ключа даже не доходит.
     
     
  • 2.63, ixti_логиниться_лень (?), 23:18, 07/08/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну потому, что крикуны выше даже после отсылки в маны не стали их читать и предпочли дальше пищать про не удобные узкие штаны. SSH не посылает все ключи. Он пытается использовать вполне определённые ключи (разные алгоритмы шифрования) identity, id_dsa, ..., id_rsa

    Так вот если у тебя ключ-пара .ssh/githib/id_rsa{,.pub} или .ssh/id_rsa_for_github{,.pub} то они будут использованы ТОЛЬКО при явном запросе (IdentityFile в конфиге для хоста или -i параметр командной строки)

     
  • 1.22, Аноним (-), 15:32, 05/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    парсер конфигов ssh очень фигово сделан, опции тоже не удобно моделировать и нету regexp масок.
     
     
  • 2.26, Аноним (-), 17:51, 05/08/2015 [^] [ответить]    [к модератору]  
  • +/
    > парсер конфигов ssh очень фигово сделан, опции тоже не удобно моделировать и
    > нету regexp масок.

    Оно открытое - усовершенствуй!

     
     
  • 3.45, Аноним (-), 00:19, 06/08/2015 [^] [ответить]    [к модератору]  
  • +/
    > Оно открытое - усовершенствуй!

    Учитывая что оно течет туеву хучу информации о траффике в сессии - усовершенствовать его надо гильотиной^W rm -rf.

     
  • 1.58, онаним (?), 21:57, 06/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Довольно странное поведение "по умолчанию".
     
  • 1.64, none7 (ok), 17:22, 08/08/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А то, что тот же трюк можно провернуть с HTTPS никто не думал?
     
     
  • 2.65, Alexey (??), 22:01, 08/08/2015 [^] [ответить]    [к модератору]  
  • +/
    Ну только низкий %% пользователей с персональными ключами SSL в веб браузерах не даст такого фифекта как с SSH. А так да, все тоже самое (даже хуже, я не помню чтото опций в браузерах по привязке ключей из стора к серерам, т.е. сливаться будут всем, по их запросу.).
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor