The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

18.07.2016 09:25  Обход защиты OpenSSH, препятствующей определению наличия пользователя

В OpenSSH выявлена уязвимость (CVE-2016-6210), позволяющая на основе ответа сервера определить существует или нет пользователь в системе. Исправление с устранением уязвимости пока не выпущено, прямой опасности проблема не представляет, а лишь снижает трудоёмкость атак по подбору параметров входа в систему.

Для противодействия попыткам перебора пользователей в OpenSSH присутствует защита - для несуществующих пользователей выполняется проверка по фиктивному хэшу пароля, что позволяет выровнять время обработки операции проверки для существующего и несуществующего пользователя. Без выравнивания времени проверки атакующий может проанализировать время выполнения операции и если очередная проверка выполняется дольше обычного, сделать вывод о наличии запрошенного пользователя в системе и перейти к подбору пароля для конкретного логина.

Суть выявленной уязвимости в том, что для несуществующих пользователей применяется фиктивный хэш BLOWFISH, который проверяется заметно быстрее, чем хэши SHA256/SHA512. В системах, использующих SHA256/SHA512 для хэширования паролей, при проверке паролей размером около 10Кб различия в скорости обработки запроса становятся явными, что позволяет по времени выполнения операции определить применялся алгоритм BLOWFISH или SHA256/SHA512 и, соответственно, узнать, существует ли пользователь в системе.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH
  3. OpenNews: Зафиксирована новая ботнет-сеть, распространяющаяся через подбор паролей по SSH
  4. OpenNews: US-CERT предупреждает об атаке на Linux системы с использованием SSH ключей
  5. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssh, bruteforce
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, eRIC, 09:52, 18/07/2016 [ответить] [смотреть все]
  • +7 +/
    однако и это заметили :)
     
  • 1.2, Аноним, 10:07, 18/07/2016 [ответить] [смотреть все]
  • +4 +/
    Говорила мне мама - не пиши длинные пароли Ок, не буду пароли по 10240 символ... весь текст скрыт [показать]
     
     
  • 2.4, бедный буратино, 10:51, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +23 +/
    "... каждое утро Семён Семёныч начинал с того, что вздыхал, открывал томик *Войны и Мира* и начинал вводить пароль..."
     
  • 2.5, SysA, 11:11, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +9 +/
    >> при проверке паролей размером около 10Кб
    > "Говорила мне мама - не пиши длинные пароли"!
    > Ок, не буду пароли по 10240 символов делать )

    А тебе и не надо! :) - Взломщик все за тебя напишет...
    Ты бы хоть на оригинал статьи взглянул, там есть пример, как все это работает.

     
  • 2.10, Ilya Indigo, 13:55, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    pwgen -s 16 вам в помощь.
     
     
  • 3.13, _, 17:02, 18/07/2016 [^] [ответить] [смотреть все]  
  • +2 +/
    Спасибо, но я привык к apg ... :)
     
     
  • 4.14, freehck, 18:17, 18/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Кстати, спасибо. Поставил. Очень интересная штукенция.
     
     
  • 5.21, Аноним, 14:20, 19/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Чем?
     
     
  • 6.24, freehck, 15:49, 20/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Ну например генератором, ориентированным на удобство произношения.
     
  • 4.19, vitalikp, 00:35, 19/07/2016 [^] [ответить] [смотреть все]  
  • +4 +/
    А разве через dev urandom не проще Зачем пользоваться непонятной программой ... весь текст скрыт [показать]
     
  • 2.26, абвгд, 04:36, 21/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я так понял, что отправляется первый попавшийся пароль 10к и по времени отказа и... весь текст скрыт [показать] [показать ветку]
     
  • 1.6, тоже Аноним, 12:09, 18/07/2016 [ответить] [смотреть все]  
  • +4 +/
    Предлагаю патч, непечатно отвечающий на попытки залогиниться с паролем длиной 10кб. Желательно где-нибудь в glibc, с распространением на любые случаи логина.
     
     
  • 2.23, Какаянахренразница, 13:50, 20/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Предлагая -- предлагай. Где патч?
     
  • 1.7, Аноним, 12:10, 18/07/2016 [ответить] [смотреть все]  
  • +/
    что-то не очень оно и работает, дрифт значений лежит в одной области что для вал... весь текст скрыт [показать]
     
     
  • 2.8, SysA, 12:20, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Я бы даже отметил более того, - у меня иногда а в случае не локалхоста, а реаль... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.12, Аноним, 16:38, 18/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Если всегда длиннее то считай метод рабочий, только результаты нужно наоборот ин... весь текст скрыт [показать]
     
  • 1.9, Аноним, 13:10, 18/07/2016 [ответить] [смотреть все]  
  • +/
    Нужно просто ограничить длину пароля. До 8 символов, как VNC.
     
     
  • 2.11, Аноним, 16:05, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    А лучше до 4 и только из цифр PIN код ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.17, Аноним, 19:44, 18/07/2016 [^] [ответить] [смотреть все]  
  • +1 +/
    Лучше вообще капчей обойтись тогда
     
  • 1.15, bugmenot, 18:41, 18/07/2016 [ответить] [смотреть все]  
  • +/
    Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль" полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули другой алгоритм... Ну вот нафига?
     
     
  • 2.16, Анончик, 19:28, 18/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Нужно было просто изначально реализовывать ветку кода "аккаунта нет, суём фейковый пароль"
    > полностью аналогично ветке "аккаунт есть, проверяем пароль". А они зачем-то всунули
    > другой алгоритм... Ну вот нафига?

    Ну они так и сделали, только вот "фейковый пароль", а точнее его хэш, там используется такой, что время его проверки всё равно отличается от времени проверки валидного хэша.

     
     
  • 3.18, Аноним, 20:58, 18/07/2016 [^] [ответить] [смотреть все]  
  • +/
    Чел имел ввиду системные изменения, чтобы был некий фейковый юзер в системе с та... весь текст скрыт [показать]
     
  • 2.22, Аноним, 01:12, 20/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Какой вы умный Никто бы не догадался, а вы смогли ... весь текст скрыт [показать] [показать ветку]
     
  • 1.20, Сергей, 11:46, 19/07/2016 [ответить] [смотреть все]  
  • –1 +/
    Интересно, а как они вычисляют задержки канала... Я еще понимаю, когда стоит какой-нибудь пень третий, а если там Core i7?
     
     
  • 2.25, Аноним, 17:35, 20/07/2016 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Статистически.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor