Jeszcze rok, półtora roku temu wydawało się, że SSH jest systemem w pełni bezpiecznym i każdy, kto go używa, nie musi się obawiać przechwycenia swoich danych, wejścia kogoś obcego do systemu za pośrednictwem sshd itp. Jak się pózniej okazało, nie jest to takie proste. Po jakimś czasie odkryto kolejne bugi, jednak w ostatnich tygodniach panowała cisza. SSH bezpieczne? Okazuje się, że znowu nie…
Security Focus opublikowało tekst o najnowszym odkryciu Dawn Songa, Davida Wagnera and Xuqing Tiana, którzy podczas ostatniego Usenix Security Symposium przedstawili wynik swojej pracy nad bezpieczeństwem ssh. Okazało się, że przesyłanie wpisywanego hasła litera po literze nie jest dobrym pomysłem – napisane przez nich oprogramowanie potrafi, po jakimś czasie podsłuchiwania ruchu w sieci, podać długość wpisywanego hasła, a nierzadko również samo hasło. Czy przyszła pora na przerzucenie się na hasła jednorazowe?
Po analizie tego odkrycia z naszym specem od bezpieczeństwa, poznałem dodatkowe fakty, które nieco łagodzą powyższy problem. Po pierwsze, cały system działa tylko w ssh-1. Po drugie, chodzi nie o odkrycie pełnego hasła, a raczej o zmniejszenie przestrzeni haseł, którą można pózniej potraktować brute-force. Czyli, chociaż odkrycie zmniejsza bezpieczeństwo systemu, nie jest tak źle 😉
Archiwalny news dodany przez użytkownika: honey.
Kliknij tutaj by zobaczyć archiwalne komentarze.