LINUX.ORG.RU

Обнаружена уязвимость в OpenSSH

 ,


0

0

Исследователи из Royal Holloway, University of London обнаружили уязвимость в OpenSSH, позволяющую злоумышленнику с вероятностью 2^{-18} (один случай из 262,144) расшифровать кусок передаваемых данных длиной в 32 бита.

Злоумышленник перехватывает зашифрованные блоки, посылаемые клиентом, и пересылает их на сервер. Подсчитывая количество байт, переданных до разрыва соединения сервером, он может определить содержимое первых четырех байт незашифрованного блока.

Такая атака основывается на дырах в дизайне OpenSSH, в то время как предыдущие уязвимости в основном относились к ошибкам в коде.

>>> Подробности



Проверено: hibou ()

> с вероятностью 2^{-18} (один случай из 262,144) расшифровать кусок передаваемых данных длиной в 32 бита

Муахахах. Вот уж где действительно паранойа.

> он может определить содержимое первых четырех байт незашифрованного блока

> первых четырех байт незашифрованного блока

> незашифрованного

По ходу, они даже не определились: зашифорваны атакуемые 4 байта, или нет :D

Manhunt ★★★★★
()

> Проверено: hibou

Если не секрет, зачем было эту ахинею аппрувить?

Manhunt ★★★★★
()

Гм... а угадать 32 бита можно с вероятностью 2^(-32), если я не позабыл все на свете...

Еще, на сколько я помню, вероятность взлома равную вероятности угадывания дает ключ равный по длине сообщению, с оным сообщениям поксоренный. Все конструкции с более короткими ключами вроде как должны иметь вероятность взлома больше чем вероятность угадывания. И это вполне логично... Так что на мой совершенно не профессиональный взгляд тут нет ничего удивительного что такой эффект продемонстрировали.

shaplov ★★★
()
Ответ на: комментарий от Manhunt

пересылаются зашифрованные данные, злоумышленник может "расшифровать" (не с помощью алгоритма расшифрования, а за счет уязвимости в протоколе) первые 4 байта.

mipt_student
() автор топика

Кастую в тред svu, он давно мечтал увидеть новость об уязвимости на главной.

madgnu ★★★★★
()
Ответ на: комментарий от ptah_alexs

>И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

Гениальный ход. А лучше вообще полезных данных не передавать - пошуметь из рандома и оборвать сессию. Самоен главное - полезно.

r ★★★★★
()
Ответ на: комментарий от ptah_alexs

> И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

Хочется процитировать известное произведение:

> и вы в присутствии двух людей с университетским образованием позволяете себе с развязностью совершенно невыносимой подавать какие-то советы космического масштаба и космической же глупости о том, как всё поделить…

name_no ★★
()

Если сходить по ссылке, то можно узнать, что уязвимость уже пофикшена.

Aceler ★★★★★
()
Ответ на: комментарий от name_no

> > И в чём проблема? Изменить код что бы вначале передавалось 4 байта из /dev/random и всего делов то.

> Хочется процитировать известное произведение:

> > и вы ... позволяете себе ... подавать какие-то советы космического масштаба и космической же глупости

Что бы не казалось господам с высшим образованием, но подобные методы используются.

darkk
()

Всё-таки по-русски будет 1 из 262.144=262144 случаев, а не 262,144 ~= 262. А то сначала испугался, с каких это пор 2^18 = 262.

vkos ★★
()
Ответ на: комментарий от Bircoph

Проблема была найдена в версии 4.7 из Debian в ноябре прошлого года. Сейчас в Lenny 5.1, не знаю, исправили там или нет. Да, новость немного запоздала :)

mipt_student
() автор топика
Ответ на: комментарий от mipt_student

> Проблема была найдена в версии 4.7 из Debian

Што, опять проблема в этом дырявом Дебиане? o_O

mv ★★★★★
()
Ответ на: комментарий от darkk

>Что бы не казалось господам с высшим образованием, но подобные методы используются.

Конечно, используются. А потом в ленте новостей идут заголовки типа, "защита XXX была сломана YYY за n секунд" или "программа Z была взломана еще до выхода на рынок".

AVL2 ★★★★★
()

В английском не силён, но это может быть использовано в том случае, если угадавший будет уверен в том, что он именно угадал. А иначе смысл этих 4 байт, угаданные они или не угаданные.

Feonis ★★★
()
Ответ на: комментарий от Manhunt

>> он может определить содержимое первых четырех байт незашифрованного блока

>> первых четырех байт незашифрованного блока

>> незашифрованного

>По ходу, они даже не определились: зашифорваны атакуемые 4 байта, или нет :D

Это так перевели, что an attacker can work out the first four bytes of corresponding plaintext.

Исходная статья здесь:

http://www.isg.rhul.ac.uk/~kp/SandPfinal.pdf

golub
()

Ой боюсь-боюсь!

ist76 ★★★★★
()

эта новость месяц назад была на опеннете, и там сказали, что новости без малого уже год.

oc
()
Ответ на: комментарий от vkos

>Всё-таки по-русски будет 1 из 262.144=262144 случаев, а не 262,144 ~= 262. А то сначала испугался, с каких это пор 2^18 = 262.

Вот кстате дайте ка мне того мудака, что постановил, что в русском языке дробная часть отделяется запятой, а не точкой. Уж я бы его поотделял.

legolegs ★★★★★
()
Ответ на: комментарий от darkk

>Что бы не казалось господам с высшим образованием, но подобные методы используются.

Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

A-234 ★★★★★
()

Кстати, британские учёные:

> Исследователи из Royal Holloway, University of London

ip1981 ☆☆
()
Ответ на: комментарий от A-234

> Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Да, конечно, мы все знаем, как надежен и невзламываем AES. Рекомендую почитать хотя бы википедию, http://en.wikipedia.org/wiki/Block_cipher_modes_of_operation

Хотя бы первые три параграфа.

darkk
()
Ответ на: комментарий от A-234

> Криптографическая стойкость алгоритма расчитывается из расчета того, что злоумышленник знает сам алгоритм. Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Ваша первая фраза не обосновывает вторую. Таким образом, вы высрали на просторы ЛОР-а классический сэмпл бессвязного бреда.

Теперь то же самое в варианте для тупорылых, медленно и по слогам: из открытости алгоритма никак не следует, что подмешивание первых четырех случайных байт не может сказаться на его стойкости.

Manhunt ★★★★★
()
Ответ на: комментарий от A-234

>Именно поэтому "господа с высшим образованием" полагают подмешивание первых 4-х, 100, 150 ... случайных байт полной нелепицей, поскольку на оценке стойкости такая операция никак не скажется.

Это не есть правда. Просто криптостойкость определяется совсем не мутностью преобразований. А в данном случае подмешивание рандома вообще ничего не даст кроме похеренной информации.

r ★★★★★
()
Ответ на: комментарий от r

> А в данном случае подмешивание рандома вообще ничего не даст кроме похеренной информации.

В данном случае, если верить тексту новости, всё, что удается хоть как-то скомпроментировать - это первые четыре байта. И если не класть в первые четыре байта ничего интерсного, то этой уязимости попросту нет.

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

>Теперь то же самое в варианте для тупорылых, медленно и по слогам: из открытости алгоритма никак не следует, что подмешивание первых четырех случайных байт не может сказаться на его стойкости.

Уточнение - из этого не поистекает, что стойкость повысится. На простом примере если банальный ксор с числом "замутить" "умножением на 36 делением на 62 и прибавлением 5" - на криптостойкость это не повлияет.

r ★★★★★
()
Ответ на: комментарий от Manhunt

> В данном случае, если верить тексту новости, всё, что удается хоть как-то скомпроментировать - это первые четыре байта. И если не класть в первые четыре байта ничего интерсного, то этой уязимости попросту нет.

Это с точки зрения пользователя - возможно и "нет уязвимости". Но факт останется фактом: четыре расшифровываются (и не важно что там, случайные какие-то числа или что-то еще).

smh ★★★
()
Ответ на: комментарий от r

> Уточнение - из этого не поистекает, что стойкость повысится.

Разумеется. Чтобы говорить об изменении стойкости, нужно взять конкретный алгоритм (и математическое обоснование его стойкости). В данном случае, я так понимаю, с математикой все в порядке. Но в конкретной имплементации обнаружены краевые эффекты. Легко подавляемые. И, кмк, совершенно несущественные.

Manhunt ★★★★★
()
Ответ на: комментарий от smh

> Но факт останется фактом: четыре расшифровываются (и не важно что там, случайные какие-то числа или что-то еще).

Если там случайные данные, то собственно информации не расшифровывается нисколько. Hint: рассматривайте свойства результирующего алгоритма, а не отдельных его частей.

Manhunt ★★★★★
()

как в анекдоте - 4 млрд китайцев попытались взломать сервер пентагона. Каждый китаец ввел рандомный пароль 1 раз.... А ваще значит можно так ломать OpenSSH при помощи пары сотен тысяч быделов, тупо все перебирающих... А взять их можно скажем на одноклассниках или еще лучше на вконтакте.

upcFrost ★★★★★
()
Ответ на: комментарий от upcFrost

>как в анекдоте - 4 млрд китайцев попытались взломать сервер пентагона. Каждый китаец ввел рандомный пароль 1 раз.... А ваще значит можно так ломать OpenSSH при помощи пары сотен тысяч быделов, тупо все перебирающих... А взять их можно скажем на одноклассниках или еще лучше на вконтакте.

SSHGuard, Fail2Ban. не пробовали?

rave
()
Ответ на: комментарий от legolegs

Увы, я с ним не знаком... А вообще вы у европейцев спросите, может они подскажут ;)

vkos ★★
()

> расшифровать кусок передаваемых данных длиной в 32 бита.

решеYIFe89fRf28L8uvyFa1MIS3DXW4kwZkCxAeFNcK3bZpjS

sli
()
Ответ на: комментарий от legolegs

> Вот кстате дайте ка мне того мудака, что постановил, что в русском языке дробная часть отделяется запятой, а не точкой. Уж я бы его поотделял.

Я не знаю, как сейчас в России, но в б/СССР всегда дробная часть отделясь запятой. А точка появилась только с появлением M$. Также как и точка с Shift-7 переместилась вниз клавиатуры (захватив с собою запятую).

m13
()

s/с вероятностью 2^{-18} (один случай из 262,144)/с отличной от нуля вероятностью/

fixed

k0wax
()
Ответ на: комментарий от Manhunt

> Если там случайные данные, то собственно информации не расшифровывается нисколько. Hint: рассматривайте свойства результирующего алгоритма, а не отдельных его частей.

Да все понятно. Мы не говорим о "собственно информации". Речь идет вообще о том, что расшифровываются данные, которые зашифровал пользователь (и неважно, какие они - случайные или нет). А это уязвимость.

smh ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.