LINUX.ORG.RU

Конец SSH и SSL?


0

0

На securityportal.com появилась статья об угрозе исходящей из новой версии dsniff(2.3):

arpspoof - spoof arp entries
dnsspoof - forge dns replies
macof - flood using mac addresses
tcpkill - block tcp connections
tcpnice - slow down tcp connections
dsniff - all purpose sniffer
filesnarf - NFS sniffer
mailsnarf - email sniffer
msgsnarf - IM sniffer
urlsnarf - web url sniffer
webspy - lets you surf in synch with your target
sshmitm - SSH protocol 1 attack
webmitm - HTTP / HTTPS attack

Обратите внимание на последние два пункта.

>>> Подробности



Проверено:

Не конец, а начало ;-)))
Щас посыпется patch от Васи-Пети-Коли, и в итоге SSH (x+1).y.z и т.д.

А потом новое письмо про "конец" ;-))

lb
()

Да ладно судя по всему там не все так грусно - по крайней мере в случае SSH опастность проявляется только при первичном обмене ключами. Так что господа ставьте параноидальный уровень безопастности и носите ключи на дискетке :) Да кстати еще один забавный момент - что это вдруг за сенсация man in the middle анака по-моему классика. Не верится мне что индустрия про все это знала и тем не менее гоняла через это миллионы и миллиарды $.

anonymous
()

:-\\

слов нету , читаю заголовок, набираю killall sshd :),
продолжаю читать , а там начинающим пользователям обьясняют
прописные истины про ssh , и понятные вещи про ssl (понятные любому, кто
внимательно читал документацию/спецификации по ssl, и думал что к чему, да собственно
там и написано английским по белому, что anonymous client - anonymous server
ssl connection подвержена man-in-the-middle-attack )

в общем добили меня таким громким заголовком на securityportal.com,
educational статьи надо поскромнее называть,
они бы еще пошли дальше и написали статью "End of Linux security",
в которой рассказали бы о telnet'e и сниферах.
и все эти спуферы наверняка понаписывали 5 - 10 - 20 лет назад,
возможно это первый public available.

а если user'ы всегда говорят yes, когда host key changed, то
openssh клиент легко пропатчить чтобы он вываливался в таких случаях,
и грозно писал contact your administrator immediately !

szh ★★★★
()

Обратите внимание, господа, на автора новости - тот же, что и автор проблемы 2001. Ничего личного.

ssh
()

2ssh: а все таки? ведь на проблемы y2k угрохали кучу бабок... так же здесь людям нужны деньги а богатые американцы могут их отдать... так что почему бы и нет?

darkden
() автор топика
Ответ на: комментарий от darkden

2 darkden <br> >> людям нужны деньги а богатые американцы могут их отдать... так что почему бы и нет? <br> это их проблемы а постить всякую чухню сюда не надо.

affa
()

Если кто-то пишет полный трафик, включая обмен ключами, то
конечно, есть угроза.
Однако сколько это стоит?
Один мой знакомый, в глаза админу посмотрит и тот все пароли сам
отдаст. Или жучек на хаб, на маму, клаву, или сканер фона писюка.
Вообщем угроза стара как и сам SSL.
Бороться можно просто -- помехами и завышением трафика, пускай
пишут пока бабки есть.
Банковский обмен, как правило не построен на открытом электронном
обмене ключами. Остальное интереса не представляет.

BlackRabit
()

Маразм.

Какой-то му... мудрец решил громко проорать о прописных истинах, давно всем известных.
Вся эта байда, как и методы предотвращения MIM-атак описана во всех руководствах.

AffreuxChien
()
Ответ на: Маразм. от AffreuxChien

человеки...чего вы разкричались..
идёт развитие нормального сниффера..вот и всё... а как его рекламируют,
это уже другой вопрос..
прога нормальная 
ethernet слушает хорошо, пароли все собирает (web, mail, icq, telnet, ftp итд).
и этого хватает

anonymous
()
Ответ на: комментарий от affa

2 affaя

здесь не админ и не могу постить новости без соответствующей проверки┘ поэтому постил не я... я так же не виноват что была вторая мировая война... убили Кеноди, и ...

darkden
() автор топика
Ответ на: комментарий от darkden

ну вот...от всего отмазываться начал...и кеннеди оказывается не он убил.
а я-то думал...

anonymous
()

ПОМОГИТЕ HELP HELP

Люди, а как жить локалке? как избавиться от этой проблемы.. я только что пустил у себя dsniff и увидел кучу чужих паролей для всего чего только можно. Значит и у меня увидят...как спастись? ПОМОГИТЕ!!!! (серьёзно очень важно и срочно)

anonymous
()
Ответ на: комментарий от master

2 master:
видимо тебя часто поворачивали задом, что таким отморозком стал...
нормально спрашивают - отвечай нормально

anonymous
()

для быстро и просто:
ssh: генери ключь осторожно (ну, типа когда все пошли курить).
2. Ставь программируемые свитчи. Если очень много денег -- cisco.
3. На роутерах настрой tos.
4. Никогда не пользуйся коаксиалом или hub-ами.
5. Если несколько серверов -- сделай encrypted pppoe и запрети доступ со всех остальных серверов. и пусть ловят маски до посинения.

lb
()
Ответ на: комментарий от lb

2lb:
Смотри есть локалка...(Вся на витой паре ...ну в общем стaндартный ehternet)
Один комп - гейтвэй в инет.
Я сижу в одной подсетке с гейтвэем.
Через нашу подсетку людей других в инет выходит туча.
Я у себя запускаю dsniff .. через 10 минут у меня порядка 40 паролей разных людей на
а) ICQ b) Mail c) ftp  d) Http[https] d) telnet e) samba f) nfs (ssh ем к счастью вторым все здесь пользуются )
Можешь сказать примерную схему защиты?

или единственный выход (если это выход) делать тунель защищённый от каждого компа до сервера
типа клиент посылает запрос в инет..на его же машине создаётся туннель до гейтвэя чёнить типа IPSec+L2TP.
 на гейтвэе всё это дешифруется и форвардится в сеть. На входе опять шифруется и по туннелю шлётся клиенту?

anonymous
()

ICQ, ftp и telnet -- для этого и dsniff не нужен. tcpdump-a достаточно. Здесь поможет только физическое отсутствие пакета в сети хакера ;-(
А каким образом пакеты попадают к тебе? У тебя что, switch-и все и всем? Или переполнена память MAC-адресов?
В общем, по поводу быстро --пожалуй только настройкой среды.

А что такое пароль на nfs?

ЗЫ: если что еще, давай на lb@ccsd.tsure.ru

lb
()

anonymous (*) (2000-12-19 18:50:48.0): а как это пароль на nfs ?
я тоже так хочу ;)
А если серьезно, то все что ты перечислил и так можно было всегда
перехватить, dsniff в этом смысле америки не открыл. Что же касается
перехвата ssh/ssl, то пока я это своими глазами не увижу, не поверю.
Логи tcpdump принимаются в качестве доказательства на pasha_k@chat.ru
Но даже если это и работает, то правильное построение сети и
наличие свитчей в опасных точках должно практически полностью эти
проблемы решать. Зафлудят они свитч, как-же ;) Даже если начнут
флудить все равно это можно засечь (по SNMP или даже просто глядя на
лампочки), после чего изловить кулхацкеров и отрывать яйца. Медленно и
по одному ;)
Pasha.K

anonymous
()

ssh использует RSA. Поэтому, в момент ПЕРВОГО соединения, когда они договариваются, можно отнять ключик. А дальше просто сидеть и слушать. Токма пароль ssh не передает... Масочку, по-моему MD5. А там -- только подбор, на сколько я знаю...

lb
()

Отвлекли меня первй раз... С исправлениями. :)

Как тут правильно кто-то сказал -- нефиг "говорить" yes, если не понимаешь вопроса. :)) Если кто-то не понимает важности первоначального обмена ключами, то сам он себе кулцхакер. А для самых крутых brain damaged кулцхакеров существует /etc/ssh_known_hosts и опция StrictHostKeyChecking. Причем описано это все (включая и man-in-the-middle attack) в man ssh(1).

Вообще, что-то уже больно много стало "сенсаций", основанных на некомпетентности "первооткрывателей". Когда-то давным-давно, когда я раскапывал какие-то тонкости SSL/TSL упоминание о возможной атаке такого типа "замозолило" мне все глаза при чтении документации. Да только, видно уже никто документацию не читает, не говоря уже о man pages. Конец всему этому linux fraud наступает. И слава Богу, а то вон уже пароли на nfs появились...

Dronov
()

Для Pasha.k.:
Если у тебя на свитчах не стоит привязка по MAC-адресам
и/или нет защиты от arp spoofing/icmp redirect - то
грош цена твоим свитчам как средству обеспечения безопасности
(коим они кстати ни разу не являются :)
Можешь попробовать кстати на своей сетке arpredir из dsniff :)
А насчет ssh/ssl - ну... если доверять всем ключам подряд,
то чего уж еще ждать кроме взлома
PS. заодно приветствуется рассказ про обнаружение arp spoofing'a
по SNMP и особенно по лампочкам :)

Не кулхацкер ни в одном глазу :)

anonymous
()
Ответ на: комментарий от Dronov

насчёт nfs там не пароли а скорее инфа о подсоединении (пароли к самбе и всему остальному видны )
 а насчёт туннелинга и IPSec'a - поможет или нет? мне кто-нить может сказать?

anonymous
()

...а насчёт туннелинга и IPSec'a - поможет или нет?
Ну, в своей основе VPN на этом и строится.. Помогает ить.. Вообще, неплохо-бы тебе запустить какой-нибудь текстовый редактор, и записать а) требования к сети; б) возможности. Дальше уже можно покумекать и прийти к компромиссу. Типа что дешевле -- строить туннели и городить на них секурити, или поставить программируемый свитч и разделить трафик от подразделений ?

lb
()
Ответ на: комментарий от lb

2lb:

ок ну разделю я подразделения...я в своём каждый сможет у остальных пароли смотреть?

anonymous
()

Если я правильно помню, то nfs начиная с v3 умеет авторизацию. Качать свежие nfs-utils для проверки ломает :)

Casus ★★★★★
()

...в своём каждый сможет у остальных пароли смотреть?
Только в случае использования хабов/коаксиала. или переполнения памяти свичей (справчедливо для тех, которые при незнании маршрута отдают всем, а не "нафиг").

lb
()

В общем, смысл защиты от таких "кулхацкеров" в локале состоит в том, чтобы они на своей машине не ловили чужих пакетов. При имении больших бабок это можно сделать при помощи свитчей с модклями маршутизации или готовых комплектов CISCO.
При их неимении -- извращаться. Я, например для этого использую проверку MAC-адресов на роутере. (iptables от 2.4-test10)

lb
()

рассказ про обнаружение arp spoofing'a
Если на свитче стоит посегментная резка виндовозных bcast-ов, то одновременное моргание всех лампочек наводит на мысль, что надо-бы посмотреть, кто и что.
Вот тут недавно приезжали 3ком, и рассказывали про firewall с линухом на борту. Там например, зная дырки можно че-нибудь и поиметь... у самого такого нет, но чисто теоретически...

lb
()

2lb:
замечание про arp spoofing - он может быть и не броадкастовый
более того именно такой наиболее удобен при атаке :)

Всем кто думает что свитчи - панацея:
Это не так - разве что раскидывать по VLAN (но если случайно
есть доступ к транковым портам - это тоже не проблемы :)
или использовать привязку всех станций по мак адресам
Просто свитч без этих функций не спасает ни от чего

Все тот же некулхацкер :)
(только что вот доказал клиентам за 5 мин что
switched network != security :)
Пользуйте нормальный VPN с подписанными сертификатами
и ваши волосы... :)

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.