The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от opennews on 20-Июл-15, 19:04 
В OpenSSH выявлена (https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-i.../) недоработка, дающая возможность отключить систему ограничения интенсивности запросов на аутентификацию, мешающую эффективному проведению атак по словарному подбору паролей.


Метод основан на определении большого числа интерактивных устройств (KbdInteractiveDevices), симулируя подключение тысяч клавиатур. Установка таких устройств снимает применяемый по умолчанию лимит на шесть попыток входа в рамках одного соединения, вместо которого остаётся двухминутный таймаут на успешный вход в систему. За две минуты атакующий может перебрать  тысячи словарных комбинаций, что существенно повышает эффективность словарного перебора.


Метод работает только при активном в конфигурации методе интерактивной аутентификации (KbdInteractiveAuthentication). По умолчанию включение режима интерактивной аутентификации зависит от настройки ChallengeResponseAuthentication. Из систем, в которых данный режим включен по умолчанию отмечается FreeBSD.

URL: https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-i.../
Новость: http://www.opennet.dev/opennews/art.shtml?num=42634

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +5 +/
Сообщение от Котан on 20-Июл-15, 19:04 
Ждём специалистов по FreeBSD с их видением ситуации.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –7 +/
Сообщение от bOOster email(ok) on 21-Июл-15, 04:43 
sshit
А в целом kerberos юзайте.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –3 +/
Сообщение от Аноним (??) on 21-Июл-15, 07:16 
специалисты FreeBSD используют одноразовые пароли которые можно только случайно угадать, а линуксоиды ретрограды используют постоянные пароли - которые можно подобрать.

Вот и все.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +4 +/
Сообщение от A.Stahl (ok) on 21-Июл-15, 08:32 
>специалисты FreeBSD используют одноразовые пароли

Ну да. В виртуалочке из-под уютненькой виндочки запускают БСДешечку, ужасаются и сносят это всё к чёртовой бабушке. Одного раза обычно достаточно. Потому и пароль одноразовый.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

16. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +1 +/
Сообщение от bOOster email(ok) on 21-Июл-15, 12:02 
Очень заметно что ты этот путь уже прошел :))))
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

21. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –2 +/
Сообщение от Аноним (??) on 21-Июл-15, 13:59 
Теперь хотя бы понятна его патологическая пена изо рта при слове бсд. Он - неосилилятор.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

22. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от bOOster email(ok) on 21-Июл-15, 14:26 
Думаешь теперь это ярко выраженный комплекс неполноценности? :)
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

26. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +1 +/
Сообщение от Аноним (??) on 21-Июл-15, 15:23 
Не проецируйте.
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

13. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от AlexYeCu_not_logged on 21-Июл-15, 09:45 
Пароли? Для ssh? Что смотрит в интернет? Ок.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

19. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +1 +/
Сообщение от Аноним (??) on 21-Июл-15, 13:48 
Вот за это вас бсдшников и ненавидят!! Вы постоянно унижаете!!
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от Аноним (??) on 21-Июл-15, 15:24 
О да, унижают... тех, у кого ЧСВ зашкаливает. То есть большинство неадекватов.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

20. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от Аноним (??) on 21-Июл-15, 13:51 
Им бесполезно что-либо говорить, они даже не в курсе, что во FreeBSD доступно несколько ssh.
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

34. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от angra (ok) on 21-Июл-15, 23:17 
А что собственно вас в этом смущает? Или у вас логин root и словарный пароль?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

39. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 23-Июл-15, 09:23 
были некоторые добрые люди в новоросийске на узле связи .. они включили telnet, создали еще одного юзера с uid = 0, и задали ему паролем словарное слово :)

после этого можно уже не удивляться :)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

42. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от count0krsk (ok) on 18-Авг-15, 20:07 
Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся менять уид своему юзеру, чтобы судо не вводить 20 раз в день.
Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

44. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от scorry (ok) on 23-Авг-15, 18:23 
> Вы вот сейчас поняли, какой секрет раскрыли миру? Сейчас все убунтоиды ломанутся
> менять уид своему юзеру, чтобы судо не вводить 20 раз в
> день.

Расскажи нам, малыш, какая у тебя система, которая даёт тебе автоматическое преимущество перед убонтоводами.

Ответить | Правка | ^ к родителю #42 | Наверх | Cообщить модератору

17. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +1 +/
Сообщение от Аноним (??) on 21-Июл-15, 12:29 
Наверняка об этом и говорил Тео.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +2 +/
Сообщение от ups (??) on 20-Июл-15, 19:21 
Не вижу ситуации
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от хрюкотающий зелюк on 20-Июл-15, 19:42 
Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Sw00p aka Jerom on 21-Июл-15, 09:35 
Зато permit root login по дефолту
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 21-Июл-15, 15:24 
Как будто это что-то плохое.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

30. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от Sw00p aka Jerom on 21-Июл-15, 18:04 
ну в принципе уже известен логин, в случае запрещения рута - то нуно ещё додуматься какой может быть логин
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

31. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от tipa_admin on 21-Июл-15, 20:15 
> ну в принципе уже известен логин, в случае запрещения рута - то
> нуно ещё додуматься какой может быть логин

А что мешает сделать ещё одного юзера с uid 0? А root-у и вовсе запретить заходить. И не только на sshd.

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

43. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от count0krsk (ok) on 18-Авг-15, 20:09 
>> ну в принципе уже известен логин, в случае запрещения рута - то
>> нуно ещё додуматься какой может быть логин
> А что мешает сделать ещё одного юзера с uid 0? А root-у
> и вовсе запретить заходить. И не только на sshd.

А не проще в ssh логиниться по ключу с отключенным рутом, а потом ручками вводить sudo bash и вперед, настраивть/ломать ;-)

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

32. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 21-Июл-15, 21:09 
Там так-то рут отключен по дефолту. (или просто не имеет пароля?) Но в любом случае, по ssh под рутом не зайти.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

41. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Красн0глазик email on 26-Июл-15, 13:53 
> Прочитал, понял, позор. В Ubuntu это отключено, нет такой проблемы?

В Debian ChallengeResponseAuthentication выключен.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Параш on 20-Июл-15, 20:00 
Double EPIC!

sshd_flags="-oUseDNS=no -oProtocol=2 -oPasswordAuthentication=no -oPermitEmptyPasswords=no -oChallengeResponseAuthentication=no -oBanner=none"

Не даем авторизацию по паролю, только по ключу заходите, SSH-v2.0.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +18 +/
Сообщение от Аноним (??) on 20-Июл-15, 22:38 
А ещё несловарный пароль мешает эффективному проведению атак по словарному подбору паролей.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

18. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +2 +/
Сообщение от Аноним (??) on 21-Июл-15, 13:14 
Вы говорите очевидные вещи, не всем доступные для понимания.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

7. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от yz on 20-Июл-15, 22:42 
Для чего вообще эта опция нужна?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 20-Июл-15, 23:00 
Для поддержки OTP-токенов вроде бы.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

23. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 21-Июл-15, 15:17 
Говорят, чтение доков и мануалов экономит уйму нервов и времени. Врут наверное :)

https://www.freebsd.org/doc/handbook/openssh.html
> 14.8.1.1. Key-based Authentication
> Instead of using passwords, a client can be configured to connect to the remote machine using keys.
> ...
> It is recommended to protect the keys with a memorable, but hard to guess passphrase.
> ...
> Warning:
> Many users believe that keys are secure by design and will use a key without a passphrase. This is
> dangerous behavior.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от Аноним (??) on 21-Июл-15, 15:18 
Ну и? bruteblock или аналогичные средства - и хоть заподбирайся с тысяч-тысяч-тысяч клавиатур - IP заблокируется и всё.
Плюс запрет на вход root по SSH по дефолту.

Без этого только неадекватные админы выставляют SSH на 22 порту в инет. Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для логов :)

Желающие добавляют нестандартные логины, SSH-ключи по вкусу.
Вот как то так.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 21-Июл-15, 21:13 
recent в iptables же. + можно на всяких микротиках юзать, где спецсофта нет.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

37. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +1 +/
Сообщение от Адекват (ok) on 22-Июл-15, 11:43 
> Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
> Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
> логов :)

Да, это боль выяснять что Journalctl тормозит потому, что из 2Gb 90% логов забито сообщениями от sshd с 22 порта.


Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

40. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от scorry (ok) on 23-Июл-15, 20:12 
> Без этого только неадекватные админы выставляют SSH на 22 порту в инет.
> Ну или обладатели стальных яиц^W^W длинных паролей и больших дисков для
> логов :)

Автор не сравнивал логи SSH на стандартном и нестандартном порту?
Автор не анализировал логи на предмет того, через сколько минут приходят первые китайские боты на свежеоткрытый айпи?

А длинный пароль полезен, да. Как и fail2ban. Как ключи тоже, конечно.

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

25. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Аноним (??) on 21-Июл-15, 15:23 
Оу, а у него до сих пор нет опции KbdInteractiveLogonDelay ?????????
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Michael Shigorin email(ok) on 21-Июл-15, 16:57 
# fgrep ChallengeResponseAuthentication /etc/openssh/sshd_config | head -1
#ChallengeResponseAuthentication no
# rpm -q openssh-server
openssh-server-6.7p1-alt1

PS: к вышеупомянутым прибавлю sshutout.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  +/
Сообщение от Ne01eX (ok) on 22-Июл-15, 00:15 
На Слаке тоже не работает. =)
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

38. "Уязвимость, позволяющая обойти защиту от BruteForce-атак в O..."  –1 +/
Сообщение от Адекват (ok) on 22-Июл-15, 11:45 
По мне так это новость звучит так:
Наша улитка поставила цель проползти 100 метров, раньше она проползала 1см, но теперь, благодаря новой пневмоподвеске она способна проползать расстояние в 10 раз больше, чем раньше !!!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру