A támadók keze alá dolgozik az, aki gyenge jelszót választ

Titkosítás, biztonság, privát szféra

Nem meglepő megállapítás, hogy a támadók dolgát könnyíti meg az, aki rendszeréhez gyenge jelszót választ. Könnyű ezt belátni. De, hogy ez ne csak feltételezés legyen, Michel Cukier adjunktus vezetésével egy tanulmány készült a Maryland Egyetemen, amely ezt a feltételezést igazolta. A kutatás során 24 napra az internetre helyeztek négy olyan linuxos gépet, amelyeken gyenge jelszavakat állítottak be. A gépekre körülbelül 270 000 behatolási kísérlet történt, kb. minden 39 másodperceben egy. Bővebben itt.

( Replaced | 2007. 02. 09., p – 21:15 )

bezzeg az openbsd nem fogad el akarmit, ezt azert atvehetne minden unix like rendszer

--
status: no carrier

A húgom otthoni gépén fut az sshd. (Kubuntu Linux)
Amikor otthon vagyok akkor a notimról adminisztrálom a gépét, és bevallom szeretem a rendszerfrissítéseket és az adminisztrációt ssh-n keresztül végezni. Igaz a router és egyben tűzfal a net felől nem engedi be a népet ssh-n.

Szóval otthon is jól jön ez néha.

Üdv: Tamaas

( LGee | 2007. 02. 09., p – 21:24 )

Az eredeti cikk itt.

Nehany plusz reszlet is szerepel itt.
Amugy persze az egesz meglehetosen ujszeru informaciokat kozol... ;-/

Azt hiszem, 'cukier' valamilyen szlav nyelven (lengyel?) cukrot jelent.

( bastya_elvtars | 2007. 02. 09., p – 21:24 )

Aki távoli root-logint engedélyez, az l4m3r, de ott van a key-alapú vagy a challenge/response ssh-n, let alone nonstandard ports.
--
Gentoo motto: It's worth spending eight hours trying to make something load 20ns faster.

Persze mindez kornyezetfuggo, pl en nem tudok a ceges halobol nonstd porton kisshzni, az ugyfel (vpn mogotti) intraneteben pedig mukodik a jelszavas root login bizonyos szerverekrol.

De aki olvasta pl Mitnick apo konyveit, annak nem ujdonsag, hogy a celtudatosan kiszemelt rendszereknel egy kis social engineering tobbet er minden brute force tamadasnal...

eredetileg tuzfalak miatt tettem at, de nalam mar egy ideje 443-on fut az sshd..
tkepp ugyanugy titkositott kapcsolat, mint a https, es a tuzfalak kiengedik (en meg be)
(persze igy a https server nem futhat ugyanott ugyanakkor)
---------------------
"Monumentalis gondolataim manifesztacioi - melyek mondatok formajaban realizalodnak - limitalt mentalis kepessegeid szamara nem mind akceptabilisak. Dialogusunk kontinuitasa igy megszakad. Nem jon letre az argumentumok szintezise."

Igazából teljesen mind1, hogy su vagy sudo, ha lokális hozzáférést szerez egy haxor, akkor pwned badly... (persze nem az egyszerű script kiddiekről beszélek, de akár azok is képesek rá, ha nem csak a társaiktól tanult parancsok kiadására képesek, hanem kicsit gondolkodni is)

Egyébként Gentoo ezt a wheel-only sajátosságát a BSD-ktől szedte, mint ahogy a forrás-alapú szoftver menedzsmentet is. ;)

> A sudo sokkal pontosabban szabályozható.
És az űberfasza adminok többségénél ezzel be is fejezték a biztonság növelését. A sudo-t istenítő emberek egy jelentős része rendelkezik a "sudo sh" , "sudo su" és hasonlóan baromira sokkal biztonságosabb lehetőségekkel a marha jól bekonfigolt sudoers fájljával. Akkor meg mit érek vele, ha jobban hangolható, ha nem hangolja?

Valami, amit mindig meg akartam kérdezni, de sose mertem :-)

Az szerintetek mennyire növeli (vagy sem) a biztonságot, ha a távoli bejelentkezés úgy történik, hogy ssh-val kulcsos azonosítással kell belépni egy olyan userként, akinek a .bash_profile-ja annyi hogy:

su - másik_user
exit

( turul16 v | 2007. 02. 09., p – 22:23 )

http://hup.hu/node/34045 340 tamadasom volt kb. ez talan 2.5 eves naplo file ertelemzesebel fakad. Csak paran tudjak az itthoni domain nevem meg az IP -met.

Gyenge jelszora vadasztak.

( Botond | 2007. 02. 10., szo – 09:59 )

Honnan tudták a támadók, hogy 'root'-tal kell próbálkozni, azaz Linux-os a gép? Vagy a 22-es porton alapból csak 'root'-tal próbálnak bejelentkezni?

Jut eszembe: RDP-re hasonló szkriptet írtak már?

"hogy 'root'-tal kell próbálkozni, azaz Linux-os a gép?"

Az, hogy egy rendszeren van "root", abból nem következik, hogy az linuxos gép. Számos más rendszeren is "root" a legfőbb adminisztrátor. Próbálkoznak a "root"-tal, mert működhet akár BSD-ken is, Solaris-on, HP-UX-on, stb. stb.

--
trey @ gépház

Vagy pl. - hirtelen ötlet - hálózati forgalom elemzésével, az IP csomagokban az IP ID 2.6os linux kernelnél jellemzően mindig 0, windowsnál incrementális, tehát eggyel növekszik, extra mágiáknál , vagy openbsd-nél meg pl. random, véletlenszerű.

---------------

Nem a zsömle kicsi, a pofátok nagy...

( BaT | 2007. 02. 10., szo – 11:22 )

Ha már a gmailba is lehet regelni: nézzétek meg a gmail reg oldalon a jelszó mezőt. Beírsz egy jelszót és megpróbálja kitalálni, mennyire erős. Bár szerintem bugzik, mert a 'rootom'-ot vagy a 'www.hup.hu'-t is strongnak hiszi. :) De azért próbálkozni lehet vele.

( mogorva v | 2007. 02. 10., szo – 22:12 )

Arról nem is beszélve, hogy usernévnek is érdemes valami nem standard-et választani.

Persze külföldiek (főleg angolszász területen élők) hátrányban. Haverom akart magának György lévén 'george' usert egy tűzfalként is szolgáló gépre, de lebeszéltem és megkapta usernévnek a becenevét. Aztán pár nap múlva mutattam neki az SSH logot, amin szépen sorra volt próbálkozás 'john', 'mary', 'james', 'george', stb. stb. nevekkel.

BTW a 443-as ssh port is annyira triviális már, mint a 22-es. B-) Szóval csak kényelmi szempont (szenyára húzott tűzfal mögül is elérhessem), nem pedig biztonsági előny.

Szerintem még viszonylag jó megoldás, hogy olyan tűzfalat állít be az ember, hogy adott IP-ről x másodpercenként csak egy kapcsolatot lehet kezdeményezni pl. ssh és ftp portra. Így a próbálkozók vmennyire meg vannak szivatva. Bár ftp-nél egy kapcsolat alatt bármennyi usernévvel lehet próbálkozni, ezért jó pl. a vsftpd, mert az konfigolható, hogy hány hiba után bontson, utána meg már a tűzfal zárja ki a próbálkozót, ha nagyon kapkod és csak jönne-jönne.

( dii | 2007. 02. 11., v – 11:54 )

Egyszer én is bementem egy helyre ahol fizetős szoftver(SDK) letöltés volt (>1500€) a test/test párossal. :)
270 000 behatolási kísérlet? Gondolom valami hack me felhívás volt...