SSH-experiment levert interessante wachtwoorden op

05-02-2012,08:55 doorRedactie

Een experiment waarbij een beveiligingsonderzoeker zijn SSH-server bewust liet aanvallen, heeft een aantal interessante trends en wachtwoorden opgeleverd. Servers waarbij gebruikers via SSH kunnen inloggen zijn een geliefd doelwit van aanvallers, die via brute force-aanvallen allerlei combinaties van gebruikersnamen en wachtwoorden proberen. Beveiligingsonderzoeker Steven Murdoch wilde zien wat voor soort aanvallen en woordenboeken de aanvallers gebruiken.

De meeste aanvallen die Murdoch in zijn experiment waarnam waren "saai", zoals hij het zelf omschrijft. Het gaat dan om zwakke, veel voorkomende wachtwoorden zoals 1234 en password, in combinatie met een beperkt aantal gebruikersnamen. Ook detecteerde hij pogingen op een groot aantal accounts die mogelijk zouden kunnen bestaan, maar per account werd slechts een klein aantal wachtwoorden geprobeerd.

FreeBSD
Toch waren er ook verschillende interessante aanvallen, merkt Murdoch op. Het gaat dan om wachtwoorden als “TiganilAFloriNTeleormaN”, “Fum4tulP0@t3Uc1d3R4uD3T0t!@#$%^%^&*?”, en “kx028897chebeuname+a”). Die zijn waarschijnlijk via een ongehashte wachtwoordendatabase of getrojaniseerde SSH-server of client verzameld. Andere vreemde pogingen bestonden uit platte en gesalte hashes en zelfs bestandsnamen kwamen langs.

Dat laat zien dat sommige aanvallers niet om de kwaliteit van hun wachtwoordendatabase geven en wachtwoorden die zinloos zijn om te gebruiken gewoon laten staan, stelt de onderzoeker. Verder ontving hij veel inlogpogingen, maar geen wachtwoorden, omdat de standaard FreeBSD configuratie alleen keyboard-interactive authenticatie ondersteunt, in plaats van de beperktere wachtwoord-authenticatie.

Hostname
Eén aanval die Murdoch nog nooit had gezien was het gebruik van gebruikersnamen en wachtwoorden gebaseerd op de hostname van de machine. "Dit was duidelijk geen woordenboek, maar zelfontwikkelde code die een reverse DNS-lookup van de host deed en dan mogelijke wachtwoorden genereerde. Murdoch adviseert gebruikers om sterke wachtwoorden te kiezen en niet via wachtwoorden op het root-account in te loggen, aangezien dit de meeste aanvallen kan voorkomen.

"Online verkiezing Oscars kwetsbaar voor hackers"

Beveiliger krijgt 8 miljoen na ontdekking Chinese malware

Reacties

05-02-2012,

09:48 door

Anoniem

+0 Rating:

Quote deze reactie | Reactie niet OK

Nog beter: Gebruik key based authentication!

10:05 door

"Murdoch adviseert gebruikers om sterke wachtwoorden te kiezen en niet via wachtwoorden op het root-account in te loggen, aangezien dit de meeste aanvallen kan voorkomen."

Beter nog:
-Inloggen met wachtwoorden en op basis van hostname e.d. uitschakelen en alleen met sleutels werken.
-Verder kan je ook aangeven welke gebruikers er mogen inloggen.
-Root toegang verbieden (zoals Murdoch zegt)
-In de firewall aangeven vanuit welke ip-adressen er een verbinding naar de ssh daemon mag worden opgezet.
-Uiteraard de ssh daemon wanneer nodig updaten!

12:15 door

Gaat ie nu ook een praatje geven bij blackhat hierover...?
Dit is het meest interessante onderzoek waar we iets over kunnen melden, mijn god... nee, niemand heeft dit eerder onderzocht... state of the art research!

15:32 door

-1 Rating:

Sorry Murdoch, dit is niet nieuw en al helemaal niet interessant voor ieder die een beetje aan netwerkbeveiliging doet. En als ik zijn advies zo lees kan hij zelf ook nog wel een cursus beveiliging gebruiken. Beetje zonde, Murdoch heeft in het verleden veel beter werk geleverd met experimenten op gebied van EMV.

06-02-2012,

07:13 door

Door Anoniem: Nog beter: Gebruik key based authentication!

Gebruik key plus wachtwoord!

09:04 door

en/of je ssh daemon op een andere port dan 22 laten luisteren.

09:51 door

djbasse

Door Anoniem: en/of je ssh daemon op een andere port dan 22 laten luisteren.

dat sowieso!

11:30 door

M.a.w. hij heeft Kippo (SSH Honeypot) geïnstalleerd en gepubliceerd wat mensen die al zo'n ding draaien al lang hebben gezien. Beetje kansloos "onderzoek" dit.

12:04 door

spatieman

SSH dicht laten helpt ook...
oh wacht.....

16:09 door

Gelukkig nog maar een jaar oude resultaten:

http://blog.sucuri.net/2010/01/honeypot-analysis-looking-at-ssh-scans.html

16:16 door

of ga ff naar duosecurity.com en heb een super1373 two-factor authenticatie.

18:52 door

Ralphwil

Wat zijn gesalte hashes?

07-02-2012,

01:54 door

Niks kansloos of saai onderzoek. Goede security bewerkstellig je alleen door ook oude onderzoeken af en toe te herhalen, ook al is het maar om te concluderen dat er niets veranderd is. Nieuwe trends en onderzoeksmethodes kun je op deze manier ontdekken. Daar los van zijn de adviezen een beetje standaard. Ja, laten we met uitsluitend keys werken... die worden meestal opgeslagen op gebruikerspc's die veel minder zwaar beveiligd zijn dan de daadwerkelijke server. Keys zijn net zo achterhaald als statische wachtwoorden. Een beetje server gebruikt OTP

13:18 door

SLight

Door Ralphwil: Wat zijn gesalte hashes?

normaal is het zo iets als MD5( $pass), maar met Salt MD5($pass + $salt), de waarde van Salt is willekeurig en brute forcen is bij een onbekende salt dus niet mogelijk, tenzij andere mogelijkheden van die hash heel toevallig gebruteforced zijn.

zo zou ik theorie de hash van bijvoorbeeld: askulhaJKLHFA7&#uear5uioah8 hetzelfde kunnen zijn als de hash van LIYG7fd, wat iets makkelijker te brute forcen is.

E-mail:
Wachtwoord:
Blijf 30 dagen ingelogd
Wachtwoord kwijt? Account aanmaken

Login