Nieuws
image

SSH-experiment levert interessante wachtwoorden op

zondag 5 februari 2012, 08:55 door Redactie, 14 reacties

Een experiment waarbij een beveiligingsonderzoeker zijn SSH-server bewust liet aanvallen, heeft een aantal interessante trends en wachtwoorden opgeleverd. Servers waarbij gebruikers via SSH kunnen inloggen zijn een geliefd doelwit van aanvallers, die via brute force-aanvallen allerlei combinaties van gebruikersnamen en wachtwoorden proberen. Beveiligingsonderzoeker Steven Murdoch wilde zien wat voor soort aanvallen en woordenboeken de aanvallers gebruiken.

De meeste aanvallen die Murdoch in zijn experiment waarnam waren "saai", zoals hij het zelf omschrijft. Het gaat dan om zwakke, veel voorkomende wachtwoorden zoals 1234 en password, in combinatie met een beperkt aantal gebruikersnamen. Ook detecteerde hij pogingen op een groot aantal accounts die mogelijk zouden kunnen bestaan, maar per account werd slechts een klein aantal wachtwoorden geprobeerd.

FreeBSD
Toch waren er ook verschillende interessante aanvallen, merkt Murdoch op. Het gaat dan om wachtwoorden als “TiganilAFloriNTeleormaN”, “Fum4tulP0@t3Uc1d3R4uD3T0t!@#$%^%^&*?”, en “kx028897chebeuname+a”). Die zijn waarschijnlijk via een ongehashte wachtwoordendatabase of getrojaniseerde SSH-server of client verzameld. Andere vreemde pogingen bestonden uit platte en gesalte hashes en zelfs bestandsnamen kwamen langs.

Dat laat zien dat sommige aanvallers niet om de kwaliteit van hun wachtwoordendatabase geven en wachtwoorden die zinloos zijn om te gebruiken gewoon laten staan, stelt de onderzoeker. Verder ontving hij veel inlogpogingen, maar geen wachtwoorden, omdat de standaard FreeBSD configuratie alleen keyboard-interactive authenticatie ondersteunt, in plaats van de beperktere wachtwoord-authenticatie.

Hostname
Eén aanval die Murdoch nog nooit had gezien was het gebruik van gebruikersnamen en wachtwoorden gebaseerd op de hostname van de machine. "Dit was duidelijk geen woordenboek, maar zelfontwikkelde code die een reverse DNS-lookup van de host deed en dan mogelijke wachtwoorden genereerde. Murdoch adviseert gebruikers om sterke wachtwoorden te kiezen en niet via wachtwoorden op het root-account in te loggen, aangezien dit de meeste aanvallen kan voorkomen.

Reacties (14)
05-02-2012, 09:48 door Anoniem
Nog beter: Gebruik key based authentication!
05-02-2012, 10:05 door Anoniem
"Murdoch adviseert gebruikers om sterke wachtwoorden te kiezen en niet via wachtwoorden op het root-account in te loggen, aangezien dit de meeste aanvallen kan voorkomen."

Beter nog:
-Inloggen met wachtwoorden en op basis van hostname e.d. uitschakelen en alleen met sleutels werken.
-Verder kan je ook aangeven welke gebruikers er mogen inloggen.
-Root toegang verbieden (zoals Murdoch zegt)
-In de firewall aangeven vanuit welke ip-adressen er een verbinding naar de ssh daemon mag worden opgezet.
-Uiteraard de ssh daemon wanneer nodig updaten!
05-02-2012, 12:15 door Anoniem
Gaat ie nu ook een praatje geven bij blackhat hierover...?
Dit is het meest interessante onderzoek waar we iets over kunnen melden, mijn god... nee, niemand heeft dit eerder onderzocht... state of the art research!
05-02-2012, 15:32 door Anoniem
Sorry Murdoch, dit is niet nieuw en al helemaal niet interessant voor ieder die een beetje aan netwerkbeveiliging doet. En als ik zijn advies zo lees kan hij zelf ook nog wel een cursus beveiliging gebruiken. Beetje zonde, Murdoch heeft in het verleden veel beter werk geleverd met experimenten op gebied van EMV.
06-02-2012, 07:13 door Anoniem
Door Anoniem: Nog beter: Gebruik key based authentication!

Gebruik key plus wachtwoord!
06-02-2012, 09:04 door Anoniem
en/of je ssh daemon op een andere port dan 22 laten luisteren.
06-02-2012, 09:51 door Erwin_
Door Anoniem: en/of je ssh daemon op een andere port dan 22 laten luisteren.
dat sowieso!
06-02-2012, 11:30 door Anoniem
M.a.w. hij heeft Kippo (SSH Honeypot) geïnstalleerd en gepubliceerd wat mensen die al zo'n ding draaien al lang hebben gezien. Beetje kansloos "onderzoek" dit.
06-02-2012, 12:04 door spatieman
SSH dicht laten helpt ook...
oh wacht.....
06-02-2012, 16:09 door Anoniem
Gelukkig nog maar een jaar oude resultaten:

http://blog.sucuri.net/2010/01/honeypot-analysis-looking-at-ssh-scans.html
06-02-2012, 16:16 door Anoniem
of ga ff naar duosecurity.com en heb een super1373 two-factor authenticatie.
06-02-2012, 18:52 door Rolfwil
Wat zijn gesalte hashes?
07-02-2012, 01:54 door Anoniem
Niks kansloos of saai onderzoek. Goede security bewerkstellig je alleen door ook oude onderzoeken af en toe te herhalen, ook al is het maar om te concluderen dat er niets veranderd is. Nieuwe trends en onderzoeksmethodes kun je op deze manier ontdekken. Daar los van zijn de adviezen een beetje standaard. Ja, laten we met uitsluitend keys werken... die worden meestal opgeslagen op gebruikerspc's die veel minder zwaar beveiligd zijn dan de daadwerkelijke server. Keys zijn net zo achterhaald als statische wachtwoorden. Een beetje server gebruikt OTP
07-02-2012, 13:18 door SLight
Door Ralphwil: Wat zijn gesalte hashes?

normaal is het zo iets als MD5( $pass), maar met Salt MD5($pass + $salt), de waarde van Salt is willekeurig en brute forcen is bij een onbekende salt dus niet mogelijk, tenzij andere mogelijkheden van die hash heel toevallig gebruteforced zijn.

zo zou ik theorie de hash van bijvoorbeeld: askulhaJKLHFA7&#uear5uioah8 hetzelfde kunnen zijn als de hash van LIYG7fd, wat iets makkelijker te brute forcen is.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search