OpenSSH 9.5 met bescherming tegen keystroke timing-aanvallen is uit
De makers van OpenSSH hebben versie 9.5 gelanceerd die bescherming tegen keystroke timing-aanvallen bevat. OpenSSH, ook bekend als OpenBSD Secure Shell, is een verzameling van netwerktools gebaseerd op het SSH-protocol, en laat gebruikers op een beveiligde manier op bijvoorbeeld servers inloggen of op afstand machines beheren.
OpenSSH was echter kwetsbaar voor keystroke timing-aanvallen. In de interactive mode van SSH zal voor elke toetsaanslag van de gebruiker een apart IP-packet worden verstuurd. Zo kan 'interkeystroke timing information' van de gebruiker worden gelekt aan een aanvaller die toegang tot het netwerkverkeer heeft. Deze informatie is te gebruiken voor het achterhalen van het wachtwoord van de gebruiker en andere informatie die in de SSH-sessie wordt getypt.
Gebruikers hebben in het verleden geregeld gevraagd wat er tegen dergelijke timing-aanvallen wordt gedaan. Om deze gebruikers tegemoet te komen is nu 'keystroke timing obfuscation' aan OpenSSH toegevoegd. Deze maatregel moet inter-keystroke timings verbergen door op vaste intervallen, wanneer er weinig data wordt verstuurd, interactief verkeer te versturen. Ook zorgt deze feature ervoor dat na de laatste echte toetsaanslag van de gebruiker er voor een willekeurige periode nep-toetsaanslagen worden verstuurd.
Waarom zou je? Het is een prima bescherming. Je kunt ook gewoon telnet gaan gebruiken…
Wat is het toch, mensen die iets willen maar er zelfs geen link voor volgen ?
Link in het artikel, even zoeken op keystroke
to hide inter-keystroke timings by sending interactive traffic at
fixed intervals (default: every 20ms) when there is only a small
amount of data being sent. It also sends fake "chaff" keystrokes for
a random interval after the last real keystroke. These are
controlled by a new ssh_config ObscureKeystrokeTiming keyword.
Zo te zien dus uit te zetten met keyword als optie.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.