Login
Newsletter
Werbung

Do, 12. Mai 2005, 10:58

Software::Netzwerk

Wie könnte ein SSH-Wurm aussehen?

Das MIT hat ein Dokument veröffentlicht, welches zeigt, wie potentielle Würmer auf Basis von SSH aussehen könnten.

Erreichbare Zielknoten

Erreichbare Zielknoten

Während die Secure Shell dank ihrer verschlüsselten Datenübertragung als relativ sicheres Fernwartungswerkzeug gilt, wird ihr ausgerechnet ein Teil ihrer Sicherheit zum Verhängnis - zumindest potenziell, denn die SSH speichert lokal Identifikationsschlüssel bekannter Zielrechner, damit eine Änderung am SSH-Server (eine Kompromittierung beispielsweise) auffällt.

Da die zugehörigen Rechnernamen der Schlüssel im Klartext in der Datei known_hosts gespeichert sind, bietet dies eine ausgezeichnete Ressource für einen Wurm, an neue Zielobjekte zu geraten. Ein solches Testwerkzeug stellt das MIT in seiner Publikation zu dem Problem vor. Auch die Liste der zugangsberechtigen Authentifizierungsschlüssel in authorized_keys enthalten oftmals gültige Rechnernamen.

Kommt der Wurm einmal an das Passwort eines Benutzers, ist die Wahrscheinlichkeit hoch, dass selbige Benutzerdaten auch zur Authentifizierung auf den ermittelten Opfersystemen funktioniert. Dies könnte beispielsweise durch einen modifizierten SSH-Server geschehen, denn er entschlüsselt normalerweise das übertragene Passwort vor dem Abgleich. Ein kompromittierter SSH-Server könnte diese Passwörter allerdings sammeln und gegen das Opfer verwenden.

Allerdings muss die Ermittlung eines Passwortes nicht einmal notwendig sein: zahlreiche Anwender verwenden Zugangsschlüssel, die nicht mit einem Passwort versehen sind oder befinden sich in einer Konfiguration, die nur einmal zur Passworteingabe auffordert und die Verwaltung des Schlüssels ab da dem ssh-agent(1) überlässt. Auch hier besteht die hohe Wahrscheinlichkeit, dass derselbe Schlüssel auf mehreren Systemen gilt, ganz ohne notwendiges Passwort. Schwach konfigurierte Authentifizierungsmethoden wären demnach ein gefundenes Fressen für den Wurm.

Das MIT-Paper zeigt weitere Verbreitungsmöglichkeiten. Um zumindest die Informationsgewinnung zu erschweren, besteht mit OpenSSH 4.0 die Möglichkeit, die Namen der bekannten Rechner nicht mehr im Klartext zu speichern. In diesem Fall legt SSH den Rechnernamen als Hash ab. Weitere Informationen zum Schutz dieser Datenbank befinden sich ebenfalls auf den Seiten des MIT.

Die Datenbank der bekannten Rechner verwenden manche Programme allerdings auch nutzbringend: sie ermöglicht die automatische Vervollständigung von SSH-Rechnernamen in beispielsweise der Bash, Zsh und Ion.

Um die Anmeldung zu erschweren, kann der Anwender für jeden Zielrechner einen anderen, passwortversehenen Authentifikationsschlüssel verwenden, die Anmeldung mit dem Accountpasswort deaktivieren und, falls kein Schlüssel vorhanden ist, Einmalpasswörter einsetzen.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung