Í SSH viðskiptavinum OpenSSH og PuTTY
Vitandi að viðskiptavinurinn er að reyna að tengjast í fyrsta skipti og er ekki enn með hýsillykilinn á hliðinni, getur árásarmaðurinn útvarpað tengingunni í gegnum sjálfan sig (MITM) og gefið viðskiptavininum hýsillykilinn sinn, sem SSH viðskiptavinurinn mun íhuga að vera lykill miðhýsilsins ef hann staðfestir ekki fingrafar lykilsins. Þannig getur árásarmaður skipulagt MITM án þess að vekja tortryggni notenda og hunsað lotur þar sem skjólstæðingurinn er þegar með hýsillykla í skyndiminni, tilraun til að skipta um það mun leiða til viðvörunar um breytingu á hýsillykli. Árásin byggist á kæruleysi notenda sem athuga ekki handvirkt fingrafar hýsillykilsins þegar þeir tengjast fyrst. Þeir sem athuga fingraför lykla eru verndaðir fyrir slíkum árásum.
Sem merki til að ákvarða fyrstu tengingartilraunina er breyting á röð skráningar á studdum hýsillyklaalgrímum notuð. Ef fyrsta tengingin á sér stað sendir viðskiptavinurinn lista yfir sjálfgefin reiknirit og ef hýsillykillinn er þegar í skyndiminni, þá er tilheyrandi reiknirit sett í fyrsta sæti (algrím er raðað í forgangsröð).
Vandamálið birtist í OpenSSH útgáfum 5.7 til 8.3 og PuTTY 0.68 til 0.73. Vandamál
OpenSSH verkefnið ætlar ekki að breyta hegðun SSH biðlarans, þar sem ef þú tilgreinir ekki reiknirit núverandi lykils í fyrsta lagi, verður reynt að nota reiknirit sem samsvarar ekki skyndiminni lyklinum og viðvörun um óþekktan lykil birtist. Þeir. val kemur upp - annað hvort upplýsingaleki (OpenSSH og PuTTY), eða viðvaranir um að breyta lyklinum (Dropbear SSH) ef vistaði lykillinn samsvarar ekki fyrsta reikniritinu í sjálfgefna listanum.
Til að veita öryggi býður OpenSSH upp á aðrar aðferðir til að staðfesta hýsillykil með því að nota SSHFP færslur í DNSSEC og hýsingarvottorð (PKI). Þú getur líka slökkt á aðlögunarvali á hýsillyklaalgrímum í gegnum HostKeyAlgorithms valmöguleikann og notað UpdateHostKeys valmöguleikann til að leyfa viðskiptavinum að fá viðbótar hýsillykla eftir auðkenningu.
Heimild: opennet.ru