Názory k článku
Username enumeration v OpenSSH

A ty si milý Dany oprav publikovaný text...

V JMNetu máte problém se čtením?
OpenSSH through 7.7 is prone to a user enumeration vulnerability

Ne a vy u oskara ?

"opravena zranitelnost zranitelnost"

Jo tohle miluju, ted uz se zase nedozvim jestli je blbe username nebo klic.

Tak to si snad pamatujete ne, aspoň username..

Vy nemate na kazdem zarizeni jiny username? No tak to jste ale nachylny na prozrazeni username pri kompromitaci libovolneho zarizeni!

No ak si existenciu ssh uctu testoval sposobom z tohto CVE, asi budes jeden z https://xkcd.com/1172/ ... :-)

Snad nefixnou tu featuru, která mi říká jestli jsem se překlepl v první nebo druhé polovině hesla. To už bych se fakt nepřihlásil nikam.

Hint: Wifi protected setup:
When an enrollee attempts to gain access using a PIN, the registrar reports the validity of the first and second halves of the PIN separately.

To je pseudozranitelnost a už mě to celé štve. Ty username se dají zjistit mnoha způsoby, přičemž toto je věc, která by bezpečnost neměla zásadně ohrozit. Zranitelnost by to byla, kdyby se na základě toho podařilo prostřelit přihlašovací klíč. Jinak to není zranitelnost, ale nesmysl.

A mimochodem. Největší zranitelnost se nechává bez povšimnutí. Nějaký kretén vymyslí, že je jedna z funkcionalit zranitelností (ikdyž se k útoku prakticky využít nedá), načež v rámci opravy se příslušná funkcionalita buď omezí, nebo zruší a všichni radostně "updatují". Ovšem. Když se nad tím zamyslíte. Není právě toto dokonaný útok omezující/uza­vírající službu? Zatím tuto zranitelnost nikdo zásadněji nevyužil, ale to neznamená, že to nejde.

Jojo, a představ si tu megadíru třeba na Gmailu nebo na Seznamu: emailová adresa == username! Oooo neeee, jsme úplně ztraceni!!!

Security by obscurity neni nikdy dobry napad...

Ovšem zveřejňovat zbytečně něco navíc taky ne ...

S tim samozrejme souhlasim. Zjistit ale jmeno zamestnance ve firme neni tezke a obvykle u vetsich firem existuji naming conventions pro ucty, takze uhodnout uzivatelske jmeno je imho ve vetsine pripadu snadne.

A umožniť útočníkovi zistiť, či na danom serveri je alebo nie je spustený SSH daemon bude teda tiež zraniteľnosť a teda port 22 treba uzavrieť, aby útočník nezistil, že tam to SSH beží. ;-)

vy ještě nepoužíváte pro ssh port knocking?

No náhodou, kdyby OpenSSH neříkalo na potkání číslo verze, tak by se útočníkům hodně ztížily cílený útoky proti děravejm verzím.

@J

Pokud to má být nějak dostupné, tak půjde vždy zjistit že to tam běží. Pokud nemá být, tak není potřeba zavírat port - asi to nemusíš mít ani nainstalované. Mimo 22 a 2222 se to dává kvůli robotům testující porty, většinou nad 1000 protože roboty netestují celý rozsah, dokonce tuším nmap má port discovery defaultně do 1000. Pokud se přímo na tebe někdo zaměří, tak celý rozsah asi projde. Takže skrytí není moc dobré řešení, spíš jenom jako default