Nebezpečná bezpečnost chyba Pravděpodobně jen podvod

Tvrzení, že zranitelnost softwaru v programu, který se bezpečně připojuje k serverům přes internet, je pravděpodobně podvodem, tvrdí analytik SANS Internet Storm Center.

Program nazvaný OpenSSH Secure Shell) je nainstalován na desítkách milionů serverů od dodavatelů, jako jsou společnosti Red Hat, Hewlett-Packard, Apple a IBM. Administrátoři ji používají k vytváření šifrovaných připojení s jinými počítači a provádějí úlohy, jako je vzdálená aktualizace souborů. OpenSSH je verze s otevřeným zdrojovým kódem a existují komerční verze programu.

Začátkem tohoto týdne obdržel SANS anonymní e-mail s tvrzením, že je v OpenSSH zranitelná s nulovým dnem, což znamená, že chyba v softwaru je již být využíván, jakmile se stane veřejným. Je to nejnebezpečnější typ zranitelnosti softwaru, protože to znamená, že za tím ještě není žádná oprava a špatní lidé o tom ví.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

v OpenSSH by mohlo být zničující pro internet, což by umožnilo hackerům přístup k serverům a počítačům, dokud nebudou připraveni řešení nebo patch.

"Proto si myslím, že lidé skutečně vytvářejí trochu panice," řekl Bojan Zdrnja, analytik společnosti SANS a poradce pro informační bezpečnost v Infigo, společnost zabývající se bezpečnostní a penetrační zkouškou v chorvatském Záhřebu. "Lidé by neměli panovat teď, nic v tomto okamžiku nenasvědčuje tomu, že existuje exploit, který se používá ve volné přírodě."

Důkaz o skutečné nulové denní zranitelnosti v OpenSSH je slabý, řekl Zdrnja. Zatím analytici neviděli pracovní exploit, a to navzdory obavám, že skupina s názvem Anti-Sec možná nalezla nulový den, který jim umožní ovládat webový server. Podrobnosti o hacku byly zveřejněny na úplném odhalení, což je nezvyklé fórum pro bezpečnostní informace.

Při stisku pro více podrobností osoba, která tvrdí, že je součástí Anti-Sec, napsala e-mail na IDG News Service, že " "není povoleno skutečně diskutovat o zneužívání (nebo o tom, zda existuje nebo neexistuje)", který byl podepsán "Anonymous".

Zdrnja uvedl, že stejná skupina nedávno napadla jiný server, ale zdálo se to útokem brutální síly OpenSSH. Útok hrubé síly je místo, kde hacker zkouší mnoho kombinací ověřovacích pověření, aby získal přístup k serveru. Pokud administrátor používá jednoduché přihlašovací údaje a hesla, dělá server více zranitelným útokem na hrubou sílu, řekl Zdrnja.

Obě kompromitované servery byly spuštěny stejnou osobou. "Předpokládám, že s tím máme dva hackeři ve válce," řekl Zdrnja.

Ale existují i ​​další faktory, které naznačují, že OpenSSH nemá nulový den, neexistuje. Kdyby existoval nulový den, hackeři by pravděpodobně pravděpodobněji použili proti vysoce profilovanému serveru než ten nejnovější, který byl ohrožen, řekl Zdrnja.

Jeden z vývojářů OpenSSH Damien Miller také hodil studenou vodu o možnosti nulového dne. Miller napsal ve středu na fóru OpenSSH, že si vyměnil e-maily za údajnou oběť nultého dne, ale útoky se zdály být "jednoduchou hrubou silou".

"Takže nejsem přesvědčen, že nulový den vůbec existuje, "napsal Miller. "Jediným dosavadním důkazem jsou anonymní fámy a neověřitelné přepsání vniknutí."

Zdá se, že existuje určitý zmatek mezi údajným nulovým dnem a jinou zranitelností v OpenSSH, řekl Zdrnja. Tato zranitelnost, která je dosud nezpracovaná, by mohla útočníkovi dovolit obnovit až 32 bitů obyčejného textu z libovolného bloku šifrového textu z připojení zajištěné protokolem SSH ve standardní konfiguraci, Centrum pro ochranu národní infrastruktury (CPNI).

Závažnost zranitelnosti je považována za vysokou, ale šance na úspěšné vykořisťování jsou nízké, podle CPNI. Zdrnja řekl, že administrátoři mohou v OpenSSH implementovat silnější autentizační mechanismy pomocí veřejného a soukromého klíče k ochraně před úspěšným útokem. V poradenství OpenSSH také uvedl, že možnost úspěšného útoku byla nízká.