Tehlikeli Güvenlik Kusursuzca Sadece Bir Aldatmaca

SANS İnternet Fırtına Merkezi'ndeki bir analiste göre, Internet üzerinden sunuculara güvenli bir şekilde bağlanmak için kullanılan bir programdaki bir yazılım savunmasızlığı iddiası büyük olasılıkla bir aldatmacadır.

OpenSSH olarak adlandırılan program (Secure Shell), Red Hat, Hewlett-Packard, Apple ve IBM gibi satıcılar tarafından yapılan on milyonlarca sunucuya yüklenir. Yöneticiler tarafından diğer bilgisayarlarla şifreli bağlantılar kurma ve dosyaları uzaktan güncelleme gibi görevler yapmak için kullanılır. OpenSSH açık kaynak kodlu bir sürümdür ve programın ticari sürümleri vardır.

Bu haftanın başlarında, SANS, OpenSSH'de sıfır günlüğüne sahip bir güvenlik açığı iddiasıyla anonim bir e-posta aldı. Bu, yazılımdaki bir kusur anlamına geliyor. kamusal hale geldiğinde sömürülüyor. Bu, en tehlikeli yazılım açığı tipidir, çünkü henüz bir düzeltme olmadığı ve kötü adamların bildiği anlamına gelir.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Gerçek bir sıfır günlük güvenlik açığı OpenSSH'de internet için yıkıcı olabilir, korsanların bir geçici çözüm ya da bir yama gelinceye kadar sunuculara ve PC'lere boş bir şekilde erişebilmelerini sağlar.

"Bu yüzden insanların aslında biraz panik yarattığını düşünüyorum," dedi. Hırvatistan'ın Zagreb kentinde bir güvenlik ve sızma testi şirketi olan Infigo'da SANS analisti ve kıdemli bilgi güvenliği danışmanı Bojan Zdrnja. Zdrnja, "İnsanlar şu anda panik yapmamalı. Şu anda hiçbir şey vahşi ortamda kullanılan bir istismar olduğuna işaret etmiyor."

OpenSSH'de gerçek bir sıfır günlüğüne dair kanıt zayıf. Bugüne kadar, analistler, Anti-Sec adında bir grubun bir Web sunucusunu kontrol etmelerine izin veren sıfır bir gün bulduğu endişelerine rağmen, bir çalışma istismarını görmediler. Hackle ilgili ayrıntılar, güvenlikle ilgili bilgilendirilmemiş bir forum olan Full Disclosure'a gönderildi.

Daha fazla bilgi için basıldığında, Anti-Sec'in bir parçası olduğunu iddia eden bir kişi IDG Haber Servisi'ne bir e-posta yazdı: “Anonim” imzasıyla, “istismarın gerçekte tartışılmasına izin verilmiyor” (9).

Zdrnja, aynı grubun yakın zamanda başka bir sunucuya saldırdığını söyledi, ancak bu saldırıya karşı bir kaba kuvvet saldırısı gibi göründü. OpenSSH. Bir saldırganın bir sunucuya erişmek için birçok kimlik doğrulama kimlik bilgisi kombinasyonunu denediği bir kaba kuvvet saldırısıdır. Bir yönetici kullanmak için basit giriş ve şifreler kullanıyorsa, bir sunucu bir kaba kuvvet saldırısına karşı daha savunmasız hale getiriyor, dedi Zdrnja.

Her iki güvenli sunucu da aynı kişi tarafından çalıştırıldı. Zdrnja, “Burada uğraştığımız şeyin, kendi aralarında bir savaşta iki hacker olduğunu varsayalım” dedi.

Fakat OpenSSH için sıfır günü belirten başka faktörler de mevcut değil. Sıfır gün mevcut olsaydı, bilgisayar korsanlarının daha yüksek profilli bir sunucuya karşı daha yüksek bir olasılıkla karşılaşacağı ihtimalin en yüksek olandan daha yüksek olacağını belirten Zdrnja, dedi.

OpenSSH geliştiricilerinden biri olan Damien Miller da soğuk suya attı. sıfır gün olasılığı üzerine. Miller, Çarşamba günü bir OpenSSH forumunda, sıfırıncı gün kurbanı olduğu iddia edilen bir e-posta alışverişinde bulunduğunu yazdı, ancak saldırılar "basit kaba kuvvet" oldu.

"Yani, ben buna ikna olmadım sıfır gün var, "diye yazdı Miller. Zdrnja, "Şimdiye kadar elde edilen tek kanıt, bazı anonim söylentiler ve doğrulanamaz girişimlerdir."

Ayrıca, ZHrnja, OpenSSH'deki iddia edilen sıfır gün ve farklı bir güvenlik açığı arasında da bazı karışıklıkların var olduğunu belirtti. İngiltere'den gelen bir danışma belgesine göre, bir saldırganın standart yapılandırmada SSH protokolü kullanılarak güvenli bir bağlantıdan şifreli bir metin bloğunun 32 bitlik düz metnini kurtarmasına izin verilemedi. Ulusal Altyapının Korunması Merkezi (CPNI).

Hassasiyetin şiddeti yüksek kabul edilir, ancak CPNI'ye göre başarılı bir şekilde sömürü şansı düşüktür. Zdrnja, yöneticilerin başarılı bir saldırıya karşı korunmak için kamu ve özel anahtarları kullanarak OpenSSH'de daha güçlü kimlik doğrulama mekanizmaları uygulayabileceğini söyledi. Bir danışma belgesinde, OpenSSH ayrıca başarılı bir saldırı olasılığının düşük olduğunu belirtmiştir.