Jasmon blogi

SSH Secure Shellin omituinen käytös

Seuraa datailua.

Koululla on käytössä SSH Secure Shell Client (versio 3.2.9) SSH-yhteyksien ottoon. Tänään ohjelmasta löytyi yksi outous, joka aiheutti harmaita hiuksia hiukan aikaa. Ongelma esiintyi sekä ATK-kerho Ruutin että koulun palvelimilla.

Esimerkissäni salasanani on: salasana. Koululla hyväksytään maksimissaan 8 merkkiä pitkät salasanat.

Otetaan yhteys Secure Shellillä esimerkiksi jumille (tietokoneen nimi). Otetaan quick connect, annetaan oikea osoite, käyttäjätunnus ja salasanaksi salasana. Käytössä oleva tunnistus on keyboard interactive. Painetaan connect. Client yhdistää serveriin. Tehdään logout. Painetaan välilyöntiä ja yhdistysikkuna ponnahtaa taas näkyviin. Pidetään kaikki muut tiedot samana, mutta muutetaan salasanaa. Salasanan sijalle kirjoitetaan salasana12. Painetaan connect. Client yhdistää serveriin. Salasana siis hyväksytään.

Minun mielestäni tuo on suorastaan hämäävää. Mikään tietoturvariski tuo ei ole, koska ongelma esiintyy ainoastaan, kun käytetään salasanaa pidempiä feikkisalasanoja. Myös salasanan alku siis täytyy olla oikein. Tuollainen toiminta voi kuitenkin ehkä altistaa dictionary attackille?

Outoa on myös se, että tuntui olevan serveristä kiinni se, että toimiko tuo. Herääkin kysymys: Neuvotteleeko SSH Secure Shell Client serverin kanssa kysyen että kuinka pitkän salasanan hyväksyt? Jos salasanaksi hyväksytään vain 8 merkkiä, Client lähettäisi vain 8 merkkiä riippumatta siitä, kuinka pitkä syötetty salasana on? Tosin tätä ideaa testattiin siten, että laitettiin 10 merkkiä oikean salasanan perään. Silloin serverille ei enää päässyt kirjautumaan.

Mikähän tässä on takana? Outoa käytöstä. Nuttyllä samaa ei esiintynyt, eli siis jos salasana oli lopusta täytetty ylimääräisillä merkeillä, sisään ei päässyt.

Posted

in

by

Jasmo

Tags:

Comments

4 vastausta artikkeliin “SSH Secure Shellin omituinen käytös”

  1. Lauri avatar
    Lauri

    Ihme touhua kerrassaan. Onko netistä löytynyt kommentteja samankaltaisista ongelmista? Itse olen kummastellut juurikin Nuttyä käyttäessäni SSH-yhteyden ennen pitkää tapahtuvaa hidastumista, eli kun yhteys on päivätolkulla auki vaikka jumille, niin viiveet kasvavat usein sietämättömiksi. Kun yhteyden katkaisee ja avaa uudestaan niin ongelma on kadonnut. Liekö joku SSH:n tai Nuttyn ”feature” josta en vain tiedä.

  2. Jasmo avatar
    Jasmo

    Kyselin tyypeiltä irkissä, muilla samaa ei esiintynyt. Kuitenkin tuolta Clusterin VIHA-koneelta tuota Eepin kanssa kokeilimme kummatkin useille koneille omilla tunnuksillamme ja sekä Ruutin että LTY:n koneille tuo toimi.

    Kuulemma jos autentikointi toimisi jotenkin käyttäen crypt() metodia, niin silloin siinä ei otettaisikaan huomioon useampia kuin 8 merkkiä.

    En tiedä. Outo juttu.

  3. Jari avatar
    Jari

    ”Vika” taitaa olla juurikin tuossa crypt()-funktiossa. Se nimittäin käyttää DES-algoritmia salasanan salaamiseen. DES ottaa huomioon ainoastaan kahdeksan (8) merkkiä salasanan alusta, joten on ihan sama mitä kirjoittelee noiden kahdeksan merkin jälkeen. Kahdeksaan merkkiin rajoittuminen ei tietoturvan kannalta liene paras ratkaisu.

  4. Jasmo avatar
    Jasmo

    Tuo sama ilmeisesti ilmenee myös irc-gallerian kirjautumisessa.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

This site uses Akismet to reduce spam. Learn how your comment data is processed.