Massive angreb på SSH

Danske servere med sikkerhedsprotokollen SSH var udsat for massive angreb i september, fortæller lederen af DK•CERT, Shehzad Ahmad, i denne klumme.

Chefkonsulent Shehzad Ahmad, UNI•C, der leder det danske Computer Emergency Response Team (DK•CERT), skriver hver måned på Computerworld Online om aktuelle it-sikkerhedsspørgsmål. Kommentarerne bringes her, efterhånden som de udkommer.

I starten af måneden steg SSH-trafikken til servere på Forskningsnettet til fem til ti gange det normale. SSH (Secure Shell) er en protokol til sikker kommunikation med kryptering.

Sikkerhed er normalt en god ting. Men når brugen af SSH stiger så pludseligt, tyder det på, at der er noget galt. DK•CERT's efterforskning viste da også, at der var tale om angreb mod SSH-servere.

Angriberne anvendte en primitiv metode til at komme ind på et password-beskyttet system.

De afprøvede simpelthen en lang række af passwords et efter et. Efter et par dage faldt SSH-trafikmængden igen til det normale niveau. I DK•CERT kender vi ikke til, at nogen af angrebene skulle være lykkedes.

Rootkit stjæler nøgler
Det er ikke første gang, at SSH-servere har været udsat for angreb.

I slutningen af august advarede US-CERT (United States Computer Emergency Readiness Team) om angreb, der øjensynlig anvendte stjålne SSH-nøgler til at få adgang.

Når angriberne kom ind, installerede de et rootkit ved navn Phalanx2.

Phalanx2 ligger skjult på systemet og opsnapper SSH-nøgler, som det sender til bagmændene. Dem bruger de til nye angreb på andre SSH-servere.

Da Phalanx2 er et rootkit, er det ikke lige til at få øje på. Kommandoen "ls" vil således ikke vise mappen "/etc/khubd.p2/," men man kan alligevel komme ind i den med kommandoen "cd /etc/khubd.p2."
SSH er en rigtig god teknologi, som jeg kun kan anbefale, at man benytter.

Men selv det stærkeste krypteringssystem kan knækkes, hvis adgangen til nøglerne er beskyttet med svage password.

Derfor anbefaler jeg, at firmaer med SSH tjekker, at de bruger passwords og passphrases, der er svære at knække.

Husk også at tjekke automatiske rutiner, hvor maskiner kommunikerer med maskiner uden menneskelig indblanding.

Her undlader man ofte at bruge passwords af praktiske årsager. Men det udgør en sikkerhedsrisiko.

 

Oprindelig bragt på Computerworld Online fredag den 26. september 2008

LINKS

US-CERT's advarsel om Phalanx2

Keywords: