Software-fout geeft hackers toegang tot Unix computers

ZDNet komt met het nieuws, dat in de wijdverspreide Unix-software SSH Secure Shell (versie 3.0.0, released 21 juni) van de Finse firma SSH Communications Security een fout zit. Daardoor zouden hackers controle kunnen verkrijgen over computers draaiend onder Solaris, HP-UX en verschillende versies van Linux, zo waarschuwde de software-leverancier en beveiligings-experts. SSH is software die ontworpen is om de text-based UI, ofwel "shell", die men gebruikt om remote in te loggen op computers, te beveiligen. Het programma checked passwords van gebruikers en laat geauthoriseerde personen, via een encrypted communicatie-kanaal, de shell openen en gebruiken. De encryptie zorgt ervoor dat buitenstaanders de commando's, die tussen computers verzonden worden, niet kunnen onderscheppen. Als een gevolg van de ontwerpfout echter, laat SSH iedereen vanaf afstand op haar computer inloggen, wanneer accounts met een twee-letterig password gebruikt worden, simpelweg door het passwordveld blanco te laten en op 'enter' te drukken:

A two-character password is not likely for most active users' accounts, but it's common for several administrative accounts for functions such as controlling printers or for accounts that the system administrator has locked to temporarily disable access, said Dan Ingevaldson, leader of Internet Security Systems' X-Force research and development team.

"In certain cases, users could log in to accounts with any password," said Al David, senior director for technical services at SSH. That initial access then could serve as a launching point for a second attack that could give the attacker complete control over the system.

SSH released a patch, version 3.0.1, which can be downloaded from the company's FTP site. The security hole is a strong risk, Ingevaldson said, though it's ameliorated by the fact that SSH doesn't ship by default with any of the vulnerable operating systems.

"It's a pretty big bug. Secure Shell is a trusted" software tool in very widespread use--though not necessarily SSH's version. "I'm quite positive there are scripting utilities being written or used right now" to scan for the vulnerability and take advantage of it, Ingevaldson said.

Lees meer

Reacties (71)

Ronald 24 juli 2001 07:07

Zoals er een paar dagen geleden expliciet op slashdot al bij stond:
Dit geld dus ALLEEN voor commercial SSH.

Als je OpenSSH draait is er niets aan de hand.

Verwijderd 24 juli 2001 08:16

SSH werd ontwikkeld door (alweer) een Finse student.
De eerste versies hadden een "redelijk" relaxte licentie, maar al bij versie 2 waren er allerlei rare voorbehouden: je mocht ssh wel gebruiken in je vrije tijd, maar niet als bedrijf, want dan moest je de software betalen.

Nu is er versie 3 van SSH. Maar geen hond die dat gebruikt, want het is een commercieel pakket dat klauwen met geld kost. Er is inmiddels namelijk ook OpenSSH, en dat is op de traditionele manier gemaakt: Open Source, zonder gekke licentievoorwaarden.

De commerciele "SSH versie 3" is de bevattelijke versie. Daar moeten Unix- en Linuxgebruikers dus nogal hard om lachen, want het is weer het oude liedje: allerlei software is gratis verkrijgbaar (OpenSSH!), maar zogauw je een commerciele implementatie koopt (SSH 3) dan daalt je veiligheid naar 0.

Geen programmeur die het in zijn hoofd haalt om voor OpenSSH een commerciele versie te nemen, zoiets wordt door een manager besloten. Eigen schuld, dikke bult!

RG @demonite • 24 juli 2001 18:29

Waarom heb je nou support nodig als het pakket goed werkt??

DSmarty 24 juli 2001 05:42

Een erg knullig "foutje" moet ik zeggen, maar eerlijk gezegd kan ik me niet voorstellen dat een sysadmin voor wat dan ook 2-cijferige wachtwoorden gebruikt... ook niet voor standaard services.

Verwijderd @DSmarty • 24 juli 2001 07:35

Vergis je niet.
Ik heb een keer bij een bedrijf gewerkt waar ze dus niets van netwerk beheer afwisten. Ik kon als productiemedewerker gewoon inloggen onder de system administrator, domweg omdat er geen wachtwoord op dat account zat.
Is daarna wel gelijk aangepast

Locutes @Verwijderd • 24 juli 2001 07:54

Dat soort praktijken zal je altijd wel houden. D'r zullen altijd wel bedrijven zijn die denken dat veiligheid iets dat vanzelf wel goed komt.

TheGhostInc @Verwijderd • 25 juli 2001 00:20

Die mensen hebben dan duidelijk geen behoefte aan SSH, dit is toch iets meer voor de mensen die wat zekerheid willen, dan heb je het vaak over mensen met random passwords.

Daarnaast geeft Linux bij passwords netzoals VEEL programma's /OS-en aan dat je geen simpele passwords moet nemen, dan moet je niet verbaasd zijn als je dat toch doet dat je dan onveilig bezig bent, eigenlijk is de patch zonde, nu worden mensen een beetje verplicht langere passwords te gebruiken.

jochemd @DSmarty • 24 juli 2001 13:33

Een aantal OS'en gebruiken een speciaal teken om aan te geven dat een bepaalde account niet remote mag inloggen. Sommige Linux distributies gebruiken dacht ik *, Solaris NP (No Password) etc.

Met goed geprogrammeerde software is dat geen probleem, die herkent deze accounts en zorgt dat er niet ingelogd mag worden. Echter, SSH laat dat dus toe. En dat is een grote fout. Aangezien je meestal uit een antwoord op een http-request al kan zien wat voor OS er draait en even wat andere poorten kan testen om te zien of er accounts als administrator, postmaster etc. bestaan ben je wel heel snel binnen.

Auteur

Cookie 24 juli 2001 06:26

Ik vraag me bij een dergelijke foutmelding eigenlijk ook af, of zoiets niet een soort marketingtruc is om de naam van het bedrijf en de software gratis onder de aandacht te krijgen. Ookal is het misschien in eerste instantie negatieve aandacht, omdat het om een snel geleverde patch gaat, valt het wel mee met de schade ervan. Maar de naam SSH staat nu wel opeens wereldwijd op de kaart

LinuxMan @Cookie • 24 juli 2001 10:35

Maar de naam SSH staat nu wel opeens wereldwijd op de kaart

het protocol en het commando heten ook zo, elke Linux computer heeft ssh standaard geinstalleerd staan, dus die naam stond al op de kaart. De enige mensen die de SSH van hun gebruiken zijn mensen die geld teveel hebben (de opensource versie kan evenveel!), of mensen die perse het nieuwste van het nieuwste willen (de opensource versie doet versie 2 van het protocol).

Het is gewoon een knullige fout, en ik denk dat ze hiermee een boel markt verspelen, want de commerciele ssh blijkt dus nu slechter te zijn dan de open ssh!

[eNeRGy] 24 juli 2001 07:10

Pff, jongens en meisjes, hier wordt ik even niet goed van. ja, dit zal wel als een flame worden afgedaan maar dit is wel pure subjectiviteit die ik hier lees hé.

Bij Microsoft worden vaak fouten gemaakt van dit kaliber of minder erg en dan worden ze met huid en haar opgevreten en nu lees ik 2 reacties als:

Een erg knullig "foutje" moet ik zeggen

Ik vraag me bij een dergelijke foutmelding eigenlijk ook af, of zoiets niet een soort marketingtruc is om de naam van het bedrijf en de software gratis onder de aandacht te krijgen

Haaallloooo wakker worden ! Unix root access! dit is misschien nog erger dan windows root access ! Juist omdat met unix mensen denken dat ze veilig zijn. Marketing? My ass ! Microsoft stopt zeker ook die bugs erin voor marketing? Bij de meeste bugs ligt er al een maand een patch klaar, of is ie er binnen een week en nu komt het woord '*nix" erbij en is het ineens marketing en knullig.. pfff..

Naja, het zal wel door het tijdstip komen.

jochemd @[eNeRGy] • 24 juli 2001 16:14

IMHO, als mensen veilig willen zijn gebruiken ze een OS dat zich richt op veiligheid zoals bijvoorbeeld OpenBSD. En ze gebruiken ook geen passwords bij hun SSH, omdat er dan slechts sprake is van one-way authenticatie, en er dus geveaar is voor een 'man-in-the-middle' attack. Gebruiken ze geen passwords, dan zijn ze veilig. En als ze OpenBSD gebruiken dan hebben ze nergens last van want dan geeft deze bug geen toegang (net zoals bij sommige andere BSDs).
Dat laatste geeft ook een heel groot verschil aan tussen de situatie van een bug in windows en de huidige SSH bug. Elke fout in Windows is slechts te wijten aan 1 bedrijf. Gezien het feit dat er bij de SSH-bug een aantal OSen zijn die veilig zijn terwijl de bug bestaat is het duidelijk dat er hier sprake is van een samenspel van factoren, en dus gedeelde schuld.

Maar die marketing opmerking is inderdaad erg dom...

Verwijderd @jochemd • 24 juli 2001 16:37

..gedeelde schuld..

Onzin, MS kan het ook niet helpen dat er bugs in Corel's WP Office zitten. Evenmin kan Welke unix vendor dan ook het helpen dat er een bug in SSH zit. Ook kunnen ze het niet oplossen want SSH is closed source. En daarom gebruikt iedereen openSSH. Gedeelde schuld? Nee hoor, gewoon volledig de schuld bij de schuldige leggen: dat finse bedrijf dat eigenaar is van SSH.
Net zo is het de fout van MS als windows kapoet is en de fout van de linux kernel developers als er een fout in hun kernel zit. Zo simpel is het.

jochemd @Verwijderd • 25 juli 2001 13:35

Waarom is het dan zo dat ik in elk geval een OS weet (OpenBSD) dat zegt aan regelmatige code-reviews te doen en dat niet kwetsbaar is? Volgens mij betekent dat dat er bij hun een zodanige implementatie is dat het niet fout KAN gaan, en bij andere OSen wel. Dan vraag ik mij af of er in de documentatie staat dat een account niet gebruikt MAG worden voor een remote login of niet gebruikt KAN worden voor een remote login. En als er staat dat hij niet gebruikt mag worden om remote in te loggen vind ik het een ontwerpfout als het niet mag maar wel kan, zeker als het om zulke gevoelige accounts gaat.

Auteur

Cookie @jochemd • 24 juli 2001 16:33

Dat het antwoord op mijn spontane, in gedachten gestelde vraag ontkennend beantwoord kan worden, prima. Maar men zegt weleens dat er geen domme vragen zijn, maar wel domme antwoorden.

jochemd @Cookie • 25 juli 2001 13:39

Ik had dat inderdaad iets scherper moeten formuleren. "Getuigt van grote onwetendheid betreffende de materie in kwestie" is bij nader inzien een betere formulering

Auteur

Cookie @[eNeRGy] • 24 juli 2001 07:34

Ik heb het louter en alleen t.a.v. deze melding, dat die vraag bij me naar boven kwam. Over andere O.S.-en wil ik het helemaal niet hebben -> Off-topic. Ik ga er vanuit dat het idd om een serieuze bug gaat, maar het gaat om een release van 21 juni jl. en nu ligt de download al klaar voor die 2-letterige password blunder. 'T was maar een gedachte. (Ik heb verder helemaal niks met Unix, Linux en aanverwanten, in tegendeel). En wil je mijn reactie niet op één hoop vegen met die van een ander s.v.p. Die staat er compleet los van.

RG @[eNeRGy] • 24 juli 2001 17:37

Het verschil is dat 85% van de systemen Microsoft draait en 85% van de UNIX systemen (Linux, BSD, etc...) toch allemaal OpenSSH hebben, dus die lopen absoluut geen gevaar.
Waarom moet iedereen meteen Microsoft erbij halen. Net of de bugs van Microsoft er dan ineens niet toe doen omdat andere systemen ze ook hebben. Alle bugs zijn gewoon balen punt uit.

Jazzy Moderator SWS @[eNeRGy] • 24 juli 2001 07:29

ja, dit zal wel als een flame worden afgedaan maar dit is wel pure subjectiviteit die ik hier lees hé. Bij Microsoft worden vaak fouten gemaakt van dit kaliber...

Tja, zeg nou zelf: wat heeft Microsoft hier mee te maken? Wanneer stoppen we nu eens met dat zwart wit denken van Unix/Linux - Microsoft, Intel - AMD, etc.

Blijkbaar kan er geen Unix-gerelateerde posting staan of er komt wel een reactie met de naam Microsoft er in. Alsof er maar 2 grote spelers zouden zijn.

EDIT: Beoordelingen: +1, +1: Inzichtvol, +1: Inzichtvol, -1: Overgewaardeerd, -1: Overgewaardeerd, -0.80: Flamebait, +0.67: Inzichtvol, +0.57: Inzichtvol, -0.50: Overgewaardeerd, -0.44: Overgewaardeerd, -0.40: Overbodig, +0.36: Inzichtvol, Totaal: 0.46 / 12x

Pff, wat is het nou?

Verwijderd @Jazzy • 24 juli 2001 09:11

Hij probeert juist aan te geven dat er juist zo enorm zwart wit gekeken wordt.

Toen ik dit topic aanklikte zat ik al te denken, "zouden ze dit afzeiken"?

En nee, inderdaad, er wordt precies zo gereageerd als ik verwachte, "begrijpend" zo van, shit dit is wel erg, maar kan gebeuren.

Zodra MS een muiscursor verandert ligt iedereen hier te gillen van de pijn en verontwaardiging.

Ik ben het dus volkomen met Energy eens.

Dit is gewoon een vervelende fout, net als MS die ook nogal eens maakt. Naja, mooi dat ze et weten, nu de patch d'rover en wachten op de volgende bug.

Verwijderd @Verwijderd • 24 juli 2001 09:28

LEkkere vergelijking....
Als bij MS iets fout is ligt de hele compu open en bloot. Deze "fout" is een fout die niks, maar dan ook niks met unix of wat dan ook te maken heeft. Het is een fout in SSH, een closed-source proprietary protocol die toevallig op unix draait. Waarom zouden we dan unix afkankeren?

Als het een fout in de kernel was, dan was het een unix-fout. Nu is het een fout in SSH, en iedereen gebruikt toch openSSH tenzij je teveel geld heeft dus ik zie het probleem niet.

Burat @Verwijderd • 24 juli 2001 10:09

Dit is gewoon een vervelende fout, net als MS die ook nogal eens maakt. Naja, mooi dat ze et weten, nu de patch d'rover en wachten op de volgende bug.

Of SSH 3.0.1 installeren, of OpenSSH gebruiken.

Verwijderd @Verwijderd • 24 juli 2001 19:58

Als het een fout in de kernel was, dan was het een unix-fout. Nu is het een fout in SSH

Tsja, zullen wel alle bugs in NT / 2k die niet in "ntoskrnl.exe" (De kernel) zitten dan ook maar meteen geen Windows fouten gaan noemen? :-)

Confusion @Verwijderd • 24 juli 2001 09:30

Ja, laten we vooral een klein softwarebedrijfje uit Finland gaan vergelijken met Microsoft...
Een fout bij Microsoft betekent dat enorm veel computers misbruikt kunnen worden. Marktleider zijn betekent dat je grote verantwoordelijkheden heb, die Microsoft absoluut niet naleeft. Jullie hebben allemaal het grote gevaar van XP al vernomen hoop ik?(http://grc.com/dos/intro.htm).

[edit]
Ja, geef me een troll... dit is niet bedoeld Microsoft af te zeiken, dit is om het probleem in perspectief te zetten. Jammer, met 0 missen veel mensen die link, die toch vrij belangrijk is...
[edit]

BadRespawn @Verwijderd • 24 juli 2001 12:57

eNergy zegt het zelf: MS maaks -vaak- dit soort fouten.
bugs zijn onvermijdelijk, maar de hoeveelheid maakt wel uit.

demonite @[eNeRGy] • 24 juli 2001 08:35

root access? "root" zijn nog altijd 4 letters hoor.... geen 2.

charlie @demonite • 24 juli 2001 08:58

Het gaat hem wel om het aantal letters in het passwd.
Tenzijn jij natuurlijk "root" als root passwd gebruikt.
Bovendien heeft niet alleen de root account zelf "root" rechten...

Hans @charlie • 24 juli 2001 11:06

Sorry? Zijn er bij jou meerdere roots?

igmar 24 juli 2001 06:36

Het probleem zit hem erin dat ook geblokkeerde accounts onder linux en Solaris wagenwijd openstaan. Je kan er zonder password of met een willekeurig password op inloggen.

Onder Solaris is dat gelijk aan root, omdat accounts zoals bin ed. je min of meer root access geven.

bokkiewok @igmar • 24 juli 2001 10:27

Accounts blokkeer je niet, die verwijder je.

The Noid @bokkiewok • 24 juli 2001 10:53

goed plan, delete jij je daemon, bin, sys, sync, lp, etc account maar lekker op je bak, kunnen al die daemons mooi veilig als root draaien...

Hans @bokkiewok • 24 juli 2001 11:00

Accounts blokkeer je door een asterix (as in '*') in het password veld te zetten. Verwijderen is idd niet echt intelligent.

TheAnimaL @Hans • 24 juli 2001 11:07

Asterisk ( as in * )

Verwijderd @bokkiewok • 24 juli 2001 10:40

Je kan accounts wel blokkeren. Gewoon 1 of meer tekens aan de passwordfile toevoegen.

Hans @igmar • 24 juli 2001 10:59

Dan heb je het niet helemaal begrepen, en moet je het artikel toch nog maar eens lezen.Geblokkeerde accounts staan niet wagenwijd open, accounts met 2-letter passwords staan open.

Sardia 24 juli 2001 07:54

De encryptie zorgt ervoor dat buitenstaanders de commando's, die tussen computers verzonden worden, kunnen onderscheppen.

errr...
NIET kunnen onderscheppen hoop ik, anders ga ik weer terug naar telnet ;-)

mjax 24 juli 2001 07:43

Ik vind het inderdaad ook een beetje vreemd wat voor reacties er hier gegevens worden. Wanneer MS zo iets zou doen, stonden hier al 100-den reacties. Blijkbaar heeft Linux zich in de positie van de underdog gemanouvreerd en je ziet wel vaker dat mensen een underdog steunen in alles wat hij doet. Het lijkt wel een beetje op het David vs. Goliath bijbelverhaal.

Maar ff on-topic. Het is inderdaad niet moeilijk om een scripje te maken dat het internet afscant, opzoek naar kwestbare computers met deze bug. Een beheerder mag dan wel een "fatsoenlijk" password kiezen, maar op systemen waar ook vele gebruikersaccounts zijn aangemaakt, kun je er gif op innemen dat er ook 2-letter passwords tussen zitten.

Binnenkomen, zij het met beperkte privileges, is de eerste stap van de hacker. Daarna kan er doorgezocht worden naar meer kwetsbaarheden. De zogenaamde stepping-stone-techniek.

Ik zou deze major bug niet afdoen als een "knullig foutje", alsof we het hier over een spelfout in een webpagina hebben.

Wirf @mjax • 24 juli 2001 08:13

Deze fout is NIET "van Linux", de makers van Linux hebben echt helemaal NIETS te maken met ssh.

Dit is ongeveer hetzelfde als VNC een exploit heeft onder windows. daar kun je Microsoft ook niet op aanspreken, want zij hebben VNC niet gemaakt.

Aaargh! @Wirf • 24 juli 2001 08:21

het grootste deel van de linux distro's zal niet deze commerciele SSH erbij leveren, simpelweg omdat hij commercieel is. de meesten zullen OpenSSH gebruiken, en die is dus wel veilig.

RG @Aaargh! • 24 juli 2001 18:21

Dat mag ook wel went het wordt geproduceert door de OpenBSD mensen. En als er 1 superveilig systeem is, dan is het wel OpenBSD.

bkor @mjax • 24 juli 2001 08:23

Ik vind het inderdaad ook een beetje vreemd wat voor reacties er hier gegevens worden. Wanneer MS zo iets zou doen, stonden hier al 100-den reacties. Blijkbaar heeft Linux zich in de positie van de underdog gemanouvreerd en je ziet wel vaker dat mensen een underdog steunen in alles wat hij doet. Het lijkt wel een beetje op het David vs. Goliath bijbelverhaal.

Dit heeft weinig met Linux te maken. Ja, de commerciële SSH draait ook onder Linux, maar dat is gewoon 1 van de besturingssystemen waarom de commerciële SSH kan draaien. Linux distributies leveren gewoonlijk OpenSSH mee.
OpenSSH heeft ook al veel root exploits gezien. Niet netjes, maar ook OpenSSH draait ondere meerdere UNIX versies. Het is niet zozeer een Linux probleem (OpenSSH wordt wel meegeleverd, maar ook vele andere paketten. Debian is bv 3 cd's), maar meer een OpenSSH probleem. Natuurlijk moeten de verschillende Linux distributies wel snel een security patch maken.

Maar ff on-topic. Het is inderdaad niet moeilijk om een scripje te maken dat het internet afscant, opzoek naar kwestbare computers met deze bug. Een beheerder mag dan wel een "fatsoenlijk" password kiezen, maar op systemen waar ook vele gebruikersaccounts zijn aangemaakt, kun je er gif op innemen dat er ook 2-letter passwords tussen zitten.

Het gaat niet of een beheerder een wachtwoord van 2 letters heeft, want dmv hashing (crypt of md5) wordt het paswoord veld in /etc/passwd of /etc/shadow toch langer. Het gaat erom dat sommige accounts in /etc/passwd of /etc/shadow uigeschakeld worden door 2 karakters in dat veld te hebben (bv: NP).
Een fatsoenlijke beheerder heeft in de /etc/ssh/sshd_config PermitEmptyPasswords op 'no' te zetten. Soms ook nog gevolgd door een AllowUsers (alleen gebruikers die je hier aangeeft kunnen inloggen). De AllowUsers is handig voor gebruikers met de shell ingesteld als /etc/false en een makkelijk/geen wachtwoord. SSH kan namelijk ook portforwarden, hiervoor hoef je alleen een geldige gebruikersnaam / wachtwoord te hebben.
Gebruikers die wachtwoorden van 2 karakters kiezen, zijn zowiezo een probleem (SSH bug of niet). Gelukkig hebben de meeste Linux distributies al een controle op het wachtwoord (gebruikers worden niet toegelaten een te makkelijk wachtwoord te kiezen).

Binnenkomen, zij het met beperkte privileges, is de eerste stap van de hacker. Daarna kan er doorgezocht worden naar meer kwetsbaarheden. De zogenaamde stepping-stone-techniek.

Klopt, bij sommige systemen kan je als je 'bin' hebt gemakkelijk 'root' worden. (Voorbeeld staat geloof ik in de tekst).

Ik zou deze major bug niet afdoen als een "knullig foutje", alsof we het hier over een spelfout in een webpagina hebben.

Dat klopt, maar indien iemand de keus heeft tussen OpenSSH en de commericiële SSH, zal diegene (IMO) de OpenSSH variant kiezen. De OpenSSH zit namelijk bij de distributie, lekker makkelijk (je hoeft dan alleen de security updates van je distro bij te houden).

Auteur

Cookie @bkor • 24 juli 2001 11:20

Je kunt wel zien dat jij ervaring hebt met text-based O.S.-en

Elbert 24 juli 2001 08:52

Wat mij overigens nog meer verbaast is dat het een maand heeft moeten duren voordat dit openbaar werd gemaakt (of ontdekt werd).
En dat voor zo'n bug!

Auteur

Cookie @Elbert • 24 juli 2001 08:54

Is het niet slim om er pas openlijk ruchtbaarheid aan te geven wanneer de patch er is?

it0 @Cookie • 24 juli 2001 10:03

Zeg maar wat je liever hebt.
[analogie]
Het slot van je voordeur doet het niet maar dat weet je niet.

Wil je
a - Dat als men een oplossing weet het in de krant zet.
b - Dat als
men hier achter komt dat men het dan meteen in de krant zet.

Dit soort nieuws weten de foute mensen altijd voordat het in de krant staat.

Ikzelf zou voor optie b gaan zodat ik de voordeur tot die tijd bv onklaar kan maken en tot die tijd gebruik ik wel de achterdeur.

[/analogie]

Elbert @it0 • 24 juli 2001 10:12

mee eens!...
Maar er moet wel een alternatief zijn voor je beveiliging...of je moet het helemaal dichtgooien...en dat is meestal geen optie!

Elbert @Cookie • 24 juli 2001 09:01

Daar heb je wel gelijk in.
Maar ik denk zelf dat de oplossing aanzienlijk simpeler is dan de bug zelf...en als je het in dat licht bekijkt is een maand lang.

ThE_ED 24 juli 2001 08:54

Het valt mij op dat als er een exploit voor iets onder Linux/Unix gevonden word dat dit altijd is voor een programma dat niemand die ik ken gebruikt. Dat is in het geval van 'Windows' bugs toch wel anders.

charlie @ThE_ED • 24 juli 2001 09:06

SSH wordt meer gebruikt dan je denkt. Het is een noodzakelijke tool voor het systeembeheer op afstand (Je kan idd open SSH gebruiken), omdat al het dataverkeer versleuteld wordt. Telnet is hiervoor niet bruikbaar omdat het veel te gemakkelijk kan afgeluisterd worden (zelfs passwds worden cleartext over het netwerk gestuurd.)

Elbert @charlie • 24 juli 2001 09:11

Er zit alleen 1 gevaar in SSH...en dat is de mogelijkheid van tunneling...en daar hoor ik niemand over.

mars @Elbert • 24 juli 2001 11:57

Ik gebruik zo'n SSH-tunnel nu juist voor mijn pop-mail en mijn ftp connectie, wat is daar zo onveilig aan? Nu kan niemand mijn passwd lezen (niet zomaar in ieder geval).

Elbert @Elbert • 24 juli 2001 12:23

Omdat tunneling altijd een potentieel risico inhoudt.
Iemand anders kan via tunneling bij jou dus ook meer uithalen...

mars @Elbert • 24 juli 2001 12:49

Misschien dat tunneling niet 100% waterdicht is, dat weet ik niet, maar toch is het nog altijd beter een SSH-tunnel te gebruiken voor mail, ftp e.d. dan dit niet te doen en gewoon (ongecodeerd) passwords over het net te laten gaan. Er zijn natuurlijk alternatieven voor ftp, pop3 e.d. (sftp e.d.) maar niet altijd.

Elbert @Elbert • 24 juli 2001 13:09

snap ik...
Als je de ssh hiervoor gebruikt dan is dat inderdaad saver...
maar daar zit tegelijk het gevaar...jij gebruikt het namelijk voor meerdere services...iemand anders zal dit misschien niet doen maar loopt een potentieel risico dat door tunneling zijn andere services kunnen worden misbruikt door derden...mits dit niet is dichtgespijkerd.

ThE_ED @charlie • 24 juli 2001 09:09

Volgens de halve thread hierboven geldt het dus niet voor OpenSSH. En niemand die ik ken gebruikt dus de commerciele SSH3.

Verwijderd @ThE_ED • 24 juli 2001 10:25

Het schijnt dat nogal wat bedrijven die een paar miljoen teevel hebben SSH wel gebruiken. Zij hebben admins die niks meer weten dan "cd" en "dir" (hoezo 'ls'?). Deze bedrijven denken nog steeds dat opensource nerdy en lage kwaliteti is en dat commercieel per definitie beter is. Deze grote bedrijven zjin kwetsbaar..... Heel toevallig zijn het ook altijd deze grote bedrijven die gehackt worden omdat ze vergaten security updates toe te passen..... (to be continued, dus

)

De gemiddelde linux/BSD thuisgebruiker heeft openSSH en maakt zich nergens druk om.

Op dit item kan niet meer gereageerd worden.

Software-fout geeft hackers toegang tot Unix computers

Lees meer

Reacties (71)

Sorteer op:

Weergave: