+66 голосов |
Исполнения каких ролей можно ожидать от бот-сетей в дальнейшем? Буквально из суеверия (не накликать бы беды!) мы удержались, чтобы не упомянуть в материалах нашей Темы Недели (KO №41) о ряде потенциальных новых угроз со стороны бот-сетей. Но на днях выяснилось, что один из этих гипотетических сценариев уже вступил в стадию реализации. Идея имеет прямое отношение к теоретической возможности проведения атак, относящихся к классу «распределенного bruteforce».
Подтвердилось, что с некоторых пор бот-сетям нашли еще одну «работу» – методом перебора подбирать пароль для SSH. Сама атака такого рода не нова, и ведись она с одного компьютера (или с пары-тройки) – обнаружить и отсечь злоумышленника несложно. Но когда в дело вступает коллективный «разум» распределенной сети, противостоять ему стандартными локальными средствами защиты становится практически невозможно, ведь в подборе участвуют несколько тысяч машин.
На то, что этот сценарий реален, указывают и эти наблюдения. Заметим, что трафик в отношении атакуемого endpoint в описываемом случае не носил аномальный характер, а был равномерно распределен во времени, не достигая порога реагирования системы по блокированию атак.
Противостоять конкретно этой угрозе достаточно несложно – если SSHD действительно нужен для работы, можно, например, жестко ограничить перечень доверенных сетей, из которых будет обслуживаться доступ.
Наверняка профессиональный администратор найдет и еще пяток-другой прочих вариантов конфигурирования, препятствующих злонамеренной активности.
Однако, проявив немного фантазии несложно представить, что имея свою бот-сеть, злоумышленнику, например, не придется писать хитроумные эксплойты и утруждать себя фишингом для среднестатистического владельца «серого» iPhone (даже в случае смены после «анлока»/«джеилбрейка» пароля по умолчанию для входа через SSH). Разумеется, этому должны сопутствовать определенные обстоятельства, однако с учетом внимания, уделяемого злоумышленниками в последнее время мобильным устройствам в общем и iPhone в частности (информация, датированная концом марта от Александра , как мне кажется, также несколько устарела), такой сценарий уже не выглядит столь невероятным.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
+66 голосов |
Значит, скорее уже перейдут на OTP (One-Time Passwords). Сложность внедрения на одном отдельно взятом сервере такая, что и второкурсник справится (я на втором курсе справился).
А тем, для кого слишком сложно (крупномасштабные внедрения и т.д.) с радостью помогут консультанты из RSA и проч.
Ж:)
Добавлю, что имеется в виду модель использования такая, когда OTP будет сменяться быстрее, чем его успеют подобрать - т.е. более-менее регулярные логины.
по этому поводу граждане на опеннете уже высказывались - либо надо знать правила составления паролей (больше 10 символов, слово должно быть искусственным и отсутствовать в словаре), и/или смена стандартного порта, на который вешают SSH.
также совсем неплохим дополнением будет ввести минимальный интервал времени между попытками ввода пароля, и составить список доверенных хостов, с которых возможен доступ по SSH.
Владимир, относительно необходимости соблюдения правил выбора пароля – это даже обсуждению не подлежит! Вот только что делать с «пользователем обыкновенным»? В лучшем случае он пароль-то (пароли) поменять в состоянии, но чтобы не забыть – однозначно напишет его на стикере и вывесит на самом видном месте.
Кроме того, потенциальная опасность видится в том, что при миллионе ботов в составе одной сети, пароль в 8 случайных символов (традиционный рекомендованный минимум) может быть «невзначай» подобран в разумные сроки методом прямого перебора, а не только атакой по словарю. То есть, чтобы снизить вероятность этого, придется минимум: 1. пользоваться распределенными/объединенными системами сетевой безопасности для распознавания и предотвращения атаки и 2. менять пароль чаще. Оптимум – выполнение обоих пунктов одновременно, думаю, они неплохо дополнят друг друга.
для пользователя обыкновенного вообще всё просто - ему дается пассфраза, на основе которой программный токен геренит 2Кб одноразовый ключ, подбирать который можно долго и упорно.
Да и Password Requirement Policies никто не отменял :)
В общем, эта новая угроза только поспособствует распространению OTP и появлению стандартных элементов OTP-аутентификации для всего, начиная от веб-форм и заканчивая POP3 (в принципе, на *nix'ах уже давно есть PAM, и никто не запрещает им пользоваться). Таково моё мнение.
никто не отменял, только ведь OTP сущетвует не везде, а пользователи выбирают легко запоминаемые пароли, причем как правило, один на все сервисы
Microsoft Security Trusted Adviser
MVP Consumer Security