Determinazione di una versione di SSH dai test di penetrazione?

Naviga le tue risposte
1

Sono uno sviluppatore di software, ma non uno specialista di sicurezza. Una società (legittima) che esegue scansioni di sicurezza ha inviato alla mia azienda un avviso che stiamo eseguendo una versione precedente di SSH sul nostro server di hosting. La società che gestisce il nostro server di hosting dice che non possono rilasciare la versione di SSH che stanno utilizzando, ma ci assicura che è sicuro.

  1. Dovrei fidarmi della società di hosting o della società di scansione o nessuno dei due?
  2. Quanto è difficile determinare la versione di SSH da remoto? Com'è possibile che la società di sicurezza possa dire quale versione di SSH è in esecuzione, ma la società di hosting non può farlo.

Alla ricerca di consigli su come procedere.

    
posta bernie2436 15.03.2015 - 15:52
fonte

2 risposte

2

Sembra che un fornitore di servizi non ti fornisca dettagli sul prodotto / servizio che stai acquistando. È come un appaltatore che non ti dice quale legno sta usando per costruire una casa. Vorrei ricordare al tuo fornitore di servizi che "la sicurezza per oscurità" non aiuterà un utente malintenzionato remoto a capire il nostro o semplicemente a lanciare attacchi contro tutte le versioni di SSH.

Dovresti controllare se hai un "diritto di controllo" nel tuo contratto di servizio, in quanto ciò potrebbe darti il diritto di conoscere queste informazioni (cerca sempre di ottenere tale lingua nei contratti del tuo fornitore di servizi)

Hai accesso alla riga di comando / shell? Se lo fai, potresti provare a controllare la versione da solo.

In termini di pen-tester che ottengono la versione sbagliata, è del tutto possibile. A seconda dei controlli eseguiti (probabilmente automatizzati tramite uno scanner di vulnerabilità), alcune caratteristiche potrebbero non corrispondere al 100%. È anche possibile configurare / compilare le tue applicazioni per mentire sulle loro versioni, cambiare banner o per alcuni proxy intermedi o bilanciamento del carico per modificare queste informazioni.

Tuttavia, sembra una bandiera rossa dal fornitore di servizi che non rilasceranno queste informazioni. Potresti far sapere loro quanto sia importante la sicurezza per la tua organizzazione e che la mancanza di garanzie di sicurezza sufficienti potrebbe portare a portare altrove il tuo business.

    
risposta data 15.03.2015 - 16:05
fonte
0

Come chi mi mette alla prova, è possibile ottenere la versione di SSH tramite il banner che restituisce, o testando vulnerabilità specifiche. Non è infallibile, ma il tester ti mostrerà perché pensano che sia una versione specifica e puoi inviarla alla tua società di hosting per una risposta.

C'è un'altra preoccupazione. Sembra che un test sia stato fatto senza la conoscenza o il consenso della società di hosting (altrimenti, non esiterebbero a parlare delle versioni dei servizi che stanno eseguendo). Se è così, allora potresti avere un problema con la tua società di hosting. Nel complesso, è il tester e l'azienda di hosting che deve parlare .

    
risposta data 16.03.2015 - 06:32
fonte

Leggi altre domande sui tag

Migrazione di una chiave x509 utilizzando KSP (CNG) in CSP (CryptoAPI) in Windows Utilizzo di scrypt per crittografare i dati in una variabile di sessione