Conseguenza dell'utilizzo di SSH quando l'impronta digitale è cambiata?

Naviga le tue risposte
1

Ho ricevuto il seguente errore di connessione al mio server tramite ssh: 

The authenticity of host '[ip address]:port ([ip address]:port)' can't be established.
ECDSA key fingerprint is SHA256:[thefingerprintwhichichanged].

Mi sono collegato in ogni caso e sono ragionevolmente sicuro di conoscere il motivo della modifica dell'impronta digitale.

Ma supponiamo di essere stato MitM'd ...

Scenario

Di solito uso la coppia di chiavi per connettermi al mio con login password disabilitato. Mi sono collegato tramite SSH, l'impronta digitale non corrisponde ma ho usato la coppia di chiavi precedentemente utilizzata per la connessione. Durante la connessione tramite SSH, ho effettuato l'accesso al database e ho modificato alcune voci. Ho quindi disconnesso.

Domande

  • Come funzionerebbe quell'attacco e cosa potrebbe apprendere o fare l'attaccante?
  • Può leggere i dati inviati al server, può leggere i dati inviati dal server?
  • Può cambiare qualche dato?
  • È possibile eseguire comandi sul server che non ho?
  • Può mai accedere di nuovo?
  • Può mai ripetere le azioni che ho eseguito mentre ero MitM'd?
posta Cyrus 21.11.2016 - 03:43
fonte

3 risposte

1

Bene, ci sono molte cose che il "server cattivo" può fare per te:

How would that attack work and what could the attacker learn or do?

L'utente malintenzionato ti connette al suo server anziché a tuo modificando le risposte DNS o altri tipi di mangling con i pacchetti. Io useresti le password, lui otterrebbe la tua password e potrebbe connettersi a un server reale in qualsiasi momento (e fare le cose cattive lì). Se si utilizzano solo le chiavi, è possibile inoltrare la richiesta del server originale e lasciarla firmare, che garantirà l'accesso "server non valido" al proprio server reale. Tutto questo può essere reso trasparente in modo che anche tu faccia cose sul server reale per minimizzare i tuoi sospetti.

Can he read data sent to server, can he read data sent by server?

Si

Can he change any data?

Si

Can he perform commands on server that I did not?

Si

Can he ever login again?

Solo se si invia una password. Le chiavi private impediscono questo caso d'uso.

Can he ever redo the actions I performed while I was being MitM'd?

Se non chiude la connessione, può fare le azioni più tardi.

L'altro capitolo è ciò che il "server cattivo" può fare con il tuo cliente:

  • Se si utilizza l'inoltro X11 per impostazione predefinita, il "server non valido" ha (di solito) accesso completo al tuo server X - può fare uno screenshot del desktop, ascoltare tutte le sequenze di tasti e così via.
  • Id che non hai sistemato la funzionalità Roaming dal tuo client OpenSSH, il server può fondamentalmente forzarti a invia alcune delle chiavi private (in alcuni casi).
  • probabilmente altri ...
risposta data 21.11.2016 - 13:38
fonte
0

Se l'impronta digitale non corrisponde, potrebbe essere molto peggio di un'ascolto passivo: spesso significa che è una macchina completamente diversa. Se si avvia il trasferimento di file sensibili sulla macchina di un utente malintenzionato o si digitano le password sudo, può accedervi. Può sostituire comandi comuni con alternative che fanno cose leggermente diverse che espongono i dati sensibili. Può fare praticamente tutto ciò che vuole, perché è la sua macchina, non la tua.

    
risposta data 21.11.2016 - 05:08
fonte
0

Se l'autenticità non può essere dimostrata, significa solo:

  • non stai parlando con un host che dovresti: scenario peggiore è un gemello malvagio
  • host ha cambiato le sue chiavi, ma se è il tuo server e non ti ricordi di farlo, è discutibile.
risposta data 21.11.2016 - 13:38
fonte

Leggi altre domande sui tag

Cripta chiave simmetrica o messaggio prima PGP? Come posso limitare le informazioni (metadati) che vengono inviate a Google da un telefono Android?