Kann der Hacker auf den Client zugreifen, hat er die Möglichkeit, entweder eine bestehende SSH-Verbindung einfach zu übernehmen (SSH Session Hijacking) oder einen Sniffer zu installieren. Beachten Sie, dass wir in diesem Fall nicht von einem Packet-Sniffer sprechen, der die Netzwerk-Karte abhört und ankommende bzw. abgehende Pakete protokolliert. Dies würde nicht funktionieren, da die Verbindung natürlich verschlüsselt ist. Unser Sniffer arbeitet nur auf dem lokalen System, wie ein Keylogger. Ein Angreifer könnte zum Beispiel einem Benutzer einen LD_PRELOAD-Sniffer in die .bashrc schreiben oder direkt über /etc/ld.so.preload, welcher bei jedem Login des Benutzers geladen würde. Baut der Benutzer nun eine 3SSH Verbindung auf, wird alles im Klartext gespeichert, da lediglich die SSH-Verbindung zu dem entfernten Server verschlüsselt ist, jedoch nicht die Ein- und Ausgabe des Benutzers, welcher mit SSH interagiert. Somit kann ein Angreifer nicht nur Passwörter auslesen, sondern die komplette Verbindung aufzeichnen.

Eine alte, aber immer noch aktuelle Methode, um an SSH Passwörter zu gelangen, ist das Austauschen des SSH-Clients. Hierzu muss ein Angreifer einfach den SSH Source Code ändern und eine kleine Log-Funktion einbinden, um alle Passwörter in einer Datei zu speichern. Es gibt bereits unzählige solcher Patches im Internet, daher wird diese Methode von Script Kids bevorzugt. Wenn der Angreifer aber nicht die A/M/C-Zeiten ändert, ist es für einen Administrator einfach, diese Backdoor zu entdecken. Es gibt auch ELF-Parasiten, die in das SSH-Programm injiziert werden können. Solche Änderungen sind allerdings nicht sehr sauber und mit einem einfachen MD5-Test zu entdecken, deshalb setzen Hacker gerne auf kernel-basierte Tools, wie /dev/kmem- bzw. /dev/mem-Infektionen, ptrace()-Injektionen oder eben LD_PRELOAD, da hierbei die Datei nicht verändert wird.


SSH-Key-Authentifizierung umgehen

Das Schlüsselverfahren basiert auf sog. asymmetric cryptography principles. Auf diesem Weg wird ein Benutzer mit einem Schlüssel authentifiziert. Bei der Public-Key-Methode erstellt der Benutzer also ein Schlüsselpaar. Jeder Client hat seinen privaten und einen öffentlichen Schlüssel, welcher im Server abgelegt wird. Passen beide Schlüssel zusammen, wird der Client authentifiziert. Je nach Einstellungen wird entweder ein Passwort abgefragt, oder der Benutzer wird direkt verbunden, da beide Schlüssel passen.

[Vorherige]  1 2 3 4 5 6 7  [Nächste]