The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"В OpenSSH добавлена защита от анализа задержек при вводе на клавиатуре"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH добавлена защита от анализа задержек при вводе на клавиатуре"  +/
Сообщение от opennews (??), 30-Авг-23, 16:01 
В кодовую базу OpenSSH приняты изменения, добавляющие в утилиту ssh защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Подобные атаки основаны на том, что задержки между нажатиями при наборе текста зависят от расположения клавиш на клавиатуре (например, реакция при вводе буквы "F" быстрее, чем при вводе "Q" или "X", так как для нажатия требуется меньше движений пальцев). SSH был подвержен данным атакам так как осуществлял отправку информации о введённом символе в отдельном пакете сразу после нажатия каждой клавиши , соответственно, задержки между отправкой пакетов коррелировали с задержками между нажатиями клавиш...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59688

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +7 +/
Сообщение от Аноним (1), 30-Авг-23, 16:01 
Круто! 🥳🎉
Ответить | Правка | Наверх | Cообщить модератору

36. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +2 +/
Сообщение от Аноним (-), 31-Авг-23, 13:53 
> Круто! 🥳🎉

Круто было бы если б эти жирафели доперли наконец рюхать ввод локально и слать на серв уже готовую строку. А заодно и лаг бы раз так в эн бы скостился.

Ответить | Правка | Наверх | Cообщить модератору

39. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (39), 31-Авг-23, 15:32 
Как понять что есть просто строка, а что нажатие клавиши для управления tui программы (например, mc)? Это обрабатывается на стороне сервера, а клиент просто передаёт последовательность.
Ответить | Правка | Наверх | Cообщить модератору

46. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (46), 01-Сен-23, 05:45 
>  Как понять что есть просто строка, а что нажатие клавиши для управления tui
> программы (например, mc)? Это обрабатывается на стороне сервера,
> а клиент просто передаёт последовательность.

Ну а вот для них оставить fallback с таймаутом. Если юзер стрелки, Fn и проч жмет - ну, окей, это наверное не редактирование строки уже было. Черт, можно даже специальный режим сделать esc-последовательностью от юзера какой.

А так ssh очень мучителен на какомнить линке с большим пингом типа gprs или 3G едва ловящегося, при том сугубо на ломовом RTT в основном. Оно как бы не проблема если вы в городе на эзернете, но если на краю земли пытаться порулить скопытившимся сервером с телефона "на минималках" - потому что это все же лучше чем дохлый серв на 2 недели - жутко бесит.

Ответить | Правка | Наверх | Cообщить модератору

50. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (50), 01-Сен-23, 10:07 
> А так ssh очень мучителен

Вы из будущего? Эту защиту только добавили.

Ответить | Правка | Наверх | Cообщить модератору

55. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Свинни Тодд (?), 02-Сен-23, 21:59 
А как это в телнете работает? И как там же работают эти tui?
Ответить | Правка | К родителю #39 | Наверх | Cообщить модератору

42. Скрыто модератором  +/
Сообщение от ivan_erohin (?), 31-Авг-23, 17:17 
Ответить | Правка | К родителю #36 | Наверх | Cообщить модератору

2. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (2), 30-Авг-23, 16:06 
Геймеры жалуются на низкий пинг, а тут одну команду должен набирать десяток секунд. Будто нельзя что-то лучше придумать.
Ответить | Правка | Наверх | Cообщить модератору

4. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Тфьу (?), 30-Авг-23, 16:12 
Ну 20 мс не такая уж и большая задержка. К тому же это задержка не между отправкой одного символа а между пакетами. Если ты вводишь за это 20 мс окно всю команду, то она и уйдет одним пакетом.
Ответить | Правка | Наверх | Cообщить модератору

33. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  –1 +/
Сообщение от Lost Inside (ok), 31-Авг-23, 09:11 
> Если ты вводишь за это 20 мс окно всю команду

Очень надеюсь, что это был сарказм.

Ответить | Правка | Наверх | Cообщить модератору

56. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Анонимemail (56), 04-Сен-23, 17:50 
вы таке путаете с MOSH
SSH со времен первых терминалов был синхронным на input/echo
Ответить | Правка | К родителю #4 | Наверх | Cообщить модератору

9. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +4 +/
Сообщение от Аноним2 (?), 30-Авг-23, 16:55 
20 мс даже прогеймер не заметит.
Но тебя это мало волнует, как и прочие умственные процессы.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

10. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Самый Лучший Гусь (?), 30-Авг-23, 17:19 
Умственные или не умственные это не нам решать
Ответить | Правка | Наверх | Cообщить модератору

13. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +2 +/
Сообщение от Абгыва (?), 30-Авг-23, 17:31 
Это из разрядка "ко-ко-ко, время реакции человека 200-250 мс"?
Среагировать != заметить.
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

16. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (16), 30-Авг-23, 18:52 
Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе.
Ответить | Правка | Наверх | Cообщить модератору

23. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (23), 30-Авг-23, 21:08 
А сознание в копчике прячется, а не в мозгу?

Ты наверно имел ввиду рефлексы.

Ответить | Правка | Наверх | Cообщить модератору

27. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  –1 +/
Сообщение от 1 (??), 30-Авг-23, 23:49 
есть ли сознаниие у животинушек вопрос сложный, опять же люди часто путают сознание и интеллект
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

37. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (-), 31-Авг-23, 13:57 
Ну да. Вот например кот. Подходит к двери, хитро загибает лапу, делает довольно осмысленное движение захватив дверь снизу когтями, целенаправленно тянет - опа, заходит куда он там собирался.

Такое взаимодействие с окружающим миром выглядит крутовато для всего лишь рефлекса. Да и откуда рефлексу взяться? Никто же не тренирвоал кота двери открывать - он видимо посмотрел как люди это делают и собезьянил в меру своих физических возможностей. И это всего лишь кот, чей мозг далеко не рекордного размера.

Ответить | Правка | Наверх | Cообщить модератору

62. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (62), 04-Сен-23, 21:03 
Ещё кот со временем научается различать, когда толкать надо конкретную дверь, а с какой стороны на себя выцарапывать.

Да, обучаемый, соображающий. Когда ему надо.

Ответить | Правка | Наверх | Cообщить модератору

41. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Anon3 (?), 31-Авг-23, 16:05 
У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.
Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

47. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +2 +/
Сообщение от Аноним (46), 01-Сен-23, 05:50 
Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок! Но говорят что это вредно для сохранности клешней.
Ответить | Правка | Наверх | Cообщить модератору

54. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Anon3 (?), 01-Сен-23, 21:01 
> Аноним: Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе
>> Anon3: У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.

Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания
>>> Аноним: Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок!
>>> Но говорят что это вредно для сохранности клешней.

Рука от огня отрывается вообще без участия головного мозга, используется только спинной.
Но вы же можете позволить взять у себя кровь с пальца послав сознательный сигнал торможения в спинальную рефлекторную дугу (разрешение сознания).
Если уж у вас все перевернулось с ног на голову, то хотя бы to go deeper и приводить в пример коленный рефлекс.

> Поэтому животные без сознания выживают в природе

Будем обсуждать как выжить в этом мире человеку с OpenSSH на перевес, приводя в пример выживание безсознательных животных, хотя для человека максимально сложное доступное безсознательное поведение, на которое можно надеяться: https://ru.wikipedia.org/wiki/Вскидывание_бровей и у которого даже более примитивные автоматизмы отпадают в раннем возрасте. Ну-ну

Ответить | Правка | Наверх | Cообщить модератору

31. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (31), 31-Авг-23, 01:37 
А мужики то не знают.
It’s an easy thing to work out – a decent ping for gaming is anything under 10ms. Ideally, you want to go as low as possible – but 0ms isn’t a thing. There’s no such internet connection that can offer a 0ms ping, but 1ms is doable.

Вот только зачем так быстро пароли вводить?

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

35. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +1 +/
Сообщение от Marximizeremail (ok), 31-Авг-23, 11:23 
Музыканты замечают 5 мс
Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

53. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от voiceofreason (?), 01-Сен-23, 17:34 
Нет. MJTV подробно разбирал, какие реальные задержки при мнимых 5мс.
Ответить | Правка | Наверх | Cообщить модератору

57. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Анонимemail (56), 04-Сен-23, 17:52 
попробутей дотерам объяснить, ну или в кс поиграть с разницей в ~50 милисекунды с задрт VS задрт

очевидно и сами вы не оч играете

Ответить | Правка | К родителю #9 | Наверх | Cообщить модератору

24. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +4 +/
Сообщение от Tron is Whistling (?), 30-Авг-23, 21:32 
SSH-геймер - это что-то крутое.
Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

38. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (-), 31-Авг-23, 13:59 
>  SSH-геймер - это что-то крутое.

Есть энное количество текстовых гамез, в том числе и доступных по ssh. Про CTF и вообще упоминать не удобно.

Ответить | Правка | Наверх | Cообщить модератору

44. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Tron is Whistling (?), 31-Авг-23, 22:11 
Пинг в текстовых гамезах - превыше всего, да.
Ответить | Правка | Наверх | Cообщить модератору

48. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (-), 01-Сен-23, 06:01 
> Пинг в текстовых гамезах - превыше всего, да.

Ну как бы они разные бывают. И реалтаймные мультиплеерные даже. Почему нет?!

Ответить | Правка | Наверх | Cообщить модератору

51. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Tron is Whistling (?), 01-Сен-23, 17:18 
Сколько букав вы напечатаете за 20мс?
Ответить | Правка | Наверх | Cообщить модератору

58. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Анонимemail (56), 04-Сен-23, 17:54 
до 10 символов в минуту (verseq в помосч если хотите посоревноваться - и да у меня не механика клава, низкопрофильное гуамно)
Ответить | Правка | Наверх | Cообщить модератору

59. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Анонимemail (56), 04-Сен-23, 17:54 
в минуту/секунду - интересная ошибка получилась лол, вот даже мозг за руками не поспевает
Ответить | Правка | Наверх | Cообщить модератору

61. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Tron is Whistling (?), 04-Сен-23, 20:40 
А вы в него дрожжей добавьте - быстрее поспеет.
Ответить | Правка | Наверх | Cообщить модератору

63. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Tron is Whistling (?), 04-Сен-23, 21:08 
10 символов в секунду - это аж целых 100мс на символ.
Короче, от +/- 20мс даже самым крутым SSH-геймерам не убудет, такие дела.
Ответить | Правка | К родителю #58 | Наверх | Cообщить модератору

3. Скрыто модератором  –3 +/
Сообщение от Луарвик (?), 30-Авг-23, 16:11 
Ответить | Правка | Наверх | Cообщить модератору

5. Скрыто модератором  +/
Сообщение от Аноним (-), 30-Авг-23, 16:21 
Ответить | Правка | Наверх | Cообщить модератору

7. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +2 +/
Сообщение от Аноним (7), 30-Авг-23, 16:48 
Используйте однопальцевый метод ввода пароля!
Ответить | Правка | Наверх | Cообщить модератору

8. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним2 (?), 30-Авг-23, 16:52 
И не пользуйтесь компьютером
Ответить | Правка | Наверх | Cообщить модератору

18. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +1 +/
Сообщение от Аноним (18), 30-Авг-23, 19:06 
Перестаньте рекламировать продукцию lovense.
Ответить | Правка | К родителю #7 | Наверх | Cообщить модератору

20. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  –1 +/
Сообщение от Аноним (7), 30-Авг-23, 19:35 
Кто такие? Я нарушил их патент?
Ответить | Правка | Наверх | Cообщить модератору

11. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +3 +/
Сообщение от Ананоним (?), 30-Авг-23, 17:28 
Это какой-то сюр. Решение придуманной проблемы.
Ответить | Правка | Наверх | Cообщить модератору

12. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (12), 30-Авг-23, 17:28 
Давно об этом думал.
А они прочитали мысли! :( или все же ;)
И еще, я наверно матерый параноик!!! ;)
Ответить | Правка | Наверх | Cообщить модератору

14. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (2), 30-Авг-23, 18:03 
То, что ты параноик ещё не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору

32. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (32), 31-Авг-23, 08:50 
С учетом: "Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и как работают другие люди.", пусть следят. Главное чтобы не "помогали"!!! ;)
Ответить | Правка | Наверх | Cообщить модератору

15. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (16), 30-Авг-23, 18:51 
Просто уже разработан другой способ тебя фингерпринтить, а этот уже неактуален.
Ответить | Правка | К родителю #12 | Наверх | Cообщить модератору

17. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (18), 30-Авг-23, 19:04 
А нельзя ли было просто сделать программу, через которую вызывать другие команды? Тогда это бы помогало не только для SSH, но и для nc и может быть других прог с извращёнными протоколами? Заодно защитило бы от сбора биометрии ("клавиатурного почерка") сервером.
Ответить | Правка | Наверх | Cообщить модератору

19. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от oficsu (ok), 30-Авг-23, 19:12 
Из похожего есть github.com/vmonaco/kloak. Правда, оно сделано не с целью защиты от утечек, а с целью анонимизации стиля печати
Ответить | Правка | Наверх | Cообщить модератору

22. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (22), 30-Авг-23, 20:32 
>Для скрытия особенностей интерактивного ввода в трафике в ssh реализована отправка данных не по мере набора, а только через фиксированные промежутки времени (по умолчанию 20 мс).

Такая активность сама по себе может быть уязвимостью; 50 герц; как самим фактом, так и флуктуациями.

Ответить | Правка | Наверх | Cообщить модератору

25. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Tron is Whistling (?), 30-Авг-23, 21:33 
Ну да, без рандомизации в итоге как всегда - в затычке для дыры найдут очередную дыру.
Ответить | Правка | Наверх | Cообщить модератору

29. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +3 +/
Сообщение от Аноним (29), 31-Авг-23, 01:00 
Очередная сферическая уязвимость в вакууме которая даже в теории возможна только в тепличных специально созданных условиях.
Ответить | Правка | Наверх | Cообщить модератору

30. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +1 +/
Сообщение от Аноним (29), 31-Авг-23, 01:03 
Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия, подкуп или саботаж. Далеко ходить не надо, вон, есть же услуги, где любой номер билайна внутренний сотрудник имеющий полномочия может переоформить симку на левого чела.
Ответить | Правка | Наверх | Cообщить модератору

40. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от фф (?), 31-Авг-23, 15:36 
если не доверять сотрудникам билайна переоформлять симкарты, то клиентам придется в случае чего ехать в центральный офис и ждать переоформления новой симки дней 30 (рабочих)
Но с другой стороны, если бы каждый первый идиот не завязывал бы безопасность учетки на симкарту, то и проблемы выпуска левых симок не было б. Жили же в нулевых без этих авторизаций по смс как-то и номера сотовые меняли чуть не пару раз за год.
Ответить | Правка | Наверх | Cообщить модератору

49. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Аноним (-), 01-Сен-23, 06:05 
> Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там
> что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия,

Да не скажите. Вон те химера-шоу например технически обеспечиваются именно тугостью обладателей гаджета с одной стороны, квазибэкдорным поведением гаджета - с другой. Если вы сами на себя координаты прислали - вот вам тогда подарок.

Ответить | Правка | К родителю #30 | Наверх | Cообщить модератору

34. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +2 +/
Сообщение от Аноним (34), 31-Авг-23, 09:28 
Всегда с удивлением и интересом смотрю за добавлением подобных защит. Сколько обёрток приходится наворачивать поверьх основного функционала, чтоб злыдень не восстановил пароль по скрежету пикселей.
Ответить | Правка | Наверх | Cообщить модератору

43. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +1 +/
Сообщение от Аноним (43), 31-Авг-23, 17:53 
Это не для машинисток и прочих десятипальцевых. Я как помню в резюме уроков по печати всегда указывалась монотонность (92 - 94%). Так что по идее надо просто ввести в школе предмет машинопись, пока актуально и голосовой ввод не вытеснил. Вот - что бы предотвратить эту атаку.
Ответить | Правка | Наверх | Cообщить модератору

45. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Вы забыли заполнить поле Name (?), 01-Сен-23, 01:27 
Есть примеры успешных атак подобного рода?
Ответить | Правка | Наверх | Cообщить модератору

60. "В OpenSSH добавлена защита от анализа задержек при вводе на ..."  +/
Сообщение от Анонимemail (56), 04-Сен-23, 17:58 
поставь какуюнить нейронку, натрави на wireshark дамп и проверь), я лично этот метод интуитивно осознал с приходом нейронок в массы, историю UNIX и всяких там непонятных vt* надо всеж знать
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру