The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"В OpenSSH добавлена защита от анализа задержек при вводе на клавиатуре"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"В OpenSSH добавлена защита от анализа задержек при вводе на клавиатуре"  +/
Сообщение от opennews (??), 30-Авг-23, 16:01 
В кодовую базу OpenSSH приняты изменения, добавляющие в утилиту ssh защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Подобные атаки основаны на том, что задержки между нажатиями при наборе текста зависят от расположения клавиш на клавиатуре (например, реакция при вводе буквы "F" быстрее, чем при вводе "Q" или "X", так как для нажатия требуется меньше движений пальцев). SSH был подвержен данным атакам так как осуществлял отправку информации о введённом символе в отдельном пакете сразу после нажатия каждой клавиши , соответственно, задержки между отправкой пакетов коррелировали с задержками между нажатиями клавиш...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=59688

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 30-Авг-23, 16:01   +7 +/
Круто! 🥳🎉
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #36

2. Сообщение от Аноним (2), 30-Авг-23, 16:06   +/
Геймеры жалуются на низкий пинг, а тут одну команду должен набирать десяток секунд. Будто нельзя что-то лучше придумать.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #4, #9, #24

3. Сообщение от Луарвик (?), 30-Авг-23, 16:11   –3 +/
apt purge openssh* снижает задержку в 10 раз
Ответить | Правка | Наверх | Cообщить модератору

4. Сообщение от Тфьу (?), 30-Авг-23, 16:12   +/
Ну 20 мс не такая уж и большая задержка. К тому же это задержка не между отправкой одного символа а между пакетами. Если ты вводишь за это 20 мс окно всю команду, то она и уйдет одним пакетом.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #33, #56

5. Сообщение от Аноним (-), 30-Авг-23, 16:21   +/
Молодцы! Супер!
Ответить | Правка | Наверх | Cообщить модератору

7. Сообщение от Аноним (7), 30-Авг-23, 16:48   +2 +/
Используйте однопальцевый метод ввода пароля!
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #18

8. Сообщение от Аноним2 (?), 30-Авг-23, 16:52   +/
И не пользуйтесь компьютером
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

9. Сообщение от Аноним2 (?), 30-Авг-23, 16:55   +4 +/
20 мс даже прогеймер не заметит.
Но тебя это мало волнует, как и прочие умственные процессы.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #10, #13, #31, #35, #57

10. Сообщение от Самый Лучший Гусь (?), 30-Авг-23, 17:19   +/
Умственные или не умственные это не нам решать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

11. Сообщение от Ананоним (?), 30-Авг-23, 17:28   +3 +/
Это какой-то сюр. Решение придуманной проблемы.
Ответить | Правка | Наверх | Cообщить модератору

12. Сообщение от Аноним (12), 30-Авг-23, 17:28   +/
Давно об этом думал.
А они прочитали мысли! :( или все же ;)
И еще, я наверно матерый параноик!!! ;)
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #14, #15

13. Сообщение от Абгыва (?), 30-Авг-23, 17:31   +2 +/
Это из разрядка "ко-ко-ко, время реакции человека 200-250 мс"?
Среагировать != заметить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #16

14. Сообщение от Аноним (2), 30-Авг-23, 18:03   +/
То, что ты параноик ещё не значит, что за тобой не следят.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #32

15. Сообщение от Аноним (16), 30-Авг-23, 18:51   +/
Просто уже разработан другой способ тебя фингерпринтить, а этот уже неактуален.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

16. Сообщение от Аноним (16), 30-Авг-23, 18:52   +/
Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #23, #27, #41

17. Сообщение от Аноним (18), 30-Авг-23, 19:04   +/
А нельзя ли было просто сделать программу, через которую вызывать другие команды? Тогда это бы помогало не только для SSH, но и для nc и может быть других прог с извращёнными протоколами? Заодно защитило бы от сбора биометрии ("клавиатурного почерка") сервером.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

18. Сообщение от Аноним (18), 30-Авг-23, 19:06   +1 +/
Перестаньте рекламировать продукцию lovense.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #20

19. Сообщение от oficsu (ok), 30-Авг-23, 19:12   +/
Из похожего есть github.com/vmonaco/kloak. Правда, оно сделано не с целью защиты от утечек, а с целью анонимизации стиля печати
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

20. Сообщение от Аноним (7), 30-Авг-23, 19:35   –1 +/
Кто такие? Я нарушил их патент?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18

22. Сообщение от Аноним (22), 30-Авг-23, 20:32   +/
>Для скрытия особенностей интерактивного ввода в трафике в ssh реализована отправка данных не по мере набора, а только через фиксированные промежутки времени (по умолчанию 20 мс).

Такая активность сама по себе может быть уязвимостью; 50 герц; как самим фактом, так и флуктуациями.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

23. Сообщение от Аноним (23), 30-Авг-23, 21:08   +/
А сознание в копчике прячется, а не в мозгу?

Ты наверно имел ввиду рефлексы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

24. Сообщение от Tron is Whistling (?), 30-Авг-23, 21:32   +4 +/
SSH-геймер - это что-то крутое.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #38

25. Сообщение от Tron is Whistling (?), 30-Авг-23, 21:33   +/
Ну да, без рандомизации в итоге как всегда - в затычке для дыры найдут очередную дыру.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22

27. Сообщение от 1 (??), 30-Авг-23, 23:49   –1 +/
есть ли сознаниие у животинушек вопрос сложный, опять же люди часто путают сознание и интеллект
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #37

29. Сообщение от Аноним (29), 31-Авг-23, 01:00   +3 +/
Очередная сферическая уязвимость в вакууме которая даже в теории возможна только в тепличных специально созданных условиях.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #30

30. Сообщение от Аноним (29), 31-Авг-23, 01:03   +1 +/
Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия, подкуп или саботаж. Далеко ходить не надо, вон, есть же услуги, где любой номер билайна внутренний сотрудник имеющий полномочия может переоформить симку на левого чела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #40, #49

31. Сообщение от Аноним (31), 31-Авг-23, 01:37   +/
А мужики то не знают.
It’s an easy thing to work out – a decent ping for gaming is anything under 10ms. Ideally, you want to go as low as possible – but 0ms isn’t a thing. There’s no such internet connection that can offer a 0ms ping, but 1ms is doable.

Вот только зачем так быстро пароли вводить?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

32. Сообщение от Аноним (32), 31-Авг-23, 08:50   +/
С учетом: "Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и как работают другие люди.", пусть следят. Главное чтобы не "помогали"!!! ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

33. Сообщение от Lost Inside (ok), 31-Авг-23, 09:11   –1 +/
> Если ты вводишь за это 20 мс окно всю команду

Очень надеюсь, что это был сарказм.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

34. Сообщение от Аноним (34), 31-Авг-23, 09:28   +2 +/
Всегда с удивлением и интересом смотрю за добавлением подобных защит. Сколько обёрток приходится наворачивать поверьх основного функционала, чтоб злыдень не восстановил пароль по скрежету пикселей.
Ответить | Правка | Наверх | Cообщить модератору

35. Сообщение от Marximizeremail (ok), 31-Авг-23, 11:23   +1 +/
Музыканты замечают 5 мс
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #53

36. Сообщение от Аноним (-), 31-Авг-23, 13:53   +2 +/
> Круто! 🥳🎉

Круто было бы если б эти жирафели доперли наконец рюхать ввод локально и слать на серв уже готовую строку. А заодно и лаг бы раз так в эн бы скостился.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #39, #42

37. Сообщение от Аноним (-), 31-Авг-23, 13:57   +/
Ну да. Вот например кот. Подходит к двери, хитро загибает лапу, делает довольно осмысленное движение захватив дверь снизу когтями, целенаправленно тянет - опа, заходит куда он там собирался.

Такое взаимодействие с окружающим миром выглядит крутовато для всего лишь рефлекса. Да и откуда рефлексу взяться? Никто же не тренирвоал кота двери открывать - он видимо посмотрел как люди это делают и собезьянил в меру своих физических возможностей. И это всего лишь кот, чей мозг далеко не рекордного размера.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #62

38. Сообщение от Аноним (-), 31-Авг-23, 13:59   +/
>  SSH-геймер - это что-то крутое.

Есть энное количество текстовых гамез, в том числе и доступных по ssh. Про CTF и вообще упоминать не удобно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24 Ответы: #44

39. Сообщение от Аноним (39), 31-Авг-23, 15:32   +/
Как понять что есть просто строка, а что нажатие клавиши для управления tui программы (например, mc)? Это обрабатывается на стороне сервера, а клиент просто передаёт последовательность.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36 Ответы: #46, #55

40. Сообщение от фф (?), 31-Авг-23, 15:36   +/
если не доверять сотрудникам билайна переоформлять симкарты, то клиентам придется в случае чего ехать в центральный офис и ждать переоформления новой симки дней 30 (рабочих)
Но с другой стороны, если бы каждый первый идиот не завязывал бы безопасность учетки на симкарту, то и проблемы выпуска левых симок не было б. Жили же в нулевых без этих авторизаций по смс как-то и номера сотовые меняли чуть не пару раз за год.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

41. Сообщение от Anon3 (?), 31-Авг-23, 16:05   +/
У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.
Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #47

42. Сообщение от ivan_erohin (?), 31-Авг-23, 17:17   +/
удваиваю этого анона.
даже терминал ЕС-79хх умел слать строки целиком.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #36

43. Сообщение от Аноним (43), 31-Авг-23, 17:53   +1 +/
Это не для машинисток и прочих десятипальцевых. Я как помню в резюме уроков по печати всегда указывалась монотонность (92 - 94%). Так что по идее надо просто ввести в школе предмет машинопись, пока актуально и голосовой ввод не вытеснил. Вот - что бы предотвратить эту атаку.
Ответить | Правка | Наверх | Cообщить модератору

44. Сообщение от Tron is Whistling (?), 31-Авг-23, 22:11   +/
Пинг в текстовых гамезах - превыше всего, да.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #48

45. Сообщение от Вы забыли заполнить поле Name (?), 01-Сен-23, 01:27   +/
Есть примеры успешных атак подобного рода?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #60

46. Сообщение от Аноним (46), 01-Сен-23, 05:45   +/
>  Как понять что есть просто строка, а что нажатие клавиши для управления tui
> программы (например, mc)? Это обрабатывается на стороне сервера,
> а клиент просто передаёт последовательность.

Ну а вот для них оставить fallback с таймаутом. Если юзер стрелки, Fn и проч жмет - ну, окей, это наверное не редактирование строки уже было. Черт, можно даже специальный режим сделать esc-последовательностью от юзера какой.

А так ssh очень мучителен на какомнить линке с большим пингом типа gprs или 3G едва ловящегося, при том сугубо на ломовом RTT в основном. Оно как бы не проблема если вы в городе на эзернете, но если на краю земли пытаться порулить скопытившимся сервером с телефона "на минималках" - потому что это все же лучше чем дохлый серв на 2 недели - жутко бесит.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #50

47. Сообщение от Аноним (46), 01-Сен-23, 05:50   +2 +/
Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок! Но говорят что это вредно для сохранности клешней.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #54

48. Сообщение от Аноним (-), 01-Сен-23, 06:01   +/
> Пинг в текстовых гамезах - превыше всего, да.

Ну как бы они разные бывают. И реалтаймные мультиплеерные даже. Почему нет?!

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #51

49. Сообщение от Аноним (-), 01-Сен-23, 06:05   +/
> Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там
> что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия,

Да не скажите. Вон те химера-шоу например технически обеспечиваются именно тугостью обладателей гаджета с одной стороны, квазибэкдорным поведением гаджета - с другой. Если вы сами на себя координаты прислали - вот вам тогда подарок.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

50. Сообщение от Аноним (50), 01-Сен-23, 10:07   +/
> А так ssh очень мучителен

Вы из будущего? Эту защиту только добавили.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46

51. Сообщение от Tron is Whistling (?), 01-Сен-23, 17:18   +/
Сколько букав вы напечатаете за 20мс?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #58

53. Сообщение от voiceofreason (?), 01-Сен-23, 17:34   +/
Нет. MJTV подробно разбирал, какие реальные задержки при мнимых 5мс.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

54. Сообщение от Anon3 (?), 01-Сен-23, 21:01   +/
> Аноним: Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе
>> Anon3: У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.

Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания
>>> Аноним: Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок!
>>> Но говорят что это вредно для сохранности клешней.

Рука от огня отрывается вообще без участия головного мозга, используется только спинной.
Но вы же можете позволить взять у себя кровь с пальца послав сознательный сигнал торможения в спинальную рефлекторную дугу (разрешение сознания).
Если уж у вас все перевернулось с ног на голову, то хотя бы to go deeper и приводить в пример коленный рефлекс.

> Поэтому животные без сознания выживают в природе

Будем обсуждать как выжить в этом мире человеку с OpenSSH на перевес, приводя в пример выживание безсознательных животных, хотя для человека максимально сложное доступное безсознательное поведение, на которое можно надеяться: https://ru.wikipedia.org/wiki/Вскидывание_бровей и у которого даже более примитивные автоматизмы отпадают в раннем возрасте. Ну-ну

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

55. Сообщение от Свинни Тодд (?), 02-Сен-23, 21:59   +/
А как это в телнете работает? И как там же работают эти tui?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39

56. Сообщение от Анонимemail (56), 04-Сен-23, 17:50   +/
вы таке путаете с MOSH
SSH со времен первых терминалов был синхронным на input/echo
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

57. Сообщение от Анонимemail (56), 04-Сен-23, 17:52   +/
попробутей дотерам объяснить, ну или в кс поиграть с разницей в ~50 милисекунды с задрт VS задрт

очевидно и сами вы не оч играете

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

58. Сообщение от Анонимemail (56), 04-Сен-23, 17:54   +/
до 10 символов в минуту (verseq в помосч если хотите посоревноваться - и да у меня не механика клава, низкопрофильное гуамно)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #51 Ответы: #59, #63

59. Сообщение от Анонимemail (56), 04-Сен-23, 17:54   +/
в минуту/секунду - интересная ошибка получилась лол, вот даже мозг за руками не поспевает
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58 Ответы: #61

60. Сообщение от Анонимemail (56), 04-Сен-23, 17:58   +/
поставь какуюнить нейронку, натрави на wireshark дамп и проверь), я лично этот метод интуитивно осознал с приходом нейронок в массы, историю UNIX и всяких там непонятных vt* надо всеж знать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

61. Сообщение от Tron is Whistling (?), 04-Сен-23, 20:40   +/
А вы в него дрожжей добавьте - быстрее поспеет.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

62. Сообщение от Аноним (62), 04-Сен-23, 21:03   +/
Ещё кот со временем научается различать, когда толкать надо конкретную дверь, а с какой стороны на себя выцарапывать.

Да, обучаемый, соображающий. Когда ему надо.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37

63. Сообщение от Tron is Whistling (?), 04-Сен-23, 21:08   +/
10 символов в секунду - это аж целых 100мс на символ.
Короче, от +/- 20мс даже самым крутым SSH-геймерам не убудет, такие дела.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #58


Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру