¿Cómo puede defender ssh contra los ataques de análisis de tiempo? [duplicar]

Navega tus respuestas
2

A lo largo de las líneas de uso eléctrico, revela qué programa de televisión está jugando , los ataques de sincronización ssh podrían revelar tipos de tráfico, como la transmisión de video o incluso qué video específico se está transmitiendo. Esto ya se ha mencionado en el contexto de la filtración de información sobre pulsaciones de tecla . Supongo que el principio se aplica también a otras categorías de tráfico.

¿Cómo puede defenderse ssh contra ataques de análisis de tiempo para tráfico arbitrario?

    
pregunta Zamicol 09.02.2017 - 20:53
fuente

2 respuestas

1

Es cierto que, al analizar el tiempo y el tamaño de los paquetes, se puede determinar aproximadamente si esos paquetes fueron de salida de pulsaciones de teclas -vs.

Esto podría dar algunas pistas (muy aproximadas) sobre lo que estaba haciendo cuando inició sesión en el SSH de ese servidor. Por ejemplo, es posible que pueda adivinar si estaba usando vim -vs- analizando los registros -vs- ejecutando comandos básicos.

¿Pero cuál es el beneficio para el atacante? No veo mucho aquí, pero es posible.

Relacionado: detección de fallos de inicio de sesión de ssh a nivel de paquete

¿Cómo defender?

  1. ¿Realmente necesitas?

  2. Use una VPN, que brinda cierta protección al enmascarar si se está conectando a SSH y a qué SSH se está conectando.

  3. El protocolo podría modificarse para transmitir datos constantemente, de modo que las pulsaciones de teclado ya no produzcan un aumento en la frecuencia de paquetes.

respondido por el George Bailey 09.02.2017 - 21:03
fuente
1

Este es un gran problema sin una resolución clara.

Un documento publicado por la Universidad de Texas en Austin cubre algunos escenarios con redes mixtas (como Colina). Se sugiere el uso de relleno adaptable, pero no es una solución a prueba de balas. Todavía es propenso a los ataques de análisis y no es necesariamente adecuado para muchos tipos de tráfico debido a los costos de latencia potencialmente altos. El relleno adaptativo tampoco aborda las debilidades contra atacantes activos que pueden, por ejemplo, el tráfico de marcas de agua.

Otro gran artículo publicado por el Instituto InfoSec en relación con los ataques de análisis de tiempo en redes mixtas sugiere una medida que no Aparece a prueba de balas para aplicaciones como ssh.

Análisis de tiempo de pulsaciones de teclas y tiempo Attacks on SSH enumera tres contramedidas para el tráfico de pulsaciones de tecla específicamente:

  1. Enviar paquetes ficticios cuando los usuarios están escribiendo la contraseña
    • El ataque de la firma fallará
    • La información de tiempo entre pulsaciones de teclas aún está disponible para el usuario
    • Por cada pulsación de tecla, demora el tiempo aleatorio antes de enviar el paquete
  2. Aleatorizar la información de tiempo de las pulsaciones de teclas
    • No funcionará si el atacante puede monitorear el inicio de sesión del usuario muchas veces y calcular el promedio de las latencias
  3. Enviar paquetes a velocidad constante
    • rompe la capacidad de respuesta

Para el tráfico arbitrario, la opción 3 parece ser la opción más segura y potencialmente infalible, aunque aún tendría costos altos (quizás demasiado altos).

El final de la historia parece que cualquier otra cosa que no sea un flujo uniforme puede potencialmente filtrar datos sobre el tráfico.

No puedo encontrar ninguna documentación sobre ssh que esté implementando medidas para contrarrestar los ataques de análisis de tiempo.

    
respondido por el Zamicol 09.02.2017 - 21:07
fuente

Lea otras preguntas en las etiquetas

API de CSRF y JSON Asegurar las credenciales de conexión en un servidor web