¿Determinar una versión de SSH a partir de las pruebas de penetración?

Navega tus respuestas
1

Soy un desarrollador de software, pero no soy un especialista en seguridad. Una compañía (legítima) que realiza escaneos de seguridad envió a mi compañía un aviso de que estamos ejecutando una versión anterior de SSH en nuestro servidor de alojamiento. La compañía que ejecuta nuestro servidor de alojamiento dice que no pueden lanzar la versión de SSH que están usando, pero nos asegura que es segura.

  1. ¿Debo confiar en la compañía de alojamiento o en la compañía de escaneo o no?
  2. ¿Qué tan difícil es determinar la versión de SSH de forma remota? ¿Cómo es que la compañía de seguridad puede decir qué versión de SSH estamos ejecutando, pero la compañía de hosting no puede?

Buscando consejos sobre cómo proceder.

    
pregunta bernie2436 15.03.2015 - 15:52
fuente

2 respuestas

2

Parece que un proveedor de servicios no le dará detalles del producto / servicio que está comprando. Eso es como un contratista que no te dice qué madera está usando para construir una casa. Le recordaría a su proveedor de servicios que "seguridad por oscuridad" no ayudará a un atacante remoto a partir de la idea de nuestro o simplemente lanzar ataques contra todas las versiones de SSH.

Debería verificar si tiene un "derecho de auditoría" en su contrato de servicio, ya que eso podría otorgarle el derecho a conocer esta información (siempre intente obtener dicho lenguaje en sus contratos de proveedor de servicios)

¿Tiene acceso a la línea de comandos / shell? Si lo hace, podría intentar verificar la versión usted mismo.

En términos de que los evaluadores de bolígrafos obtengan la versión incorrecta, es completamente posible. Dependiendo de los controles que ejecutaron (probablemente automatizados a través de un escáner de vulnerabilidades), ciertas características pueden no dar una coincidencia del 100%. También es posible configurar / compilar sus aplicaciones para mentir acerca de sus versiones, cambiar banners , o para algún proxy intermedio o equilibrador de carga para cambiar esta información.

Sin embargo, suena como una señal de advertencia del proveedor de servicios de que no divulgarán esta información. Es posible que desee hacerles saber lo importante que es la seguridad para su organización y que la falta de garantías de seguridad suficientes podría llevar a que su negocio se vaya a otra parte.

    
respondido por el Eric G 15.03.2015 - 16:05
fuente
0

Como alguien que realiza las pruebas por mí mismo, es posible obtener la versión de SSH a través del banner que devuelve, o probando vulnerabilidades específicas. No es infalible, pero el probador le mostrará por qué piensan que es una versión específica, y puede enviarlo a su compañía de alojamiento para obtener una respuesta.

Hay otra preocupación. Parece que se realizó una prueba sin el conocimiento o consentimiento de la empresa de alojamiento (de lo contrario, no dudarían en hablar sobre las versiones de los servicios que están ejecutando). Si es así, es posible que tenga un problema con su empresa de alojamiento. En general, es el probador y la empresa de alojamiento que necesitan hablar .

    
respondido por el schroeder 16.03.2015 - 06:32
fuente

Lea otras preguntas en las etiquetas

Seguridad en la capa de aplicación HTTPS: ¿el servidor puede ver los detalles del certificado del lado del cliente?