¿Consecuencia de usar SSH cuando ha cambiado la huella digital?

Navega tus respuestas
1

Recibí el siguiente error al conectarme a mi servidor a través de ssh: 

The authenticity of host '[ip address]:port ([ip address]:port)' can't be established.
ECDSA key fingerprint is SHA256:[thefingerprintwhichichanged].

De todos modos, me conecté y estoy razonablemente seguro de que conozco el motivo del cambio de huella digital.

Pero supongamos que estaba siendo MitM'd ...

Escenario

Por lo general, uso un par de teclas para conectarme a mi con el inicio de sesión de contraseña desactivado Me conecté a través de SSH, la huella digital no coincidía, pero utilicé el par de teclas utilizado anteriormente para conectar. Mientras estaba conectado a través de SSH, inicié sesión en la base de datos y cambié algunas entradas. Luego me desconecté.

Preguntas

  • ¿Cómo funcionaría ese ataque y qué podría aprender o hacer el atacante?
  • ¿Puede leer los datos enviados al servidor? ¿Puede leer los datos enviados por el servidor?
  • ¿Puede cambiar cualquier dato?
  • ¿Puede él ejecutar comandos en el servidor que yo no hice?
  • ¿Puede volver a iniciar sesión de nuevo?
  • ¿Puede alguna vez rehacer las acciones que realicé mientras estaba siendo MitM'd?
pregunta Cyrus 21.11.2016 - 03:43
fuente

3 respuestas

1

Bueno, hay muchas cosas que el "servidor malo" puede hacerte:

  

¿Cómo funcionaría ese ataque y qué podría aprender o hacer el atacante?

El atacante te hace conectarte a su servidor en lugar de al tuyo modificando las respuestas de DNS u otras formas de manipulación de paquetes. Si usara contraseñas, él obtendría su contraseña y podría conectarse a un servidor real en cualquier momento (y hacer las cosas malas allí). Si está usando solo claves, existe la posibilidad de reenviarle el desafío del servidor original y permitirle firmarlo, lo que otorgará acceso al "servidor incorrecto" a su servidor real. Todo esto se puede hacer transparente, por lo que también haría las cosas en el servidor real para minimizar su sospecha.

  

¿Puede leer los datos enviados al servidor? ¿Puede leer los datos enviados por el servidor?

  

¿Puede cambiar cualquier dato?

  

¿Puede ejecutar comandos en el servidor que yo no hice?

  

¿Puede volver a iniciar sesión?

Sólo si envía una contraseña. Las claves privadas previenen este caso de uso.

  

¿Puede alguna vez rehacer las acciones que realicé mientras estaba siendo MitM'd?

Si no cierra la conexión, puede realizar las acciones más adelante.

El otro capítulo es lo que el "servidor incorrecto" puede hacer con su cliente:

  • Si está utilizando el reenvío X11 de forma predeterminada, el "servidor incorrecto" tiene (generalmente) acceso completo a su servidor X : puede tomar capturas de pantalla de su escritorio, escuchar todas las pulsaciones de teclas, etc.
  • Ya que no has aplicado la característica de Roaming de tu cliente OpenSSH, el servidor básicamente te puede obligar a enviar algunas de las claves privadas (en algunos casos).
  • probablemente otros ...
respondido por el Jakuje 21.11.2016 - 13:38
fuente
0

Si la huella dactilar no coincide, podría ser mucho peor que una escucha pasiva; a menudo significa que es una máquina completamente diferente. Si comienza a transferir archivos confidenciales a la máquina de un atacante, o al escribir contraseñas de sudo, entonces él tiene acceso a ellos. Puede reemplazar los comandos comunes con alternativas que hacen cosas ligeramente diferentes que expondrán datos confidenciales. Puede hacer esencialmente lo que quiera, porque es su máquina, no la tuya.

    
respondido por el Xiong Chiamiov 21.11.2016 - 05:08
fuente
0

Si la autenticidad no se puede probar, significa simplemente:

  • no estás hablando con un anfitrión que se supone que debes: scenraio del peor de los casos es ser un gemelo malvado
  • el host ha cambiado sus claves, pero si es su servidor y no recuerda haberlo hecho, es cuestionable.
respondido por el Eugene 21.11.2016 - 13:38
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son las posibles consecuencias de evaluar las opiniones de los usuarios con JavaScript del lado del cliente? ¿La divulgación de la hora local del servidor a los usuarios causa algún riesgo de seguridad?