I begyndelsen af måneden steg SSH-trafikken til servere på Forskningsnettet til fem til ti gange det normale.
SSH (Secure Shell) er en protokol til sikker kommunikation med kryptering.
Sikkerhed er normalt en god ting. Men når brugen af SSH stiger så pludseligt, tyder det på, at der er noget galt. DK-CERT's efterforskning viste da også, at der var tale om angreb mod SSH-servere.
Angriberne anvendte en primitiv metode til at komme ind på et password-beskyttet system:
De afprøvede simpelthen en lang række af passwords et efter et.
Efter et par dage faldt SSH-trafikmængden igen til det normale niveau. I DK-CERT kender vi ikke til, at nogen af angrebene skulle være lykkedes.
Rootkit stjæler nøgler
Det er ikke første gang, at SSH-servere har været udsat for angreb.
I slutningen af august advarede US-CERT (United States Computer Emergency Readiness Team) om angreb, der øjensynlig anvendte stjålne SSH-nøgler til at få adgang.
Når angriberne kom ind, installerede de et rootkit ved navn Phalanx2.
Phalanx2 ligger skjult på systemet og opsnapper SSH-nøgler, som det sender til bagmændene. Dem bruger de til nye angreb på andre SSH-servere.
Da Phalanx2 er et rootkit, er det ikke lige til at få øje på. Kommandoen "ls" vil således ikke vise mappen "/etc/khubd.p2/," men man kan alligevel komme ind i den med kommandoen "cd /etc/khubd.p2."
SSH er en rigtig god teknologi, som jeg kun kan anbefale, at man benytter.
Men selv det stærkeste krypteringssystem kan knækkes, hvis adgangen til nøglerne er beskyttet med svage password.
Derfor anbefaler jeg, at firmaer med SSH tjekker, at de bruger passwords og passphrases, der er svære at knække.
Husk også at tjekke automatiske rutiner, hvor maskiner kommunikerer med maskiner uden menneskelig indblanding.
Her undlader man ofte at bruge passwords af praktiske årsager. Men det udgør en sikkerhedsrisiko.
DK-CERT (www.cert.dk) er det danske Computer Emergency Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DK-CERT information om internetsikkerhed. DK-CERT udsender advarsler og tager imod anmeldelser af sikkerhedsrelaterede hændelser på internettet.
DK-CERT's leder, Shehzad Ahmad, opdaterer den sidste fredag i hver måned Computerworlds læsere med de seneste tendenser inden for it-sikkerhed.
