datenritter blog

Wer hin und wieder mit SSH tunnelt, kennt längliche Eingaben wie ssh -p1234 -L60777:userkiste1:8080 root@mainserver.example.com.

Gut, das könnte man mit beliebigen weiteren Optionen auch in ein Script packen, aber eigentlich gehören die Parameter in eine Konfigurationsdatei. Dass man Port und zu verwendendes Keyfile problemlos in der ~/.ssh/config eintragen kann, ist bekannt, weniger jedoch die Verwendung eines Aliases und die Möglichkeit, den Tunnel fest einzustellen. Das geht so:

Host main-tunnel
Hostname mainserver.example.com
Port 1234
User root
LocalForward 1234 userkiste1:8080
IdentityFile ~/.ssh/id_mainserver


Danach genügt es, einfach ssh main-tunnel einzugeben. (Mit Tab-Completion fällt das ganze dann vielleicht sogar zu ssh m<tab> zusammen.)

Dieser Komfort ist es, denn ich an der Linux-Welt mag.

(Ja, SSH ist ein BSD-Projekt, ich weiß...)

Nur mit Linux: Mittels ClusterSSH, mit dem man sich auf mehreren Rechnern gleichzeitig einloggen kann, auf neun Maschinen parallel den Kernel aktualisieren, Grafiktreiber und Updates einspielen.



Der neue Kernel wurde natürlich nur einmal kompiliert, und zwar mit distcc. :)

Loggt man sich per SSH auf anderen Computern ein, so prüft SSH den Fingerprint des Host-Keys. Diese Überprüfung kann seit einiger Zeit durch eine grafische Darstellung unterstützt werden. Setzt man die Einstellung

VisualHostKey yes

in der /etc/ssh/ssh_config, so zeigt SSH beim Login eine kleine ASCII-Art-Grafik an, an die sich unser stark auf das Visuelle ausgerichtete Hirn besser erinnern kann:

RSA key fingerprint is \
6b:c6:ef:12:bc:34:8a:56:97:2b:8f:ff:df:f3:12:c3.
+--[ RSA ]--------+
|                 |
|                 |
|       .o Z o    |
|  ..oo*o *       |
| ..o.   ...      |
|o  ..  .. °      |
|.. .==.          |
|E.oo++           |
| oo...oo.        |
+-----------------+

Eine kleine Abweichung im Schlüssel sollte für eine große Abweichung in der Grafik sorgen, so dass das Verfahren wirklich eine Erleichterung ist.

Hoffentlich ist es nicht leicht, Schlüssel mit ähnlicher Grafik zu erzeugen. Denn kleine Abweichungen in der Grafik erkennt man sicher nicht so leicht, das Verfahren würde dann neue Angriffsmöglichkeiten eröffnen.

Die Angriffsmöglichkeit durch alte Zertifikate hat sich bestätigt. Laut einem Artikel bei heise Security bestehen zudem die Möglichkeit, dass die Systeme, die mit schwachen Schlüsseln ausgestattet waren, bereits früher angegriffen bzw. belauscht wurden.

Es ist schon übel, dass der heise-Newsticker vorgestern nur am Rande in WWW, der "Wochenschau von Hal Faber" über die bestehende Angriffsmöglichkeit durch das OpenSSL-Debakel berichtete:

Es gibt Leute, die viel davon verstehen und die erklären können, wie selbst unsere Selbsteintreibungs-Software ELSTER davon betroffen ist, dass Revocation Lists für Zertifikate nicht funktionieren: Skalierender Schlüsselrückruf ist ein ungelöstes Problem.

Die von mir hervorgehobene Formulierung suggeriert, dass das schon das Ende der Gefahrenstange sei. Das ist nicht der Fall, es kann auch Online-Banking-Webseiten oder andere sensible Bereiche treffen. Nach einem Hinweis antwortete mir Jürgen Kuri, er werde die Leute bei heise Security noch einmal darauf hinweisen.

Heute erschien dann die Meldung "Tausende deutsche Server laden zum Einbruch ein". Dort wird berichtet, dass viele ihre SSH-Schlüssel noch nicht ausgetauscht haben, Provider ihre Kunden nicht benachrichtigen:

Kurze Stichproben von heise Security enthüllten Erschreckendes: In den Netzen von Root-Server-Providern verwendeten von 1938 erreichbaren SSH-Servern 114 bekanntermaßen schwache Schlüssel – das sind immerhin rund fünf Prozent.

Das ist schlimm, aber wartet, es kommt schlimmer.

Man hat sich bei heise Security auch die Mühe gemacht, einen interessanten Artikel über die verschiedenen Gefahren zu schreiben — leider steht zu befürchten, dass den schon aufgrund der Länge kaum jemand liest. Das ist schade, denn auf Seite drei steht der erschreckende Sachverhalt, vor dem ich warnte, in einem Absatz zusammengefasst:

Insbesondere für Phishing und Pharming sind Originalzertifikate eines Webservers zusammen mit den passenden privaten Schlüsseln Gold wert. Gelänge es einem Phisher, seine Opfer beispielsweise mittels des sogenannten Pharmings seine Opfern per DNS-Spoofing oder untergeschobene Hosts-Einträge auf seine eigene Seite umzudirigieren, so könnte der Anwender den Angriff nicht mehr erkennen. Sein Browser würde anzeigen, dass das Sicherheitszertifikat des Servers zur eingegebenen URI passt und dass es von einer vertrauenswürdigen CA ausgestellt wurde.

Und tatsächlich: Alexander Klink berichtet auf der Mailingliste full disclosure, er habe eine Bank ausgemacht, deren altes Zertifikat schwach war. Das Zertifikat ist noch etwa 3 Jahre gültig - so lange sind Man-In-The-Middle-Attacken auf diese Bank möglich.

Als wäre das nicht genug, erklärt der Artikel auch noch, dass aufgezeichnete verschlüsselte Verbindungen nun nachträglich entschlüsselt werden könnten. Es ist durchaus davon auszugehen, dass immer dann, wenn sensible Daten abgegriffen werden sollten, auch verschlüsselte Verbindungen auf Vorrat aufgezeichnet wurden, gerade im Bereich Industriespionage dürfte das üblich sein.

Doch der wahre Schrecken lauert auf Seite fünf:

Wer immer sich in den vergangenen 20 Monaten die Mühe gemacht hat, eine Datenbank mit (...) öffentlichen Schlüsseln zu pflegen, konnte vermutlich ungefähr ab Oktober 2006 die erstaunliche Beobachtung machen, dass in dieser Datenbank Kollisionen auftreten, wo eigentlich keine passieren dürften. Aufgrund des Geburtstagsparadoxons genügen schon 500 schwache Schlüssel gleicher Länge, um unter ihnen mit rund 95-prozentiger Wahrscheinlichkeit ein Duplikat zu finden. Vom Entdecken eines solchen Duplikats ist es nur noch ein kleiner Schritt, um über den ungefähren Zeitpunkt und den Kontext der betroffenen Schlüssel auf das Debian-Betriebssystem zurückzuschließen und die in dem Zeitraum vorgenommenen Änderungen am Quellcode der kryptographisch relevanten Programmpakete zu untersuchen.

Das ist DESASTRÖS. Denn es ist mehr als wahrscheinlich, dass Kriminelle, Geheimdienste, vielleicht auch andere Organisationen Schlüssel gesammelt und das Problem bereits vor langer Zeit bemerkt und für Einbrüche und Lauschaktionen genutzt haben.

Der SSH-Client, mit Option -v ein bisschen verbose gestartet, meldet:

debug1: Offering public key: /home/some/.ssh/some_id_rsa
debug1: Authentications that can continue: publickey

Das bringt den Anwender aber nicht weiter.

Hier schreibt jemand, man müsse den SSH-Server mit sshd -vvv -e starten, um die nützlicheren serverseitigen Fehlermeldungen wie

User alice not allowed because account is locked

sichtbar zu machen.

Wenn in der sshd_config noch die Standardeinstellung steht:

SyslogFacility AUTH
LogLevel INFO

ist ein Blick in /var/log/auth.log einfacher.

Den User entsperren kann man übrigens mit: passwd -u alice.