Hlavní navigace

Je vykrádání FTP hesel řešitelné?

3. 5. 2010 9:17 (aktualizováno) Petr Krčmář

Tomáš Hála se v dnešním článku zabývá tím, jak na serveru řešit přístup falešných uživatelů, kteří heslo získali podvodně. Dá se s tím vůbec něco dělat?

Tomáš Kavalek tu už na blogu psal několikrát o vykrádání hesel z Total Commanderu a z praxe bohužel vím, že je to poměrně rozšířená technika. Viděl jsem hodně napadených webů a některé z nich patřily i docela velkým firmám.

ACTIVE 24 má zajímavé řešení na straně serveru, které zabraňuje přihlášení z počítače mimo Českou republiku. Vychází z toho, že útok nepřichází z napadeného klientského PC, ale z nějakého botnetu, který má uzly především v zahraničí. Dá se ale situace řešit na straně klienta?

Zdá se, že to není vůbec jednoduché. V diskusi někdo nabízí přechod na SFTP: „Stačilo by všude zprovoznit SFTP a ne to všelijak obcházet… tím se problém nikdy nevyřeší.“ Souhlasím v tom, že by bylo rozumnější řešit příčinu a ne až důsledek. Bohužel přechodem na SFTP se tento problém nevyřeší. Takovou změnou zabráníme odposlechu hesla na síti (což není málo), ale už ne získání hesla.

Problém je v tom, že i u SSH můžete odposlouchávat klávesnici nebo přečíst přihlašovací klíče. Ty jsou uložené na disku stejně jako hesla z Total Commanderu. „Jasně,“ řeknete si teď, „ale ty klíče jsou šifrované.“ To sice jsou, ale pokud se zákeřný virus zaměří na konkrétní aplikaci (což v případě TC stejně už dělá), tak pro něj nebude problém počkat si na otevření „zadejheslo“ dialogu a přečíst si klávesy z klávesnice. Pak si databázi rozšifruje a je to. Stejný problém bude s master passwordem v TC, až se viry přizpůsobí.

Zdá se tedy, že se jedná o neřešitelný problém. Neexistuje podle mě způsob, jak zabránit nějakému viru, který navíc obvykle ve Windows běží pod administrátorem, přečíst hesla na disku nebo hesla zadávaná přímo z klávesnice. Vidíme to taky na různých zlodějích virů do bankovních institucí. Jste napadeni a zadáte heslo do banky? Jste ztracení.

Napadá mě jediné opravdu funkční řešení: hardwarové tokeny s uloženými klíči. Existují takové varianty (třeba OpenGPG karta), které umožňují i přímou autentizaci na SSH. Fungují tak, že klíče nikdy neopouštějí token. Počítač prostě požádá přes rozhraní (USB) o podepsání nějakých dat a data se mu vrátí podepsaná. Těmi se pak prokáže serveru. Stále je sice možné odposlechnout virem PIN z klávesnice a nechat si jednorázově něco podepsat, ale už prostě klíče (hesla) neodcizíme a nepošleme botnetu. Mimochodem pokud máte od banky čtečku karet do USB, tak se přihlašujete právě tímto bezpečným způsobem.

Bohužel takové řešení je velmi komplikované z hlediska logistiky. Museli byste buďto distribuovat hotové tokeny, ze kterých jste si předem na server stáhli veřejný klíč nebo donutit uživatele si podobné zařízení koupit. Uživatelé jsou bohužel na taková opatření velmi citliví a než aby měli dobrý pocit z toho, že jsou v bezpečí, raději přejdou k jinému webhosterovi, který „je neotravuje nesmysly“.

Sdílet