Secure Shell nicht wirklich sicher?

23. August 2001, 10:57
3 Postings

Durch Analyse der Datenpakete können Passwörter herausgefunden werden

Ein Team von Forschern der Berkeley Universität in Kalifornien hat ein bedeutendes Sicherheitsproblem bei allen Secure Shell (SSH)-Implementationen. Obwohl der Datenverkehr zwischen zwei Rechnern bei SSH verschlüsselt durchgeführt wird können mittels eines Hilfsprogramms Passwörter heraus gefunden werden.

Verräterischer Tipprhythmus

Das Problem entsteht dadurch, dass bei SSH jeder einzelne Tastendruck als eigenes IP-Paket verschickt wird. Genau da setzt das von den Forschern entwickelte Programm mit dem Namen "Herbivore" an. Mittels fortgeschrittener statistischen Methoden kann es aufgrund der charakteristischen Pausen zwischen den einzelnen Tastendrücken nach einer gewissen Zeit das Passwort erraten.

Zur Secure Shell

SSH ist geschaffen worden um unsichere Protokolle wie telnet und ftp abzuschaffen, bei denen Passwörter im Klartext über das Netz verschickt werden, und diese mittels spezieller Programme – sogenannter "Sniffer" mitgelogt werden können. (red)

Share if you care.