From:
"Dusan Pajin" <dpajin@rcub.bg.ac.rs>
Date: November 20, 2008 11:56:55 AM GMT+01:00
Subject: Bezbednosni napadi na SSH servis u okviru AMRES-a

Poštovane kolege,
 
Želim da vam skrenem pažnju o povećanom broju bezbednosnih napada u okviru Akademske mreže prethodnih dana. 
Napad je vrsta „dictionary“ napada na SSH pristup računarima i serverima. Prvo se skeniraju opsezi IP adresa po portu 22, kako bi se pronašli računari koji imaju otvoren SSH pristup, a zatim se pokušava pristup tim IP adresama preko velikog broja predefinisanih kombinacija username/password.
Naravno, većina ovih napada je generisana van Akademske mreže, međutim u slučaju uspešnog napada i pristupa nekom računaru, napadi se dalje šalju sa kompromitovanog uređaja.
 
Zahvaljujući svesrdnoj pomoći kolege Vanje Koraća iz Matematičkog Instituta SANU, ustanovili smo o kakvoj se vrsti napada radi. Generalni problem pri ovakvim napadima jesu loše izabrane lozinke korisnika koje su generalno suviše kratke, iste kao korisničko ime ili predstavljaju konkretne reči. Ovakve lozinke se mogu uspešno pogoditi sa „dictionary“ napadima.
Želeo bih da vam sugerišem nekoliko jednostavnih pravila kojih se treba držati pri konstruisanju lozinke, koje naravno treba preneti krajnjim korisnicima. Ova pravila su najbolji način odbrane od navedenih napada.
Lozinka treba da ima minimalnu dužinu od 10 alfanumeričkih karaktera.
Lozinka treba da sadrži mala slova, velika slova, brojeve i alfanumeričke karaktere.
Cela lozinka ili njen deo nije konkretna reč nijednog jezika ili slenga.
Lozinka nije konstruisana na osnovu nekih ličnih informacija (određenog datuma, imena, broja telefona i sl.).
Lozinke menjati u vremenskom intervalu od najduže godinu dana.
Ne saopštavati nikome svoju lozinku.
 
Prema sugestiji kolege Koraća, želim da vam prenesem dodatno, informaciju o softveru koji vam može pomoći u suzbijanju napada.
Softver je besplatan, namenjen Linux-u i zove se DenyHosts (http://denyhosts.sourceforge.net/)
Ovaj softver omogućava blokiranje IP adresa u slučaju određenog broja neuspešnih pokušaja logovanja preko SSH, na određeni postojeći ili nepostojeći korisnički nalog.
Na taj način možete da blokirate IP adresu potencijalnog napadača, posle 3, 5 ili 10 neuspešnih pokušaja logovanja, čime ćete sprečiti uspešno izvođenje „dictionary“ ili „brute-force“ napada.
 
Srdačan pozdrav,
Dušan Pajin
RCUB