Dotaz na ssh bruteforce

[Jan Pechanec]

On Fri, 30 Jan 2009, Miroslav Prýmek wrote:

> Dejme tomu, ze korpus obsahuje dva miliony vet a kazdy mesic se meni. (nebo
> idealne se treba kazdy den prida
> 500 vet - napr. ziskanych RSS cteckou). Za takovych okolnosti skutecne nevadi,

	Mirku, takze uz budes muset chranit, odkud to prichazi. Jsi si 
jisty, ze po ceste nikdo neodchyti, odkud to ctes? Anebo staci takovou vetu 
zadat do googlu a s nemalou pravdepodobnosti dostanes zdroj.

> kdyz uzivateli na monitoru
> zobrazim 10 vet :)
>
> Nehlede na to, ze se da definovat, ze mu jich za zadnych okolnosti nezobrazim
> celkove vic nez padesat.

	a pak co? Uzivatel nebude mit heslo?

	ja si myslim, ze tahle diskuze sem prilis nepatri, a trochu mi to 
pripomina, ze se kazdy rok, cas od casu, objevi breaknuty system kvuli tomu, 
ze pouzival nejaky vlastni sifrovani, nebo si lehce (mala zmena prece nemuze 
vadit) upravi stavajici protokol, cimz jeho bezpecnost totalne vyrusi, nebo 
nedodrzel podminky, za jakych ten protokol mel byt pouzit, atd. V tyhle 
oblasti obecne plati, ze neco vymyslet noveho je spatna vec, protoze s 
nejvetsi pravdepodobnosti to vymyslis spatne, a bude to horsi, nez kdyz 
pouzijes standardni systemovou kontrolu toho, ze tam je maly, velky pismeno, 
specialni znak, a cislo. Nebo tak neco.

	novy systemy a postupy v bezpecnosti vymysleji odbornici, a jak je 
videt z praxe, ani to vubec nezarucuje, ze to bude dobre. Viz treba nedavny 
problem v SSH protokolu 2 ve spojeni s pouzitim vsech CBC modu. Tam je 
chyba, ktera vychazi primo z navrzeni samotnyho SSH protokolu. A ten 
protokol byl navrzen specialisty.

	stejne jako Jirka, ja nerikam, ze tvuj postup nemuze u tebe 
fungovat, ale nejsem si jistej, ze investovat do toho moc casu, vcetne 
diskuzi, se opravdu vyplati.

-- 
Jan Pechanec <jp (at) devnull (dot) cz>
http://www.devnull.cz