Torna indietro   Hardware Upgrade Forum > Hardware Upgrade > News
Ricarica la Pagina Terrapin: 11 milioni di sistemi vulnerabili all'attacco che compromette SSH

HONOR Magic 8 Pro: ecco il primo TOP del 2026! La recensione
HONOR Magic 8 Pro: ecco il primo TOP del 2026! La recensione
HONOR ha finalmente lanciato il suo nuovo flagship: Magic 8 Pro. Lo abbiamo provato a fondo in queste settimane e ve lo raccontiamo nella nostra recensione completa. HONOR rimane fedele alle linee della versione precedente, aggiungendo però un nuovo tasto dedicato all'AI. Ma è al suo interno che c'è la vera rivoluzione grazie al nuovo Snapdragon 8 Elite Gen 5 e alla nuova MagicOS 10
Insta360 Link 2 Pro e 2C Pro: le webcam 4K che ti seguono, anche con gimbal integrata
Insta360 Link 2 Pro e 2C Pro: le webcam 4K che ti seguono, anche con gimbal integrata
Le webcam Insta360 Link 2 Pro e Link 2C Pro sono una proposta di fascia alta per chi cerca qualità 4K e tracciamento automatico del soggetto senza ricorrere a configurazioni complesse. Entrambi i modelli condividono sensore, ottiche e funzionalità audio avanzate, differenziandosi per il sistema di tracciamento: gimbal a due assi sul modello Link 2 Pro, soluzione digitale sul 2C Pro
Motorola edge 70: lo smartphone ultrasottile che non rinuncia a batteria e concretezza
Motorola edge 70: lo smartphone ultrasottile che non rinuncia a batteria e concretezza
Motorola edge 70 porta il concetto di smartphone ultrasottile su un terreno più concreto e accessibile: abbina uno spessore sotto i 6 mm a una batteria di capacità relativamente elevata, un display pOLED da 6,7 pollici e un comparto fotografico triplo da 50 MP. Non punta ai record di potenza, ma si configura come alternativa più pragmatica rispetto ai modelli sottili più costosi di Samsung e Apple
Il telescopio spaziale James Webb ha catturato un'immagine del buco nero al centro della Galassia del Compasso
Il razzo spaziale europeo Ariane 6 lancerà i primi satelliti Amazon Leo il 12 febbraio
Il lander lunare Blue Origin Blue Moon MK1 ha superato la prova da 138 dB, ora si passerà ad altri test
Gli LLM riescono a risolvere problemi matematici complessi: cosa significa e perché è importante
Smettila con quei cioccolatini. Per San Valentino regala un mouse di Steelseries
Il secondo lancio del razzo spaziale europeo Spectrum di Isar Aerospace potrebbe avvenire il 21 gennaio
MaiaSpace ed Eutelsat stringono un accordo per lanciare satelliti OneWeb a partire dal 2027
Motorola edge 60 neo sorprende: compatto, costa il giusto e la batteria dura tantissimo
Zeekr 007 e 007GT si aggiornano: piattaforma a 900 volt e nuovo chip NVIDIA Thor-U da 700 TOPS
ASUS ROG Swift OLED PG27AQWP-W: 720 Hz e 0,02 ms bastano per il gaming competitivo?
È super il prezzo del robot rasaerba Bosch Indego S+ 500: ora è al minimo storico su Amazon
Tutti gli articoli Tutte le news

Vai al Forum
Rispondi
 
Strumenti
Old 04-01-2024, 10:11   #1
Redazione di Hardware Upg
www.hwupgrade.it
 
Iscritto dal: Jul 2001
Messaggi: 75166
Link alla notizia: https://www.hwupgrade.it/news/sicure...sh_123039.html

Si tratta di un proof-of-concept sviluppato dai ricercatori dell'Università tedesca della Ruhr di Bochum e colpisce sia server, sia client

Click sul link per visualizzare la notizia.
Redazione di Hardware Upg è offline   Rispondi citando il messaggio o parte di esso
Old 04-01-2024, 10:20   #2
WarDuck
Senior Member
 
L'Avatar di WarDuck
 
Iscritto dal: May 2001
Messaggi: 12919
Da quello che ho letto, è un attacco che dovrebbe consentire il downgrade dell'autenticazione dall'uso di chiavi all'uso di password, se il server SSH supporta *entrambi* i tipi di autenticazione.

Se il server supporta solo autenticazione mediante chiavi, non dovrebbero esserci problemi, o meglio il risultato dell'attacco dovrebbe ridursi ad un Denial of Service.

Ma ho letto rapidamente, potrei sbagliarmi.
WarDuck è offline   Rispondi citando il messaggio o parte di esso
Old 04-01-2024, 11:23   #3
virtualdj
Senior Member
 
Iscritto dal: Oct 2004
Messaggi: 780
Quote:
Originariamente inviato da WarDuck Guarda i messaggi
Se il server supporta solo autenticazione mediante chiavi, non dovrebbero esserci problemi
Dici? Leggendo le FAQ sul sito ufficiale della vulnerabilità non sono riuscito a trovare una frase che "scagioni" i server con sola autenticazione mediante chiavi.

Semmai sono immuni quelli che non supportano l'algoritmo ChaCha20-Poly1305 e quelli in combinazione con Encrypt-then-MAC.

La cosa più spiacevole è che oltre alla patch del server tocca patchare anche il client, sennò non si risolve. Quindi come si farà? Si scollegheranno brutalmente i client per evitare che uno non patchato si connetta? Questo non l'ho capito...
virtualdj è offline   Rispondi citando il messaggio o parte di esso
Old 04-01-2024, 13:51   #4
destroyer85
Senior Member
 
Iscritto dal: Feb 2021
Messaggi: 929
Ma tendenzialmente con qualcuno nel mezzo, il client non dovrebbe dirmi che la firma chiave del server è cambiata?
destroyer85 è offline   Rispondi citando il messaggio o parte di esso
Old 04-01-2024, 16:53   #5
WarDuck
Senior Member
 
L'Avatar di WarDuck
 
Iscritto dal: May 2001
Messaggi: 12919
Quote:
Originariamente inviato da destroyer85 Guarda i messaggi
Ma tendenzialmente con qualcuno nel mezzo, il client non dovrebbe dirmi che la firma chiave del server è cambiata?
Purtroppo no perché l'attacco consiste nello scartare una parte delle informazioni scambiate in chiaro prima dell'effettivo scambio di chiavi per la cifratura.

In particolare nell'handshake iniziale vengono scambiati gli algoritmi supportati da entrambi gli attori, client e server, per poter negoziare come procedere nell'autenticazione SSH.

Come potrai intuire, client e server devono supportare entrambi almeno 1 algoritmo, lo stesso, altrimenti non è possibile procedere.

Se io modifico i messaggi del client in maniera da far credere che non ne supporta nessuno, il server SSH può proporre al client di usare l'autenticazione via password.

In pratica fa un downgrade di sicurezza, passando da autenticazione via chiave ad autenticazione via password, con tutti i problemi che questa può comportare (attacchi a dizionario ad esempio).

Quote:
Originariamente inviato da virtualdj Guarda i messaggi
Dici? Leggendo le FAQ sul sito ufficiale della vulnerabilità non sono riuscito a trovare una frase che "scagioni" i server con sola autenticazione mediante chiavi.

Semmai sono immuni quelli che non supportano l'algoritmo ChaCha20-Poly1305 e quelli in combinazione con Encrypt-then-MAC.
La mia è una deduzione sulla base di quello che ho letto, prendila con le pinze, dovrei verificare con il tool fornito dai ricercatori, ma al momento ho già tutto aggiornato

Quote:
Originariamente inviato da virtualdj Guarda i messaggi
La cosa più spiacevole è che oltre alla patch del server tocca patchare anche il client, sennò non si risolve. Quindi come si farà? Si scollegheranno brutalmente i client per evitare che uno non patchato si connetta? Questo non l'ho capito...
Se non si ha controllo dei client, o si fa così oppure se si vuole evitare un Denial Of Service, configuri SSH per usare AES-GCM nel frattempo che tutti aggiornano.

Comunque già molte distribuzioni hanno rilasciato i pacchetti di aggiornamento.
WarDuck è offline   Rispondi citando il messaggio o parte di esso
Old 05-01-2024, 09:54   #6
destroyer85
Senior Member
 
Iscritto dal: Feb 2021
Messaggi: 929
Intendevo ancora prima. Come quando c'è un man in the middle https, se il certificato non è valido (e a meno che sia corrotto il vault dei certificati non lo può essere mai) il browser mi avvisa, guarda che il certificato ha qualcosa che non va.
Stessa cosa PuTTY, se reinstallo un server e mi ricollego allo stesso IP, il client se ne accorge che il server non è più lo stesso di prima anche se lo chiamo con lo stesso IP e mi avvisa (known host). Spererei che questo avvenga, altrimenti ci siamo basati per anni su un protocollo mica tanto sicuro se è così facile far credere al client di essere un certo server.
destroyer85 è offline   Rispondi citando il messaggio o parte di esso
 Rispondi

« Discussione precedente | Discussione successiva »

HONOR Magic 8 Pro: ecco il primo TOP del 2026! La recensione HONOR Magic 8 Pro: ecco il primo TOP del 2026! L...
Insta360 Link 2 Pro e 2C Pro: le webcam 4K che ti seguono, anche con gimbal integrata Insta360 Link 2 Pro e 2C Pro: le webcam 4K che t...
Motorola edge 70: lo smartphone ultrasottile che non rinuncia a batteria e concretezza Motorola edge 70: lo smartphone ultrasottile che...
Display, mini PC, periferiche e networking: le novità ASUS al CES 2026 Display, mini PC, periferiche e networking: le n...
Le novità ASUS per il 2026 nel settore dei PC desktop Le novità ASUS per il 2026 nel settore de...
Il telescopio spaziale James Webb ha cat...
Il razzo spaziale europeo Ariane 6 lance...
Il lander lunare Blue Origin Blue Moon M...
Gli LLM riescono a risolvere problemi ma...
Smettila con quei cioccolatini. Per San ...
Il secondo lancio del razzo spaziale eur...
MaiaSpace ed Eutelsat stringono un accor...
Motorola edge 60 neo sorprende: compatto...
Zeekr 007 e 007GT si aggiornano: piattaf...
ASUS ROG Swift OLED PG27AQWP-W: 720 Hz e...
È super il prezzo del robot rasae...
MediaTek aggiorna la gamma di Dimensity:...
Foto intime sottratte dai telefoni in ri...
In Cina approvate nuove regole per il ri...
L'accordo multi-miliardario tra Google e...
Chromium
GPU-Z
OCCT
LibreOffice Portable
Opera One Portable
Opera One 106
CCleaner Portable
CCleaner Standard
Cpu-Z
Driver NVIDIA GeForce 546.65 WHQL
SmartFTP
Trillian
Google Chrome Portable
Google Chrome 120
VirtualBox
Tutti gli articoli Tutte le news Tutti i download

Strumenti

Regole
Non Puoi aprire nuove discussioni
Non Puoi rispondere ai messaggi
Non Puoi allegare file
Non Puoi modificare i tuoi messaggi
Il codice vB è On
Le Faccine sono On
Il codice [IMG] è On
Il codice HTML è Off
Vai al Forum


Tutti gli orari sono GMT +1. Ora sono le: 01:54.

Contattaci - Hardware Upgrade - Archivio - Note sulla Privacy - Su

Powered by vBulletin® Version 3.6.4
Copyright ©2000 - 2026, Jelsoft Enterprises Ltd.
Served by www3v
1