Вышел OpenSSH 7.0

Александр Панасенко 13 Августа 2015 - 09:43

Средства криптографической защиты информации

...

Вышла седьмая версия набора программ OpenSSH для шифрования сеансов связи с использованием протокола SSH 2.0. Набор включает в себя клиент sftp и поддерживает установку на серверы. OpenSSH пока еще поддерживает старые протоколы SSH 1.3 и 1.5. Поддержку можно активировать во время компиляции.

Ведущий разработчик Тео де Раадт с коллегами благодарит все сообщество OpenSSH за непрерывное участие в жизни проекта. Он говорит, что основные изменения в 7.0 по сравнению с версией 6.9 направлены на очистку от слабой устаревшей и/или небезопасной криптографии.

С точки зрения безопасности исправлены некорректные настройки TTY и уязвимость с обходом MaxAuthTries при аутентификации. В портативной версии OpenSSH исправлен баг с повышением привилегий и еще один баг с удаленным исполнением кода, пишет xakep.ru.

Разработчики называют четыре нововведения.

ssh_config(5): добавлена опция PubkeyAcceptedKeyTypes для контроля, какие типы открытых ключей можно принимать во время аутентификации пользователя.
sshd_config(5): добавлена опция HostKeyAlgorithms для контроля, какие типы открытых ключей можно принимать во время аутентификации хоста.
ssh(1), sshd(8): расширены опции для Cipher, MAC, KexAlgorithm, HostKeyAlgorithm, PubkeyAcceptedKeyType иHostbasedKeyType, чтобы разрешить добавление набора алгоритмов, а не просто заменять один на другой. Перед опцией теперь можно ставить значок ‘+’, чтобы добавлять тот или иной алгоритм, шифр и т.д.
sshd_config(5): PermitRootLogin теперь понимает аргумент prohibit-password как менее амбициозный синонимwithout-password.

В OpenSSH 7.0 отключена поддержка протокола SSH 1.0 по умолчанию во время компиляции. Точно так же по умолчанию во время компиляции больше не активируется поддержка ключей diffie-hellman-group1-sha1 размером 1024 бит, хостов и пользовательских ключей ssh-dss, ssh-dss-cert-*. Вообще убрали поддержку формата сертификатов v00, а опция PermitRootLogin по умолчанию изменила значение с yes на prohibit-password.

Всех заранее предупреждают, что в следующей версии OpenSSH будет отключена поддержка некоторых криптографических объектов, в том числе ключей RSA меньше 1024 бит (сейчас минимальная длина ключа 768 бит). По умолчанию будет отключена поддержка шифров blowfish-cbc, cast128-cbc, всех вариантов arcfour и rijndael-cbcдля AES. Кроме того, по умолчанию не будут поддерживаться алгоритмы HMAC на основе MD5.

Следующая главная новость »

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »

Яков Шпунт 12 Декабря 2025 - 13:56

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи

Мошенники пугают школьников запретом на посещение занятий

Банк ВТБ зафиксировал заметный рост атак с применением методов социальной инженерии, направленных на школьников, их родителей и сотрудников образовательных учреждений. Основная цель таких атак — кража персональных и платёжных данных. В одних случаях мошенники используют в качестве предлога обновление или перевыпуск электронного дневника, в других — требуют пройти обязательный медосмотр.

Как отметили в ВТБ в комментарии для РИА Новости, злоумышленники, как правило, действуют по двум схожим сценариям. В обоих случаях они запугивают жертв угрозами недопуска к занятиям.

В рамках этих схем аферисты либо вынуждают перейти по фишинговой ссылке, либо пытаются выманить коды из СМС и push-уведомлений от аккаунтов на портале госуслуг или в банковских приложениях. Конечной целью становится получение персональных данных, «угон» учётной записи Госуслуг или доступ к реквизитам банковских карт, которые затем используются для дальнейших атак.

«Мошенники мастерски играют на доверии школьников. Они обманывают через игры, соцсети, звонки якобы из школы, вербуют в дропы прямо на улицах, предлагая „лёгкий заработок“. Поэтому родителям важно не только установить защитные технологии на устройства, но и заранее обсудить с детьми алгоритм действий в подобных ситуациях: прекратить подозрительный разговор, сообщить о нём родителям и уточнить информацию у классного руководителя», — рекомендует заместитель руководителя департамента по обеспечению безопасности, вице-президент ВТБ Дмитрий Саранцев.

По данным банка, с начала текущего года мошенники резко активизировали атаки на детей. Как правило, их используют в качестве «точки входа» для получения доступа к счетам родителей или законных представителей.

Анатомия кибератаки: как расследовать инциденты в ИБ — подробнее в эфире AM Live. Регистрируйтесь »