В кодовую базу OpenSSH приняты изменения, добавляющие в утилиту ssh защиту от атак по сторонним каналам, анализирующим задержки между нажатиями клавиш на клавиатуре для воссоздания ввода. Подобные атаки основаны на том, что задержки между нажатиями при наборе текста зависят от расположения клавиш на клавиатуре (например, реакция при вводе буквы "F" быстрее, чем при вводе "Q" или "X", так как для нажатия требуется меньше движений пальцев). SSH был подвержен данным атакам так как осуществлял отправку информации о введённом символе в отдельном пакете сразу после нажатия каждой клавиши , соответственно, задержки между отправкой пакетов коррелировали с задержками между нажатиями клавиш...

Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59688

• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 16:01 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 13:53 , 31-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 15:32 , 31-Авг-23
      • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 05:45 , 01-Сен-23
        • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 10:07 , 01-Сен-23
      • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Свинни Тодд, 21:59 , 02-Сен-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,ivan_erohin, 17:17 , 31-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 16:06 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Тфьу, 16:12 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Lost Inside, 09:11 , 31-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:50 , 04-Сен-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним2, 16:55 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Самый Лучший Гусь, 17:19 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Абгыва, 17:31 , 30-Авг-23
      • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 18:52 , 30-Авг-23
        • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 21:08 , 30-Авг-23
        • В OpenSSH добавлена защита от анализа задержек при вводе на ...,1, 23:49 , 30-Авг-23
          • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 13:57 , 31-Авг-23
            • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 21:03 , 04-Сен-23
        • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Anon3, 16:05 , 31-Авг-23
          • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 05:50 , 01-Сен-23
            • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Anon3, 21:01 , 01-Сен-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 01:37 , 31-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Marximizer, 11:23 , 31-Авг-23
      • В OpenSSH добавлена защита от анализа задержек при вводе на ...,voiceofreason, 17:34 , 01-Сен-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:52 , 04-Сен-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 21:32 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 13:59 , 31-Авг-23
      • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 22:11 , 31-Авг-23
        • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 06:01 , 01-Сен-23
          • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 17:18 , 01-Сен-23
            • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:54 , 04-Сен-23
              • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:54 , 04-Сен-23
                • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 20:40 , 04-Сен-23
              • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 21:08 , 04-Сен-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Луарвик, 16:11 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 16:21 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 16:48 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним2, 16:52 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 19:06 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 19:35 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Ананоним, 17:28 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:28 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 18:03 , 30-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 08:50 , 31-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 18:51 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 19:04 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,oficsu, 19:12 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 20:32 , 30-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Tron is Whistling, 21:33 , 30-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 01:00 , 31-Авг-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 01:03 , 31-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,фф, 15:36 , 31-Авг-23
    • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 06:05 , 01-Сен-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 09:28 , 31-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:53 , 31-Авг-23
• В OpenSSH добавлена защита от анализа задержек при вводе на ...,Вы забыли заполнить поле Name, 01:27 , 01-Сен-23
  • В OpenSSH добавлена защита от анализа задержек при вводе на ...,Аноним, 17:58 , 04-Сен-23

Круто! 🥳🎉

> Круто! 🥳🎉

Круто было бы если б эти жирафели доперли наконец рюхать ввод локально и слать на серв уже готовую строку. А заодно и лаг бы раз так в эн бы скостился.

Как понять что есть просто строка, а что нажатие клавиши для управления tui программы (например, mc)? Это обрабатывается на стороне сервера, а клиент просто передаёт последовательность.

>  Как понять что есть просто строка, а что нажатие клавиши для управления tui
> программы (например, mc)? Это обрабатывается на стороне сервера,
> а клиент просто передаёт последовательность.

Ну а вот для них оставить fallback с таймаутом. Если юзер стрелки, Fn и проч жмет - ну, окей, это наверное не редактирование строки уже было. Черт, можно даже специальный режим сделать esc-последовательностью от юзера какой.

А так ssh очень мучителен на какомнить линке с большим пингом типа gprs или 3G едва ловящегося, при том сугубо на ломовом RTT в основном. Оно как бы не проблема если вы в городе на эзернете, но если на краю земли пытаться порулить скопытившимся сервером с телефона "на минималках" - потому что это все же лучше чем дохлый серв на 2 недели - жутко бесит.

> А так ssh очень мучителен

Вы из будущего? Эту защиту только добавили.

А как это в телнете работает? И как там же работают эти tui?

удваиваю этого анона.
даже терминал ЕС-79хх умел слать строки целиком.

Геймеры жалуются на низкий пинг, а тут одну команду должен набирать десяток секунд. Будто нельзя что-то лучше придумать.

Ну 20 мс не такая уж и большая задержка. К тому же это задержка не между отправкой одного символа а между пакетами. Если ты вводишь за это 20 мс окно всю команду, то она и уйдет одним пакетом.

> Если ты вводишь за это 20 мс окно всю команду

Очень надеюсь, что это был сарказм.

вы таке путаете с MOSH
SSH со времен первых терминалов был синхронным на input/echo

20 мс даже прогеймер не заметит.
Но тебя это мало волнует, как и прочие умственные процессы.

Умственные или не умственные это не нам решать

Это из разрядка "ко-ко-ко, время реакции человека 200-250 мс"?
Среагировать != заметить.

Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе.

А сознание в копчике прячется, а не в мозгу?

Ты наверно имел ввиду рефлексы.

есть ли сознаниие у животинушек вопрос сложный, опять же люди часто путают сознание и интеллект

Ну да. Вот например кот. Подходит к двери, хитро загибает лапу, делает довольно осмысленное движение захватив дверь снизу когтями, целенаправленно тянет - опа, заходит куда он там собирался.

Такое взаимодействие с окружающим миром выглядит крутовато для всего лишь рефлекса. Да и откуда рефлексу взяться? Никто же не тренирвоал кота двери открывать - он видимо посмотрел как люди это делают и собезьянил в меру своих физических возможностей. И это всего лишь кот, чей мозг далеко не рекордного размера.

Ещё кот со временем научается различать, когда толкать надо конкретную дверь, а с какой стороны на себя выцарапывать.

Да, обучаемый, соображающий. Когда ему надо.

У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.
Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания

Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок! Но говорят что это вредно для сохранности клешней.

> Аноним: Сознание не решает что делать, этим занимается мозг. Поэтому животные без сознания выживают в природе
>> Anon3: У человека во взрослом возрасте остается только один безусловный поведенческий рефлекс, не контролируемый сознанием - подымать брови при внезапном появлении в окружении приятного человека. Остальные безусловные поведенческие хватательный, плавательный и проч. отпадают в детском возрасте.

Все поведение человека (запуск каскада приобретенного условного рефлекса) делается с разрешения сознания
>>> Аноним: Т.е. вы руку от огня и прочих горячих предметов не отдергиваете? Оок!
>>> Но говорят что это вредно для сохранности клешней.

Рука от огня отрывается вообще без участия головного мозга, используется только спинной.
Но вы же можете позволить взять у себя кровь с пальца послав сознательный сигнал торможения в спинальную рефлекторную дугу (разрешение сознания).
Если уж у вас все перевернулось с ног на голову, то хотя бы to go deeper и приводить в пример коленный рефлекс.

> Поэтому животные без сознания выживают в природе

Будем обсуждать как выжить в этом мире человеку с OpenSSH на перевес, приводя в пример выживание безсознательных животных, хотя для человека максимально сложное доступное безсознательное поведение, на которое можно надеяться: https://ru.wikipedia.org/wiki/Вскидывание_бровей и у которого даже более примитивные автоматизмы отпадают в раннем возрасте. Ну-ну

А мужики то не знают.
It’s an easy thing to work out – a decent ping for gaming is anything under 10ms. Ideally, you want to go as low as possible – but 0ms isn’t a thing. There’s no such internet connection that can offer a 0ms ping, but 1ms is doable.

Вот только зачем так быстро пароли вводить?

Музыканты замечают 5 мс

Нет. MJTV подробно разбирал, какие реальные задержки при мнимых 5мс.

попробутей дотерам объяснить, ну или в кс поиграть с разницей в ~50 милисекунды с задрт VS задрт

очевидно и сами вы не оч играете

SSH-геймер - это что-то крутое.

>  SSH-геймер - это что-то крутое.

Есть энное количество текстовых гамез, в том числе и доступных по ssh. Про CTF и вообще упоминать не удобно.

Пинг в текстовых гамезах - превыше всего, да.

> Пинг в текстовых гамезах - превыше всего, да.

Ну как бы они разные бывают. И реалтаймные мультиплеерные даже. Почему нет?!

Сколько букав вы напечатаете за 20мс?

до 10 символов в минуту (verseq в помосч если хотите посоревноваться - и да у меня не механика клава, низкопрофильное гуамно)

в минуту/секунду - интересная ошибка получилась лол, вот даже мозг за руками не поспевает

А вы в него дрожжей добавьте - быстрее поспеет.

10 символов в секунду - это аж целых 100мс на символ.
Короче, от +/- 20мс даже самым крутым SSH-геймерам не убудет, такие дела.

apt purge openssh* снижает задержку в 10 раз

Молодцы! Супер!

Используйте однопальцевый метод ввода пароля!

И не пользуйтесь компьютером

Перестаньте рекламировать продукцию lovense.

Кто такие? Я нарушил их патент?

Это какой-то сюр. Решение придуманной проблемы.

Давно об этом думал.
А они прочитали мысли! :( или все же ;)
И еще, я наверно матерый параноик!!! ;)

То, что ты параноик ещё не значит, что за тобой не следят.

С учетом: "Бесконечно можно смотреть на три вещи: как горит огонь, как течет вода и как работают другие люди.", пусть следят. Главное чтобы не "помогали"!!! ;)

Просто уже разработан другой способ тебя фингерпринтить, а этот уже неактуален.

А нельзя ли было просто сделать программу, через которую вызывать другие команды? Тогда это бы помогало не только для SSH, но и для nc и может быть других прог с извращёнными протоколами? Заодно защитило бы от сбора биометрии ("клавиатурного почерка") сервером.

Из похожего есть github.com/vmonaco/kloak. Правда, оно сделано не с целью защиты от утечек, а с целью анонимизации стиля печати

>Для скрытия особенностей интерактивного ввода в трафике в ssh реализована отправка данных не по мере набора, а только через фиксированные промежутки времени (по умолчанию 20 мс).

Такая активность сама по себе может быть уязвимостью; 50 герц; как самим фактом, так и флуктуациями.

Ну да, без рандомизации в итоге как всегда - в затычке для дыры найдут очередную дыру.

Очередная сферическая уязвимость в вакууме которая даже в теории возможна только в тепличных специально созданных условиях.

Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия, подкуп или саботаж. Далеко ходить не надо, вон, есть же услуги, где любой номер билайна внутренний сотрудник имеющий полномочия может переоформить симку на левого чела.

если не доверять сотрудникам билайна переоформлять симкарты, то клиентам придется в случае чего ехать в центральный офис и ждать переоформления новой симки дней 30 (рабочих)
Но с другой стороны, если бы каждый первый идиот не завязывал бы безопасность учетки на симкарту, то и проблемы выпуска левых симок не было б. Жили же в нулевых без этих авторизаций по смс как-то и номера сотовые меняли чуть не пару раз за год.

> Хомяки и домохозяйки до сих пор верят в крутых хакеров которые там
> что-то кодят. Хотя по факту 99% реальных взломов это социальная инженерия,

Да не скажите. Вон те химера-шоу например технически обеспечиваются именно тугостью обладателей гаджета с одной стороны, квазибэкдорным поведением гаджета - с другой. Если вы сами на себя координаты прислали - вот вам тогда подарок.

Всегда с удивлением и интересом смотрю за добавлением подобных защит. Сколько обёрток приходится наворачивать поверьх основного функционала, чтоб злыдень не восстановил пароль по скрежету пикселей.

Это не для машинисток и прочих десятипальцевых. Я как помню в резюме уроков по печати всегда указывалась монотонность (92 - 94%). Так что по идее надо просто ввести в школе предмет машинопись, пока актуально и голосовой ввод не вытеснил. Вот - что бы предотвратить эту атаку.

Есть примеры успешных атак подобного рода?

поставь какуюнить нейронку, натрави на wireshark дамп и проверь), я лично этот метод интуитивно осознал с приходом нейронок в массы, историю UNIX и всяких там непонятных vt* надо всеж знать