PuTTY 0.71 wydane. Klient SSH i Telnetu zabezpiecza 8 luk

Program PuTTY, popularny wśród korzystających ze zdalnego dostępu do konsoli SSH lub Telnet, został zaktualizowany do wersji 0.71. Jego autorzy naprawili w sumie 8 luk, które mogły narazić użytkowników na ataki.

Atakujący mogli wyłudzić dane logowania do zdalnych maszyn, jeśli odpowiednio przygotowali fałszywy serwer. Użytkownik przekonany do zalogowania się na nim mógł dostać się na konto niezabezpieczone hasłem. PuTTY jednak pokazałby wyglądające prawidłowo pytanie o hasło, które użytkownik mógłby podać bez zastanowienia, w ten sposób przekazując administratorom fałszywego serwera dane logowania.

By nie dać się złapać, użytkownik musiałby wiedzieć na pewno, że pytanie o hasło nie powinno się pojawić, ale nie zawsze możemy mieć taką pewność. Problem leżał w tym, jak zachowywał się interfejs użytkownika programu PuTTY, a zabezpieczenie luki było zaskakująco trudne.

Terminal systemów UNIX-owych, z którymi najczęściej łączymy się za pomocą PuTTY, zapewnia ogromną kontrolę nad tym, co po swojej stronie widzi użytkownik. Nie wystarczy więc w terminalu oddzielić linii związanych z logowaniem od wiersza poleceń. Manipulując karetką, atakujący mogą nadpisywać separatory tak szybko, że użytkownik może tego nie zauważyć lub potraktować jak nieznaczące „mrugnięcie” ekranu. Opisany wyżej atak jest przykładem, jak można to wykorzystać przeciw użytkownikom.

Odpowiedzią okazało się dodanie kolorowej „pieczęci zaufania” – ikonki pokazującej się przy każdej linii, wypisanej na terminalu lokalnie przez PuTTY podczas zestawiania połączenia SSH. Jeśli któraś z linii, na przykład pytanie o hasło, zostanie zmodyfikowana przez złoczyńców, nie będzie oznaczone pieczęcią. Będzie to sygnał, że połączenie nie jest bezpieczne.

Na pewno jest to lepsze wyjście niż zmuszanie użytkownika do interakcji z wierszem poleceń przed rozpoczęciem sesji, co w podobnych sytuacjach stosują niektóre programy.

PuTTY 0.71 naprawia w sumie 8 luk, ale warto wspomnieć, że 5 z nich zostało odnalezionych i nagrodzonych w ramach programu ufundowanego przez Unię Europejską. Wspólnota wyznaczyła nagrody wysokości nawet 90 tys. euro za znalezienie i odpowiedzialne ujawnienie luk w 20-letnim już kliencie SSH.

Programem FOSSA objętych zostało 15 otwartoźródłowych projektów, z których korzysta unijna administracja. Poza PuTTY są to między innymi VLC Media Player, KeePass, 7-Zip, Notepad++ i FileZilla.