Ciao Mario,
> Mi ?? arrivata la mail che allego. Qualcuno pu?? confermare la cosa?
> Si tratta di allarmismo?
ti rispondo come vendor (disclaimer applies), visto che sono il
direttore di GARL.
Un po' di "rumore di fondo" di bruteforce ce ne e' sempre, ed SSH e'
sempre stato un buon target.
<nota type=vendor>nei sistemi Linux, SecurePass si integra con PAM,
quindi ogni richiesta di auth ci viene "sparata" ai nostri sistemi, che
stanno tuttora negando le richieste.</nota>
In questo caso il rumore e' diventato ampio, parlando di volumi molto
elevati che hanno impattato due ISPs nostri clienti, ad un ritmo in cui
noi abbiamo dovuto raddoppiare il frontend per fare fronte alle
richieste. Diciamo che bruteforce ne ho visti, ma tranne un caso non in
queste modalita' e non con questa "veemenza".
<opinione>Se i sistemi fossero stati protetti da una password
"guessable" a quest'ora li avrebbero sfondati con tutti i pantaloni
</opinione>
Non ho elementi per dare informazioni aggiuntive e non posso rivelare
altre informazioni senza autorizzazione dei clienti.
Mi sembra una cosa mirata sulle classi di IP specifiche dei clienti, ma
non voglio poi scivolare sulle "chiacchiere da bar" e opinioni mie "a
naso" senza suffragio di prove.
Non volevamo generare allarmismo, ma ho ritenuto opportuno informare i
nostri clienti e non, tramite il nostro reparto marketing, che c'era un
fenomeno di queste dimensioni e di ricordare le best practices su SSH.
Ciao ciao,
Gippa
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
