Conversation

Notices

1. headcrack (headcrack@headcrack.cf)'s status on Friday, 07-Jul-2017 16:46:31 CEST headcrack
   Laut Wikileaks werden die ssh-Keys werden mit einer modifizierten libgssapi.so abgeschnorchelt (mit touch -r bekommt sie das gleiche Erstellungsdatum wie das Original), die zum damaligen Zeitpunkt via LD_PRELOAD im sshd-Startscript gelinkt wurde. Im Dokument steht ausdrücklich, dass es da noch einen besseren Weg gäbe, der aber aus Zeitgründen nicht eingebaut wurde. Das dürfte inzwischen also anders laufen. Obwohl, die Dokumente sind relativ neu, von 2015. Sie nehmen auch oft Bezug auf ein Rootkit, dass als QC/KitV bezeichnet wird. Gleich mal bei mir nachgucken, ob die Lib original ist:
   # debsums libgssapi3-heimdal
   /usr/lib/aarch64-linux-gnu/libgssapi.so.3.0.0 OK
   Kann ich jetzt beruhigt sein? Keiner weiss es.
   #md5sum /usr/lib/aarch64-linux-gnu/libgssapi.so.3.0.0
   ee1130a74a252308b4e0be50b96174df /usr/lib/aarch64-linux-gnu/libgssapi.so.3.0.0
   Zeigt her Eure Prüfsummen... zeigt her Euren Hash...
   • headcrack (headcrack@headcrack.cf)'s status on Friday, 07-Jul-2017 17:11:17 CEST headcrack

     • Hiker
     So richtig Sinn macht das mit den Hashes eigentlich nicht. Im Dokument wird das Schnorchel-Programm und auch die Lib nach der Extraktion der ssh-Keys oder -Passwörter wieder entfernt. Interessant ist dieses QC/KitV, mal sehen, wann das geleakt wird.