O SSH, uma ferramenta essencial para conectar-se a sistemas remotos via linha de comando, enfrenta um novo desafio de segurança: o Ataque Terrapin.

Este ataque aproveita uma vulnerabilidade no protocolo SSH e foi detalhado por pesquisadores alemães (CVE-2023-48795). Vamos entender como isso funciona e o que significa para a segurança online.

O Que é o Ataque Terrapin?

Imagine um intermediário mal-intencionado – o “homem no meio” – entre você e o sistema remoto ao qual você está tentando se conectar. No Ataque Terrapin , este intermediário manipula a conexão para enfraquecer as defesas do SSH. Como? Ele força a conexão a usar métodos de autenticação mais fracos e desativa medidas de segurança importantes durante a fase de estabelecimento da conexão (handshake).

Como Funciona o Ataque Terrapin?

Durante o handshake (negociação do tipo de codificação a ser usada), o atacante insere mensagens ‘ignore’ em texto simples. Estas mensagens são designadas para aumentar artificialmente o contador de sequência de mensagens do cliente, sem ele perceber. Posteriormente, quando o canal seguro é estabelecido, o atacante bloqueia mensagens importantes do servidor para o cliente. O resultado? O cliente e o servidor pensam que tudo está normal, mas, na verdade, a segurança foi comprometida.

Por que isso é Preocupante?

O Ataque Terrapin pode levar ao uso de algoritmos de autenticação menos seguros e desativar contramedidas contra ataques de timing de teclas. Em situações específicas, até mesmo partes da senha de um usuário podem ser descriptografadas. Isso coloca em risco a confidencialidade e a integridade das informações trocadas via SSH.

Quais são as Implicações do Ataque Terrapin?

O problema não é simples de resolver, pois não é um bug de software que uma única atualização pode corrigir. Tanto os clientes quanto os servidores SSH precisam ser atualizados para se protegerem contra este tipo de ataque. Isso significa que todos os envolvidos com o SSH, seja no desenvolvimento ou na administração, precisam estar cientes e atuar para garantir a segurança.

Como se Proteger?

Melhorando o SSH

Enquanto aguardamos atualizações de software que corrigem esse problema, uma ação imediata é desativar os modos de criptografia afetados nas configurações do servidor SSH e optar por algoritmos não vulneráveis, como o AES-GCM. Além disso, manter-se informado sobre as últimas atualizações e aplicá-las prontamente é essencial para garantir a segurança das conexões SSH

Usando uma VPN para proteger seus servidores

Como sempre, a melhor forma de evitar ataques ao SSH é também a mais óbvia, que é sempre deixar os acessos SSH longe do acesso da internet aberta.

Para isso existem as VPNs, que são Redes Virtuais Privadas. Para participar da rede, um computador externo tem que rodar um software e se autenticar na rede privada. Só depois disso é que é possível acessar os serviços de rede e o SSH pode ser um deles.

Um produto de VPN muito prático para resolver este problema específico do acesso SSH é a Winco CloudVPN. Além de ser muito mais fácil de configurar que uma VPN normal, ela permite que o acesso ao SSH seja feito diretamente do Browser, sem sequer ser necessário um cliente de VPN ou um Cliente de SSH no computador de onde vai partir o acesso.

Veja mais sobre a Winco Cloud VPN aqui