12 votos

thingEvery avatar

Advertencias sobre procesos SSH

Preguntado el 20 de Enero, 2023
Cuando se hizo la pregunta
328 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Hacía tiempo que no necesitaba conectarme a un servidor por SSH. Cuando intenté conectarme hoy, Little Snitch me dio esta advertencia:

El programa "ssh" ha sido modificado

Anteriormente, el programa tenía el identificador "com.apple.openssh", pero ahora es "com.apple.ssh". Esto probablemente significa que Apple decidió renombrar el proceso. Pero, por favor, ¡inspeccione los nombres! Si un proceso ha sustituido por un intérprete script como Python, sus reglas pueden ser secuestradas por un virus script.

Apple SSH warning

Y esto probablemente no sea nada, pero mirando el binario en un editor de código, me he dado cuenta de que los 8 primeros caracteres dicen "cafe babe". Extraño, ¿verdad?

Apple SSH binary 'cafe babe'

No pude encontrar ninguna información sobre él en línea, así que instalé openssh a través de Homebrew. Pero cuando lo ejecuto, Little Snitch advierte que el proceso no tiene firma.

Homebrew SSH unsigned warning

De todos modos, he comprobado la firma en el binario de Apple utilizando codesign -db --verbose=4 /usr/bin/ssh pero no encuentro nada en Internet con lo que comparar los resultados.

Entonces, ¿cómo puedo estar seguro de que este binario es legítimo antes de permitir que se conecte?

Por cierto, estoy usando Ventura 13.1.

Edición: Aquí está la salida de codesign -dv --verbose=4 /usr/bin/ssh :

Executable=/usr/bin/ssh
Identifier=com.apple.ssh
Format=Mach-O universal (x86_64 arm64e)
CodeDirectory v=20400 size=6182 flags=0x0(none) hashes=183+7 location=embedded
Platform identifier=14
VersionPlatform=1
VersionMin=852224
VersionSDK=852224
Hash type=sha256 size=32
CandidateCDHash sha256=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e7
CandidateCDHashFull sha256=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e791bd5a9e96f67e9b2169eb16
Hash choices=sha256
CMSDigest=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e791bd5a9e96f67e9b2169eb16
CMSDigestType=2
Executable Segment base=0
Executable Segment limit=671744
Executable Segment flags=0x1
Page size=4096
Launch Constraints:
    None
CDHash=d19d6f7a19eb7178c68fc67c197bc8d8fbeda7e7
Signature size=4442
Authority=Software Signing
Authority=Apple Code Signing Certification Authority
Authority=Apple Root CA
Signed Time=Nov 5, 2022 at 12:44:29 AM
Info.plist=not bound
TeamIdentifier=not set
Sealed Resources=none
Internal requirements count=1 size=64

Salida de 'uname -a':

Darwin MacBook-Pro.local 22.2.0 Darwin Kernel Version 22.2.0: Fri Nov 11 02:08:47 PST 2022; root:xnu-8792.61.2~4/RELEASE_X86_64 x86_64

Salida de

Preguntado el 20 de Enero, 2023 por thingEvery

Respuesta

¿Demasiados anuncios?

9voto

Matthew A. Flinchbaugh avatar
Matthew A. Flinchbaugh Puntos 41

Si realmente está ejecutando /usr/bin/ssh y no jugaste con SIP o SSV entonces puedes asumir que el binario es legítimo.

SSV (Sealed System Volume) garantiza que tu instalación de MacOS no pueda ser manipulada (el sistema simplemente se niega a arrancar si alguien lo intenta).

PS: Para Ventura 13.1 obtengo el siguiente hash para ssh :

$ uname -a
Darwin Sumtri.local 22.2.0 Darwin Kernel Version 22.2.0: Fri Nov 11 02:04:44 PST 2022; root:xnu-8792.61.2~4/RELEASE_ARM64_T8103 arm64
$ /sbin/md5 /usr/bin/ssh
MD5 (/usr/bin/ssh) = 28dae2824341539a9e4d073b28bc0b89
Respondido el 20 de Enero, 2023 por Matthew A. Flinchbaugh (41 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X