The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.06.2015 22:35  Выявлена порция уязвимых SSH-ключей доступа к GitHub

Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал результаты исследования надёжности SSH-ключей, используемых пользователями GitHub. Оценив 1.3 млн публичных ключей, которые размещены в открытом доступе и ассоциированы с аккаунтами GitHub, было выявлено, что до сих пор многие пользователи применяют ключи, сгенерированные в окружении Debian, содержащем пакет OpenSSL с неисправленной уязвимостью, в которой разработчики Debian комментированием двух строк кода поломали генератор случайных чисел.

Уязвимость даёт возможность предсказывать значение генератора случайных чисел и, соответственно, легко подбирать приватные ключи на основе публичных SSH-ключей (уязвимый OpenSSL позволяет генерировать только 32 тыс. вариантов ключей). Ошибка была внесена в 2006 году и устранена в мае 2008 года. Число пользователей GitHub с уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены у разработчиков, имеющих право коммита в репозитории компаний Яндекс, Couchbase и Spotify, в проекты gov.uk, в кодовую базу Python, фреймворк Django и ruby gem. В настоящее время, GitHub уже отправил уведомления подверженным проблеме пользователям и заблокировал проблемные ключи.

Кроме ключей, связанных с уязвимостью в OpenSSL, было выявлено несколько ключей подозрительно небольшого размера - семь ключей по 512 бит и два ключа по 256 бит. Подобный размер позволяет достаточно быстро выполнить подбор приватного ключа, например, на компьютере с процессором i5-2400 на подбор 512-битного ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
  3. OpenNews: Концептуальный пример червя, использующего уязвимость OpenSSL из Debian
  4. OpenNews: Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: github, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, xaxaxa (?), 22:54, 03/06/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    поломали совершенно случайно (с)
     
  • 1.2, Crazy Alex (ok), 22:54, 03/06/2015 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
     
     
  • 2.4, Аноним (-), 22:59, 03/06/2015 [^] [ответить]    [к модератору]
  • +4 +/
    Причём тут "уязвимой версии SSH" и "не проапдейтиться с тех пор". Проблема в том, что сгенерировали ключ в системе с уязвимой версией OpenSSL. OpenSSL потом успешно поправили, но про ключ забыли.
     
     
  • 3.7, anonymous (??), 23:21, 03/06/2015 [^] [ответить]    [к модератору]
  • +2 +/
    При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на Ту Самую уязвимость.
     
     
  • 4.13, Crazy Alex (ok), 00:57, 04/06/2015 [^] [ответить]    [к модератору]
  • +/
    Именно так
     
  • 4.25, Andrey Mitrofanov (?), 09:55, 04/06/2015 [^] [ответить]     [к модератору]  
  • +/
    Это он в Debian-е прилетел, у тебя, у меня и, кстати, и тут openssh-blacklist ,... весь текст скрыт [показать]
     
     
  • 5.32, Crazy Alex (ok), 13:51, 04/06/2015 [^] [ответить]     [к модератору]  
  • +/
    ну так где кривые ключи генерировали - там он и прилетел и поймал их Как они ок... весь текст скрыт [показать]
     
  • 2.41, anonim (ok), 20:53, 14/06/2015 [^] [ответить]    [к модератору]  
  • +/
    Это Debian, детка!
     
  • 1.3, Аноним (-), 22:57, 03/06/2015 [ответить] [показать ветку] [···]     [к модератору]  
  • –21 +/
    GitHub теперь сборище пидо сов, не фигурально, а буквально - https github com... весь текст скрыт [показать]
     
     
  • 2.5, Аноним (-), 23:10, 03/06/2015 [^] [ответить]    [к модератору]  
  • +2 +/
    И что? Причём это на техническом ресурсе? Латентность покоя не дает?
     
     
  • 3.8, Michael Shigorin (ok), 23:24, 03/06/2015 [^] [ответить]     [к модератору]  
  • +3 +/
    Вообще-то организационные и социальные выверты на технических аспектах тоже отра... весь текст скрыт [показать]
     
     
  • 4.11, Аноним (-), 23:34, 03/06/2015 [^] [ответить]     [к модератору]  
  • +4 +/
    То, что авторский коллектив джумлы недавно из детского садика, сразу видно по ко... весь текст скрыт [показать]
     
     
  • 5.31, прохожий (?), 13:31, 04/06/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анон... весь текст скрыт [показать]
     
  • 4.15, Анончег (?), 04:55, 04/06/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая... весь текст скрыт [показать]
     
     
  • 5.33, Andrey Mitrofanov (?), 14:33, 04/06/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Народ уже давно требует беспощадного выкорчевы 8 http www phoronix com sca... весь текст скрыт [показать]
     
     
  • 6.35, Анончег (?), 00:54, 05/06/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    Митрофанычъ, тов Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перс... весь текст скрыт [показать]
     
  • 4.19, Аноним (-), 06:51, 04/06/2015 [^] [ответить]     [к модератору]  
  • +1 +/
    Django разрабы тоже потешили, нашелся затейник решивший привести код к полит кор... весь текст скрыт [показать]
     
     
  • 5.22, a (??), 08:54, 04/06/2015 [^] [ответить]    [к модератору]  
  • +/
    https://code.djangoproject.com/ticket/22667 - это вот тут жестко высказали? Мимолетящие школьники на имиджборде имени жытхаба не есть сообщество.
     
  • 4.23, Аноним (-), 09:27, 04/06/2015 [^] [ответить]     [к модератору]  
  • +2 +/
    То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и ... весь текст скрыт [показать]
     
  • 2.9, anonymous (??), 23:31, 03/06/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    какой кошмар! как дальше жить?!
     
  • 2.27, q (??), 10:16, 04/06/2015 [^] [ответить]    [к модератору]  
  • +4 +/
    Как будто что-то плохое.
     
  • 1.6, Аноним (-), 23:12, 03/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
     
  • 1.12, Ahulinux (ok), 23:34, 03/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >у разработчиков, имеющих право коммита в репозитории компаний Яндекс

    <sarcasm>Вот где-где, а в яндексе не ожидал.
    Ps Небось девелопер из части по яндекс.директ

     
  • 1.20, Аноним (20), 08:02, 04/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Надо юзать первоисточник - OpenBSD :)
     
     
  • 2.21, Аноним (-), 08:25, 04/06/2015 [^] [ответить]    [к модератору]  
  • +/
    http://cs5.pikabu.ru/post_img/2014/03/02/7/1393754312_1600503799.jpg
     
  • 1.26, Andrey Mitrofanov (?), 09:59, 04/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >Ошибка была внесена в 2006
    > году и устранена в мае 2008 года. Число пользователей GitHub с
    > уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены
    > у разработчиков, имеющих право коммита в репозитории

    Хорошо, что коммиты b тарболы подписывают gpg.   Пока снова не грянет?

    > ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

     
  • 1.28, Мызасмысл (?), 10:19, 04/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    > Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал

    А с чего это он "Кох", когда он Кокс?

     
     
  • 2.29, Andrey Mitrofanov (?), 10:32, 04/06/2015 [^] [ответить]    [к модератору]  
  • +3 +/
    >> Бен Кох (Ben Cox), инженер
    > А с чего это он "Кох", когда он Кокс?

    Чтобы не орпагандировать. Чёрную металлургию.

     
  • 2.37, Аноним (-), 10:11, 05/06/2015 [^] [ответить]    [к модератору]  
  • +1 +/
    Веп Сох, по-моему.
     
  • 2.39, б.б. (?), 12:11, 05/06/2015 [^] [ответить]    [к модератору]  
  • +/
    а палочка кокса у него есть?
     
     
  • 3.40, anonymous (??), 15:27, 05/06/2015 [^] [ответить]    [к модератору]  
  • +/
    > а палочка кокса у него есть?

    Может и есть.
    Но никто не знает что такое "палочка кокса".
    Поэтому невозможно сказать есть ли она у него.

     
  • 1.38, б.б. (?), 12:11, 05/06/2015 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor