The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Выявлена порция уязвимых SSH-ключей доступа к GitHub

03.06.2015 22:35

Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал результаты исследования надёжности SSH-ключей, используемых пользователями GitHub. Оценив 1.3 млн публичных ключей, которые размещены в открытом доступе и ассоциированы с аккаунтами GitHub, было выявлено, что до сих пор многие пользователи применяют ключи, сгенерированные в окружении Debian, содержащем пакет OpenSSL с неисправленной уязвимостью, в которой разработчики Debian комментированием двух строк кода поломали генератор случайных чисел.

Уязвимость даёт возможность предсказывать значение генератора случайных чисел и, соответственно, легко подбирать приватные ключи на основе публичных SSH-ключей (уязвимый OpenSSL позволяет генерировать только 32 тыс. вариантов ключей). Ошибка была внесена в 2006 году и устранена в мае 2008 года. Число пользователей GitHub с уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены у разработчиков, имеющих право коммита в репозитории компаний Яндекс, Couchbase и Spotify, в проекты gov.uk, в кодовую базу Python, фреймворк Django и ruby gem. В настоящее время, GitHub уже отправил уведомления подверженным проблеме пользователям и заблокировал проблемные ключи.

Кроме ключей, связанных с уязвимостью в OpenSSL, было выявлено несколько ключей подозрительно небольшого размера - семь ключей по 512 бит и два ключа по 256 бит. Подобный размер позволяет достаточно быстро выполнить подбор приватного ключа, например, на компьютере с процессором i5-2400 на подбор 512-битного ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

  1. Главная ссылка к новости (http://arstechnica.com/securit...)
  2. OpenNews: Компрометация SSL сертификатов из-за уязвимости, обнаруженной в пакете Debian OpenSSL
  3. OpenNews: Концептуальный пример червя, использующего уязвимость OpenSSL из Debian
  4. OpenNews: Аккаунты на серверах debian.org заблокированы из-за уязвимости в пакете OpenSSL
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/42357-github
Ключевые слова: github, crypt
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (32) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, xaxaxa (?), 22:54, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    поломали совершенно случайно (с)
     
  • 1.2, Crazy Alex (ok), 22:54, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
     
     
  • 2.4, Аноним (-), 22:59, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Причём тут "уязвимой версии SSH" и "не проапдейтиться с тех пор". Проблема в том, что сгенерировали ключ в системе с уязвимой версией OpenSSL. OpenSSL потом успешно поправили, но про ключ забыли.
     
     
  • 3.7, anonymous (??), 23:21, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на Ту Самую уязвимость.
     
     
  • 4.13, Crazy Alex (ok), 00:57, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Именно так
     
  • 4.25, Andrey Mitrofanov (?), 09:55, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает

    Это он в Debian-е прилетел, у тебя, у меня (и, кстати, и тут openssh-blacklist{,-extra} можно деинсталировать -- вообще без вопросов; то же и с openSSL-blacklist{,-extra). Вопрос, собственно, пошли ли те BL-патчи в апстрим, _включая_ maint.-релизы, и др. дистрибутивные эко. [Да, я не в курсе. Исследователи "наверху" тоже не прояснили?] И как ловить неправильный ключ васи пупкина, который, например, на putty.exe.

    > утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на
    > Ту Самую уязвимость.

    Утилит аж 3 штуки -
    usr/bin/openssl-vulnkey                              net/openssl-blacklist
    usr/bin/ssh-vulnkey                                     net/openssh-client
    usr/sbin/openvpn-vulnkey                           net/openvpn-blacklist

    , но встроена ли соотв.проверка в клиент и сервер? С руганью в консоль и логи?

     
     
  • 5.32, Crazy Alex (ok), 13:51, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    ну так где кривые ключи генерировали - там он и прилетел и поймал их. Как они окажутся на putty.exe? Разве что если какой дебил нарушил принцип "каждой машине - свой ключ/ключи" - ну так его проблемы, надо хоть как-то понимать, что делаешь.
     
  • 2.41, anonim (ok), 20:53, 14/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    Это Debian, детка!
     

  • 1.3, Аноним (-), 22:57, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –21 +/
    GitHub теперь сборище пидо%#сов, не фигурально, а буквально - https://github.com/blog/2016-support-lgbtq-tech-organizations-with-the-prideto
    начали продажу футболок с пропагандой ЛГБT, проводят конференции для разработчиков нетрадиционной ориентации. На первой странице их блога как минимум три заметки об ЛГБT.
     
     
  • 2.5, Аноним (-), 23:10, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    И что? Причём это на техническом ресурсе? Латентность покоя не дает?
     
     
  • 3.8, Michael Shigorin (ok), 23:24, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > При чём это на техническом ресурсе?

    Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.

    Где-то так и тут, увы.

    PS: ещё не удивлюсь, если вылезет какой-нить ярый доказатель того, что "дебиан был прав" и вообще всё это клевета, а на него найдётся очередная едкость у того же arisu.

     
     
  • 4.11, Аноним (-), 23:34, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    То, что авторский коллектив джумлы недавно из детского садика, сразу видно по коду.

    Социально-политические выверты всегда раздражают. Не имею ничего против любых ориентаций, вероисповеданий и мнений, пока их мне никто не навязывает. Гей-пропаганда, впрочем, ровно так же отвратительна, как и российские пиарщики, оседлавшие волну госпропаганды с "антисанкциями" и прочими "крымнашами". Одного поля ягоды. Но при должном качестве продукта это все можно и игнорировать до определенной степени.

     
     
  • 5.31, прохожий (?), 13:31, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анонимные аналитики всегда найдут то что скрыто от нас... а может анонимных аналитиков очень волнует этот вопрос, закрадываются подозрения по поводу предпочтений анонимов
     
  • 4.15, Анончег (?), 04:55, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в [b]Joomla[/b] ...

    Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая-то непонятная Joomla.

     
     
  • 5.33, Andrey Mitrofanov (?), 14:33, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток
    > Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет,

    "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-FDO-To-GitHub ; "Товарищ Фарфуркис, разберитесь!"

    > чем какая-то непонятная Joomla.

     
     
  • 6.35, Анончег (?), 00:54, 05/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток
    >> Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет,
    > "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-FDO-To-GitHub
    >  "Товарищ Фарфуркис, разберитесь!"
    >> чем какая-то непонятная Joomla.

    Митрофанычъ, тов. Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перспективы встраивания неонки в Joomla, и её дальнейшую рационализацию.

     
  • 4.19, Аноним (-), 06:51, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.

    Django разрабы тоже потешили, нашелся затейник решивший привести код к полит корректности, убрать с програмного кода "master - slave" и прочие выражения заменив их на полит корректными.
    Остальная часть сообщества вместо того чтобы промолчать, жестко высказала всё что думает по поводу толерастии.

     
     
  • 5.22, a (??), 08:54, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    https://code.djangoproject.com/ticket/22667 - это вот тут жестко высказали? Мимолетящие школьники на имиджборде имени жытхаба не есть сообщество.
     
  • 4.23, Аноним (-), 09:27, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +2 +/
    То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и в какие места они трахают?

    МакКузик вот BSD запилил, а некоторые мои знакомые, не отличающиеся, как вы говорите, "вывертами", собственных детей воспитать не могут.

     
  • 2.9, anonymous (??), 23:31, 03/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    какой кошмар! как дальше жить?!
     
  • 2.27, q (??), 10:16, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Как будто что-то плохое.
     

  • 1.6, Аноним (-), 23:12, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
     
  • 1.12, Ahulinux (ok), 23:34, 03/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >у разработчиков, имеющих право коммита в репозитории компаний Яндекс

    <sarcasm>Вот где-где, а в яндексе не ожидал.
    Ps Небось девелопер из части по яндекс.директ

     
  • 1.20, Аноним (20), 08:02, 04/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Надо юзать первоисточник - OpenBSD :)
     
     
  • 2.21, Аноним (-), 08:25, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    http://cs5.pikabu.ru/post_img/2014/03/02/7/1393754312_1600503799.jpg
     

  • 1.26, Andrey Mitrofanov (?), 09:59, 04/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >Ошибка была внесена в 2006
    > году и устранена в мае 2008 года. Число пользователей GitHub с
    > уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены
    > у разработчиков, имеющих право коммита в репозитории

    Хорошо, что коммиты b тарболы подписывают gpg.   Пока снова не грянет?

    > ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

     
  • 1.28, Мызасмысл (?), 10:19, 04/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал

    А с чего это он "Кох", когда он Кокс?

     
     
  • 2.29, Andrey Mitrofanov (?), 10:32, 04/06/2015 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >> Бен Кох (Ben Cox), инженер
    > А с чего это он "Кох", когда он Кокс?

    Чтобы не орпагандировать. Чёрную металлургию.

     
  • 2.37, Аноним (-), 10:11, 05/06/2015 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Веп Сох, по-моему.
     
  • 2.39, б.б. (?), 12:11, 05/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    а палочка кокса у него есть?
     
     
  • 3.40, anonymous (??), 15:27, 05/06/2015 [^] [^^] [^^^] [ответить]  
  • +/
    > а палочка кокса у него есть?

    Может и есть.
    Но никто не знает что такое "палочка кокса".
    Поэтому невозможно сказать есть ли она у него.

     

  • 1.38, б.б. (?), 12:11, 05/06/2015 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру