Reakcje administratorów na błąd w OpenSSL w Debianie.
15 maja, 2008
Patrzę na to, co się dzieje po ogłoszeniu błędu ze słabymi kluczami i jestem przerażony. Próbkę mam znikomą, ale generalnie administratorzy nie przejmują się błędem zupełnie - albo robią upgrade samej paczki (w przypadku Debiana upgrade openssh jest o tyle dobry, że automatycznie wykrywa znane słabe klucze serwera), co nie rozwiązuje problemu, bo słabe klucze już są wygenerowane, albo czekają (nie wiem na co...). A tymczasem konsekwencje dotyczą nie tylko Debiana, ale i innych systemów z dostępem przez SSH, a liczba kluczy, które były generowane na dotkniętych błędem systemach Debiana to tylko 32767[1] dla każdej długości klucza (dla lepszego zobrazowania - trzyliterowe hasło składające się z samych liter daje podobne zabezpieczenie), a hasło na klucz niczego nie zmienia (bo wersja niezabezpieczona zawiera się w tych 32 tysiącach).
Problem nie dotyczy tylko Debiana, ale wszystkich systemów, na których użytkownicy Debiana mogli ustawić słaby klucz jako zaufany. No i tu pora na narzekanie - żaden administrator systemu (brak jakichkolwiek restrykcji w dostępie via SSH) na których dodałem swój słaby klucz nie zareagował - usunąłem klucze samodzielnie. Ilu użytkowników jeszcze dodało tam słabe klucze - nie wiem. Wiem, że aktualnie w Debianie pojawiło się narzędzie ssh-vulnkey, które po wywołaniu ssh-vulnkey -a sprawdza wszystkie standardowe lokalizacje (także authorized_keys użytkowników) w poszukiwaniu słabych kluczy - zachęcam do skorzystania z niego i przeportowania na inne systemy.
Tak czy inaczej wygląda na to, że ogólnie poziom bezpieczeństwa w IT drastycznie spadnie. Niebawem będzie w użyciu masa skompromitowanych systemów, słabych certyfikatów itd., a ten problem dotyczy nie tylko administratorów, ale wszystkich użytkowników komputerów.
[1] źródło
1. kayo napisał(a):
15 maja 2008, 09:09:44
Bo to trzeba uruchomic konsole… wpisac pare „magicznych” slow… dla niektorych to stanowczo za duzo…
2. Spo0lsh napisał(a):
15 maja 2008, 09:10:23
Zacytuję kolegę: „po co mam zmieniać? działa” :/
Poziom świadomości ludzi zajmujących się serwerami jako takimi odnośnie bezpieczeństwa (i to na podstawowym poziomie) jest zaskakująco niskie.
Tylko czekać na listę skompromitowanych (całych) systemów, szczególnie tych „krytycznych” dla danych organizacji/firm.
3. AlchemyX napisał(a):
15 maja 2008, 10:30:23
A może po prostu mało kto wystawia ssh na świat, np. ja :)
4. Spo0lsh napisał(a):
15 maja 2008, 15:10:30
Albo używa knockd i firewalla, jak ja ;)
5. Ravel napisał(a):
15 maja 2008, 17:18:27
a ja tylko zmieniam domyslny port na ten >10000
6. Spo0lsh napisał(a):
15 maja 2008, 17:26:34
Ravel: to nic w praktyce nie daje, a szkoda. Ilość prób dostania się do systemu przez ssh spada ale nadal nie wynosi <1%
7. rozie napisał(a):
15 maja 2008, 17:47:22
Knockd jest b. fajny, ale do zastosowań z małą ilością ruchu. Przy większym ruchu (rzędu kilkadziesiąt mbit) jest zasobożerny (CPU), niestety. Inna sprawa, że przy większym ruchu zapewne znajdzie się miejsce na 2-3 hosty z knockd służące tylko jako bramy dostępowe, a dostęp do pozostałych maszyn via te hosty wyłącznie…
8. mrman napisał(a):
19 maja 2008, 00:11:49
luzne pytanko – twoj klucz byl zagrozony?
9. rozie napisał(a):
19 maja 2008, 07:10:34
mrman: Zależy który rozumiesz przez „mój”. Część kluczy na maszynach, którymi się opiekuję była słaba. Zarówno klucze hostów, jak i użytkowników (w tym moje). A część była generowana jeszcze na Sarge…