The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Выявлена порция уязвимых SSH-ключей доступа к GitHub"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от opennews on 03-Июн-15, 22:54 
Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал (https://blog.benjojo.co.uk/post/auditing-github-users-keys) результаты исследования надёжности SSH-ключей, используемых пользователями GitHub. Оценив 1.3 млн публичных ключей, которые размещены в открытом доступе и ассоциированы с аккаунтами GitHub, было выявлено, что до сих пор многие пользователи применяют ключи, сгенерированные в окружении Debian, содержащем пакет OpenSSL с неисправленной уязвимостью (http://www.opennet.me/opennews/art.shtml?num=15846), в которой разработчики Debian комментированием двух строк кода поломали генератор случайных чисел.


Уязвимость даёт  возможность предсказывать значение генератора случайных чисел и, соответственно, легко подбирать приватные ключи на основе публичных SSH-ключей (уязвимый OpenSSL позволяет генерировать только 32 тыс. вариантов ключей). Ошибка была внесена в 2006 году и устранена в мае 2008 года. Число пользователей GitHub с уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены у разработчиков, имеющих право коммита в репозитории компаний Яндекс, Couchbase и Spotify, в проекты gov.uk, в кодовую базу Python, фреймворк  Django и ruby gem. В настоящее время, GitHub уже отправил уведомления подверженным проблеме пользователям и заблокировал проблемные ключи.


Кроме ключей, связанных с уязвимостью в OpenSSL, было выявлено несколько ключей подозрительно небольшого размера - семь ключей по 512 бит и два ключа по 256 бит. Подобный размер позволяет достаточно быстро выполнить подбор приватного ключа, например, на компьютере с процессором i5-2400  на подбор 512-битного ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

URL: http://arstechnica.com/security/2015/06/assume-your-github-a.../
Новость: http://www.opennet.me/opennews/art.shtml?num=42357

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  –1 +/
Сообщение от xaxaxa on 03-Июн-15, 22:54 
поломали совершенно случайно (с)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  –1 +/
Сообщение от Crazy Alex (ok) on 03-Июн-15, 22:54 
Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +4 +/
Сообщение от Аноним (??) on 03-Июн-15, 22:59 
Причём тут "уязвимой версии SSH" и "не проапдейтиться с тех пор". Проблема в том, что сгенерировали ключ в системе с уязвимой версией OpenSSL. OpenSSL потом успешно поправили, но про ключ забыли.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +2 +/
Сообщение от anonymous (??) on 03-Июн-15, 23:21 
При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на Ту Самую уязвимость.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

13. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Crazy Alex (ok) on 04-Июн-15, 00:57 
Именно так
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

25. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Andrey Mitrofanov on 04-Июн-15, 09:55 
> При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает

Это он в Debian-е прилетел, у тебя, у меня (и, кстати, и тут openssh-blacklist{,-extra} можно деинсталировать -- вообще без вопросов; то же и с openSSL-blacklist{,-extra). Вопрос, собственно, пошли ли те BL-патчи в апстрим, _включая_ maint.-релизы, и др. дистрибутивные эко. [Да, я не в курсе. Исследователи "наверху" тоже не прояснили?] И как ловить неправильный ключ васи пупкина, который, например, на putty.exe.

> утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на
> Ту Самую уязвимость.

Утилит аж 3 штуки -
usr/bin/openssl-vulnkey                              net/openssl-blacklist
usr/bin/ssh-vulnkey                                     net/openssh-client
usr/sbin/openvpn-vulnkey                           net/openvpn-blacklist

, но встроена ли соотв.проверка в клиент и сервер? С руганью в консоль и логи?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

32. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Crazy Alex (ok) on 04-Июн-15, 13:51 
ну так где кривые ключи генерировали - там он и прилетел и поймал их. Как они окажутся на putty.exe? Разве что если какой дебил нарушил принцип "каждой машине - свой ключ/ключи" - ну так его проблемы, надо хоть как-то понимать, что делаешь.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

41. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от anonim (ok) on 14-Июн-15, 20:53 
Это Debian, детка!
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  –21 +/
Сообщение от Аноним (??) on 03-Июн-15, 22:57 
GitHub теперь сборище пидо%#сов, не фигурально, а буквально - https://github.com/blog/2016-support-lgbtq-tech-organization...
начали продажу футболок с пропагандой ЛГБT, проводят конференции для разработчиков нетрадиционной ориентации. На первой странице их блога как минимум три заметки об ЛГБT.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +2 +/
Сообщение от Аноним (??) on 03-Июн-15, 23:10 
И что? Причём это на техническом ресурсе? Латентность покоя не дает?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +3 +/
Сообщение от Michael Shigorin email(ok) on 03-Июн-15, 23:24 
> При чём это на техническом ресурсе?

Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.

Где-то так и тут, увы.

PS: ещё не удивлюсь, если вылезет какой-нить ярый доказатель того, что "дебиан был прав" и вообще всё это клевета, а на него найдётся очередная едкость у того же arisu.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +4 +/
Сообщение от Аноним (??) on 03-Июн-15, 23:34 
То, что авторский коллектив джумлы недавно из детского садика, сразу видно по коду.

Социально-политические выверты всегда раздражают. Не имею ничего против любых ориентаций, вероисповеданий и мнений, пока их мне никто не навязывает. Гей-пропаганда, впрочем, ровно так же отвратительна, как и российские пиарщики, оседлавшие волну госпропаганды с "антисанкциями" и прочими "крымнашами". Одного поля ягоды. Но при должном качестве продукта это все можно и игнорировать до определенной степени.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

31. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +2 +/
Сообщение от прохожий on 04-Июн-15, 13:31 
читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анонимные аналитики всегда найдут то что скрыто от нас... а может анонимных аналитиков очень волнует этот вопрос, закрадываются подозрения по поводу предпочтений анонимов
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

15. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Анончег on 04-Июн-15, 04:55 
> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla ...

Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая-то непонятная Joomla.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

33. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Andrey Mitrofanov on 04-Июн-15, 14:33 
>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток
> Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет,

"Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-F...Товарищ Фарфуркис, разберитесь!"

> чем какая-то непонятная Joomla.

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

35. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +2 +/
Сообщение от Анончег on 05-Июн-15, 00:54 
>>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток
>> Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет,
> "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-F...
>  "Товарищ Фарфуркис, разберитесь!"
>> чем какая-то непонятная Joomla.

Митрофанычъ, тов. Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перспективы встраивания неонки в Joomla, и её дальнейшую рационализацию.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

19. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Аноним (??) on 04-Июн-15, 06:51 
> поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада.

Django разрабы тоже потешили, нашелся затейник решивший привести код к полит корректности, убрать с програмного кода "master - slave" и прочие выражения заменив их на полит корректными.
Остальная часть сообщества вместо того чтобы промолчать, жестко высказала всё что думает по поводу толерастии.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

22. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от a (??) on 04-Июн-15, 08:54 
https://code.djangoproject.com/ticket/22667 - это вот тут жестко высказали? Мимолетящие школьники на имиджборде имени жытхаба не есть сообщество.
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

23. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +2 +/
Сообщение от Аноним (??) on 04-Июн-15, 09:27 
То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и в какие места они трахают?

МакКузик вот BSD запилил, а некоторые мои знакомые, не отличающиеся, как вы говорите, "вывертами", собственных детей воспитать не могут.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

9. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от anonymous (??) on 03-Июн-15, 23:31 
какой кошмар! как дальше жить?!
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

27. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +4 +/
Сообщение от q (??) on 04-Июн-15, 10:16 
Как будто что-то плохое.
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  –1 +/
Сообщение от Аноним (??) on 03-Июн-15, 23:12 
Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Ahulinux (ok) on 03-Июн-15, 23:34 
>у разработчиков, имеющих право коммита в репозитории компаний Яндекс

<sarcasm>Вот где-где, а в яндексе не ожидал.
Ps Небось девелопер из части по яндекс.директ

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Аноним email(??) on 04-Июн-15, 08:02 
Надо юзать первоисточник - OpenBSD :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Аноним (??) on 04-Июн-15, 08:25 
http://cs5.pikabu.ru/post_img/2014/03/02/7/1393754312_160050...
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от Andrey Mitrofanov on 04-Июн-15, 09:59 
>Ошибка была внесена в 2006
> году и устранена в мае 2008 года. Число пользователей GitHub с
> уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены
> у разработчиков, имеющих право коммита в репозитории

Хорошо, что коммиты b тарболы подписывают gpg.   Пока снова не грянет?

> ключа было потрачено менее трёх дней, а 256-битного - 25 минут.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Мызасмысл on 04-Июн-15, 10:19 
> Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал

А с чего это он "Кох", когда он Кокс?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

29. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +3 +/
Сообщение от Andrey Mitrofanov on 04-Июн-15, 10:32 
>> Бен Кох (Ben Cox), инженер
> А с чего это он "Кох", когда он Кокс?

Чтобы не орпагандировать. Чёрную металлургию.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

37. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +1 +/
Сообщение от Аноним (??) on 05-Июн-15, 10:11 
Веп Сох, по-моему.
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

39. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от б.б. on 05-Июн-15, 12:11 
а палочка кокса у него есть?
Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

40. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от anonymous (??) on 05-Июн-15, 15:27 
> а палочка кокса у него есть?

Может и есть.
Но никто не знает что такое "палочка кокса".
Поэтому невозможно сказать есть ли она у него.

Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

38. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"  +/
Сообщение от б.б. on 05-Июн-15, 12:11 
я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру