Το προφίλ μας στο Google Plus
0

Χρήστες με αδύναμα κλειδιά SSH είχαν πρόσβαση στο GitHub

Οι χρήστες με τα αδύναμα κλειδιά είχαν πρόσβαση στα αποθετήρια πηγαίου κώδικα δημοφιλών πρότζεκτ όπως εκείνα των Spotify, Yandex και Django. Τα αδύναμα κλειδιά έχουν ήδη ανακληθεί, δεν είναι ωστόσο γνωστό αν επίδοξοι εισβολείς τα εκμεταλλεύτηκαν.

Χρήστες με αδύναμα κλειδιά SSH είχαν πρόσβαση στο GitHub

Νωρίτερα μέσα στη χρονιά, ο ερευνητής Ben Cox κατέφυγε σε δυνατότητα που παρέχει το GitHub προκειμένου να συλλέξει όλα τα δημόσια κλειδιά SSH χρηστών με πρόσβαση σε αποθετήρια κώδικα. Μετά από σχετική ανάλυση διαπίστωσε ότι ήταν δυνατόν να υπολογίσει τα αντίστοιχα ιδιωτικά κλειδιά αρκετών δημοσίων.

Το πρωτόκολλο SSH υλοποιεί τεχνικές κρυπτογραφίας δημοσίου κλειδιού, γεγονός που σημαίνει ότι η ταυτοποίηση των χρηστών επιτυγχάνεται μέσω ζευγών ιδιωτικών-δημοσίων κλειδιών, χωρίς να απαιτείται εισαγωγή συνθηματικού. Κάθε μηχάνημα που είναι ρυθμισμένο ώστε να δέχεται SSH logins χωρίς password, πρέπει να διαθέτει τα σωστά δημόσια κλειδιά. Την ίδια στιγμή, οι χρήστες με δικαιώματα πρόσβασης έχουν στους υπολογιστές τους τα αντίστοιχα ιδιωτικά κλειδιά, τα οποία πρέπει πάση θυσία να μένουν στον έλεγχό τους και κανείς άλλος να μην έχει πρόσβαση σ’ αυτά.

Αν για την παραγωγή των μαθηματικά συσχετισμένων ζευγών ιδιωτικών-δημοσίων κλειδιών χρησιμοποιείται ισχυρός αλγόριθμος και αρκετά μεγάλο μήκος κλειδιού (τουλάχιστον 2048 bits), τότε ο υπολογισμός του ιδιωτικού κλειδιού ξεκινώντας από το αντίστοιχο δημόσιο είναι, πρακτικά, αδύνατος.

Ο Cox ωστόσο διαπίστωσε ότι ένας “αρκετά μεγάλος” αριθμός χρηστών του GitHub, οι οποίοι είχαν πρόσβαση σε δημοφιλή πρότζεκτ λογισμικού, διέθεταν αδύναμα δημόσια κλειδιά. Συγκεκριμένα, από τα 1.376.262 στο πλήθος δημόσια κλειδιά που έλεγξε ο ερευνητής, ανακάλυψε ένα 4% με μήκος 1024 bits. Η ισχύς κλειδιών τέτοιου μήκους είναι συζητήσιμη στις μέρες μας, γι’ αυτό κι έχουν αρχίσει να αποσύρονται. Ο Cox βρήκε και 2 κλειδιά με μήκος 256 bits μόνο, καθώς και 7 κλειδιά με μήκος 512 bits. Και τα εννέα είναι εύκολο να “σπάσουν”.

Επιπρόσθετα, ο ερευνητής εντόπισε πολλά άλλα κλειδιά που είχαν παραχθεί με χρήση παλιάς και προβληματικής έκδοσης του OpenSSL, η οποία είχε αρχικά διανεμηθεί με το Debian Linux κι επιδιορθώθηκε το Μάιο του 2008. Η παλιά αυτή έκδοση του OpenSSL εμπεριείχε bug από το 2006, εξαιτίας του οποίου κατά τη δημιουργία κλειδιών επηρεαζόταν η πηγή τυχαιότητας για τη γεννήτρια τυχαίων αριθμών. Στο διάστημα των 20 αυτών μηνών όπου το bug δεν είχε αντιμετωπιστεί, όλα ανεξαιρέτως τα κλειδιά SSH και SSL που παρήχθησαν στο Debian είχαν ακριβώς 32.767 δυνατότητες για κάθε αρχιτεκτονική επεξεργαστή, μέγεθος και είδος κλειδιού.

Κάθε αποφασισμένος attacker είναι σε θέση να εκμεταλλευτεί τόσο αδύναμα κλειδιά, ώστε να αποκτήσει σχετικά εύκολα μη-εξουσιοδοτημένη πρόσβαση σε λογαριασμούς άλλων χρηστών. Παρά τις πολλές προειδοποιήσεις που είχαν ακολουθήσει μετά την ανακάλυψη του bug, φαίνεται ότι ακόμη και σήμερα χρησιμοποιούνται τέτοια αδύναμα κλειδιά. Ο Cox επισημαίνει ότι ειδοποίησε το GitHub και στις αρχές του Μαΐου η υπηρεσία ανακάλεσε τα αδύναμα ως προς το Debian bug κλειδιά. Στις αρχές Ιουνίου ανακλήθηκαν και τα υπόλοιπα αδύναμα κλειδιά.

Πηγή: ITWorld

Leave a Reply

You must be logged in to post a comment.

Σύνδεση

Αρχείο δημοσιεύσεων