Zalecana, 2024

Wybór redaktorów

Intel może zwrócić się do AMD z prośbą o licencję graficzną na technologię Radeon

Intel może zwrócić się do AMD z prośbą o licencję graficzną na technologię Radeon

Czego można się spodziewać po uaktualnieniu systemu Windows 10 Mobile

Czego można się spodziewać po uaktualnieniu systemu Windows 10 Mobile

AMD Gaming Evolved teraz automatycznie zapisuje twoje chwalebne e-sportowe zalety gier

AMD Gaming Evolved teraz automatycznie zapisuje twoje chwalebne e-sportowe zalety gier

Dom  /  IFA

Użytkownicy ze słabymi kluczami SSH mieli dostęp do repozytoriów GitHub dla popularnych projektów

  • 2024

GitHub: Add an SSH Key

GitHub: Add an SSH Key
Anonim

Wiele renomowanych repozytoriów kodu źródłowego hostowanych na GitHub mogło zostać zmodyfikowanych za pomocą słabych kluczy uwierzytelniających SSH, ostrzegł badacz bezpieczeństwa.

Do potencjalnie podatnych repozytoriów należą repozytoria muzyki strumieniowej Spotify, rosyjska firma internetowa Yandex, rząd Wielkiej Brytanii i framework aplikacji Django Web.

Wcześniej w tym roku badacz Ben Cox zebrał publiczne klucze SSH (Secure Shell) użytkowników z dostępem do repozytoriów hostowanych przez GitHub za pomocą jednego z funkcje platformy. Po analizie odkrył, że odpowiednie klucze prywatne można łatwo odzyskać dla wielu z nich.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Protokół SSH korzysta z kryptografii z kluczem publicznym, co oznacza że uwierzytelnianie użytkowników i szyfrowanie ich połączeń wymaga pary kluczy prywatny-publiczny. Serwer skonfigurowany do akceptowania połączeń SSH od użytkowników musi znać ich odpowiednie klucze publiczne, a użytkownicy muszą mieć odpowiednie klucze prywatne.

Jeśli zostanie użyty silny algorytm i wystarczająco duży rozmiar klucza, nie powinno być możliwości odzyskaj klucz prywatny z klucza publicznego. Jednak to nie było to, co Cox znalazł dla "bardzo dużej" liczby użytkowników GitHub, z których niektórzy mieli dostęp SSH do dużych i popularnych projektów oprogramowania.

Badacz zebrał 1 376 262 publicznych kluczy SSH od GitHub i określił, że 97,7 procent z nich wykorzystał algorytm RSA. W przypadku RSA obecnie zalecany rozmiar to 2048 bitów, podczas gdy siła 1024-bitowych kluczy jest dyskusyjna i są one w trakcie przestarzałego.

Cox ustalił, że 93,9 procent publicznych kluczy SSH opartych na RSA, które znalazł na GitHub miał 2048 bitów, a około czterech procent miało 1024 bity. Znalazł 2 klucze, które miały tylko 256 bitów i 7, które miały 512 bitów, co łatwo byłoby złamać.

Jednak te małe klucze nie były największym problemem. Znalazł wiele innych kluczy, które były słabe z powodu błędu w pakiecie OpenSSL rozprowadzanym z systemem Debian Linux, który został zidentyfikowany i załatany w maju 2008 r.

Błąd został wprowadzony we wrześniu 2006 r. I wpłynął na źródło przypadkowości używane przez liczbę losową generator podczas generowania kluczy. Z powodu tej luki, wszystkie klucze SSH i SSL utworzone w Debianie przez ten 20-miesięczny okres miały tylko 32 767 możliwości dla każdej architektury procesora, wielkości klucza i typu klucza.

Ponieważ atakujący mogli łatwo wykorzystać tę sytuację i złamać programiści Debiana i społeczność zajmująca się badaniami nad bezpieczeństwem doradzali wszystkim, którzy byli w tym czasie potencjalnie zagrożeni, aby zregenerować swoje klucze.

Wydaje się jednak, że wielu ludzi nie słuchało i te słabe klucze są wciąż używany dzisiaj, co znalazł Cox, kiedy porównał klucze, które zebrał z GitHub do kluczowej czarnej listy opartej na błędzie Debiana.

"Najbardziej przerażającą częścią tego jest to, że każdy mógł właśnie przełączyć wszystkie te klucze po prostu próbuje SSH w GitHub, aby zobaczyć banner, który ci daje ", powiedział Cox we wtorek w poście na blogu. "Można bezpiecznie założyć, że ze względu na niską barierę wejścia, użytkownicy, którzy mają złe klucze na swoich kontach, powinni zostać uznani za narażonych na szwank i wszystko, co pozwoliło, aby atak został naruszony przez klucz."

Oprócz własnych repozytoriów, niektórzy użytkownicy posiadający słabe klucze mieli dostęp do projektów stron trzecich, w tym "publicznych repozytoriów Spotify, publicznych repozytoriów Yandex, bibliotek kryptograficznych dla Pythona, rdzeń Pythona, Django, publicznych repozytoriów gov.uk, Couchbase i ruby ​​gem, który jest używany w dużej ilości systemów CI, "według Cox.

Cox powiedział, że GitHub został powiadomiony i odwołany klucze dotknięte przez błąd Debiana na początku maja i inne klucze niskiej jakości na początku czerwca .

"Jeśli niedawno otrzymałeś e-mail z informacją o odebraniu kluczy, to jest to ze względu na mnie, a jeśli tak, powinieneś naprawdę przejść i upewnić się, że nikt nie zrobił nic strasznego, ponieważ masz otworzyłem się na ludzi, którzy robią dla ciebie bardzo podłe rzeczy, przez najprawdopodobniej bardzo długi czas ", powiedział Cox na swoim blogu.

Użytkownicy ze słabymi kluczami SSH mieli dostęp do repozytoriów GitHub dla popularnych projektów

Użytkownicy ze słabymi kluczami SSH mieli dostęp do repozytoriów GitHub dla popularnych projektów

GitHub odwołał klucze, ale nie jest jasne, czy były kiedykolwiek nadużywane przez napastników

Najbardziej zagorzali użytkownicy konsoli Xbox One Preview będą mieli okazję przetestować system Windows 10 dla Xboksa

Najbardziej zagorzali użytkownicy konsoli Xbox One Preview będą mieli okazję przetestować system Windows 10 dla Xboksa

Microsoft puka w małą , aktywny podzbiór elementów podglądu konsoli Xbox One, aby pomóc przetestować nowe doświadczenie konsoli Xbox One.

Popularne posty

Call of Duty Franchise zbliża się do Chin jako darmowa gra online
Os-x

Call of Duty Franchise zbliża się do Chin jako darmowa gra online

  • 2024-07-06
Weź udział w ankiecie i wygraj iPada firmy Apple
Os-x

Weź udział w ankiecie i wygraj iPada firmy Apple

  • 2024-07-06
Verizon gra w niebezpieczną grę w Net Neutrality Battle
Os-x

Verizon gra w niebezpieczną grę w Net Neutrality Battle

  • 2024-07-06

Popularne kategorie

Top