форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
Сообщение от opennews on 03-Июн-15, 22:54
Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал (https://blog.benjojo.co.uk/post/auditing-github-users-keys) результаты исследования надёжности SSH-ключей, используемых пользователями GitHub. Оценив 1.3 млн публичных ключей, которые размещены в открытом доступе и ассоциированы с аккаунтами GitHub, было выявлено, что до сих пор многие пользователи применяют ключи, сгенерированные в окружении Debian, содержащем пакет OpenSSL с неисправленной уязвимостью (http://www.opennet.dev/opennews/art.shtml?num=15846), в которой разработчики Debian комментированием двух строк кода поломали генератор случайных чисел. Уязвимость даёт  возможность предсказывать значение генератора случайных чисел и, соответственно, легко подбирать приватные ключи на основе публичных SSH-ключей (уязвимый OpenSSL позволяет генерировать только 32 тыс. вариантов ключей). Ошибка была внесена в 2006 году и устранена в мае 2008 года. Число пользователей GitHub с уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены у разработчиков, имеющих право коммита в репозитории компаний Яндекс, Couchbase и Spotify, в проекты gov.uk, в кодовую базу Python, фреймворк  Django и ruby gem. В настоящее время, GitHub уже отправил уведомления подверженным проблеме пользователям и заблокировал проблемные ключи. Кроме ключей, связанных с уязвимостью в OpenSSL, было выявлено несколько ключей подозрительно небольшого размера - семь ключей по 512 бит и два ключа по 256 бит. Подобный размер позволяет достаточно быстро выполнить подбор приватного ключа, например, на компьютере с процессором i5-2400  на подбор 512-битного ключа было потрачено менее трёх дней, а 256-битного - 25 минут. URL: http://arstechnica.com/security/2015/06/assume-your-github-a.../ Новость: http://www.opennet.dev/opennews/art.shtml?num=42357
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	–1 +/–
Сообщение от xaxaxa on 03-Июн-15, 22:54
поломали совершенно случайно (с)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	–1 +/–
Сообщение от Crazy Alex (ok) on 03-Июн-15, 22:54
Ну и динозавры, однако. Это же что надо делать, чтобы не проапдейтиться с тех пор? При апдейте с уязвимой версии SSH, насколько я помню, заставлял сменить ключи
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+4 +/–
	Сообщение от Аноним (??) on 03-Июн-15, 22:59
	Причём тут "уязвимой версии SSH" и "не проапдейтиться с тех пор". Проблема в том, что сгенерировали ключ в системе с уязвимой версией OpenSSL. OpenSSL потом успешно поправили, но про ключ забыли.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	7. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+2 +/–
	Сообщение от anonymous (??) on 03-Июн-15, 23:21
	При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на Ту Самую уязвимость.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	13. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от Crazy Alex (ok) on 04-Июн-15, 00:57
	Именно так
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	25. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от Andrey Mitrofanov on 04-Июн-15, 09:55
	> При обновлении openssl в дистрибутивах прилетает пакет openssl-blacklist, который включает Это он в Debian-е прилетел, у тебя, у меня (и, кстати, и тут openssh-blacklist{,-extra} можно деинсталировать -- вообще без вопросов; то же и с openSSL-blacklist{,-extra). Вопрос, собственно, пошли ли те BL-патчи в апстрим, _включая_ maint.-релизы, и др. дистрибутивные эко. [Да, я не в курсе. Исследователи "наверху" тоже не прояснили?] И как ловить неправильный ключ васи пупкина, который, например, на putty.exe. > утилиту openssl-vulnkeys, которая проверяет ключи на уязвимость, в том числе на > Ту Самую уязвимость. Утилит аж 3 штуки - usr/bin/openssl-vulnkey                              net/openssl-blacklist usr/bin/ssh-vulnkey                                     net/openssh-client usr/sbin/openvpn-vulnkey                           net/openvpn-blacklist , но встроена ли соотв.проверка в клиент и сервер? С руганью в консоль и логи?
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	32. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от Crazy Alex (ok) on 04-Июн-15, 13:51
	ну так где кривые ключи генерировали - там он и прилетел и поймал их. Как они окажутся на putty.exe? Разве что если какой дебил нарушил принцип "каждой машине - свой ключ/ключи" - ну так его проблемы, надо хоть как-то понимать, что делаешь.
	Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

	41. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от anonim (ok) on 14-Июн-15, 20:53
	Это Debian, детка!
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	–21 +/–
Сообщение от Аноним (??) on 03-Июн-15, 22:57
GitHub теперь сборище пидо%#сов, не фигурально, а буквально - https://github.com/blog/2016-support-lgbtq-tech-organization... начали продажу футболок с пропагандой ЛГБT, проводят конференции для разработчиков нетрадиционной ориентации. На первой странице их блога как минимум три заметки об ЛГБT.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+2 +/–
	Сообщение от Аноним (??) on 03-Июн-15, 23:10
	И что? Причём это на техническом ресурсе? Латентность покоя не дает?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	8. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+3 +/–
	Сообщение от Michael Shigorin (ok) on 03-Июн-15, 23:24
	> При чём это на техническом ресурсе? Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада. Где-то так и тут, увы. PS: ещё не удивлюсь, если вылезет какой-нить ярый доказатель того, что "дебиан был прав" и вообще всё это клевета, а на него найдётся очередная едкость у того же arisu.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

	11. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+4 +/–
	Сообщение от Аноним (??) on 03-Июн-15, 23:34
	То, что авторский коллектив джумлы недавно из детского садика, сразу видно по коду. Социально-политические выверты всегда раздражают. Не имею ничего против любых ориентаций, вероисповеданий и мнений, пока их мне никто не навязывает. Гей-пропаганда, впрочем, ровно так же отвратительна, как и российские пиарщики, оседлавшие волну госпропаганды с "антисанкциями" и прочими "крымнашами". Одного поля ягоды. Но при должном качестве продукта это все можно и игнорировать до определенной степени.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	31. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+2 +/–
	Сообщение от прохожий on 04-Июн-15, 13:31
	читаю новость, читаю коммент, читаю новость, казалось бы причем тут геи, но анонимные аналитики всегда найдут то что скрыто от нас... а может анонимных аналитиков очень волнует этот вопрос, закрадываются подозрения по поводу предпочтений анонимов
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	15. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
	Сообщение от Анончег on 04-Июн-15, 04:55
	> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток дурацких дырок в Joomla ... Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, чем какая-то непонятная Joomla.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	33. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
	Сообщение от Andrey Mitrofanov on 04-Июн-15, 14:33
	>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток > Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-F...Товарищ Фарфуркис, разберитесь!" > чем какая-то непонятная Joomla.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

	35. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+2 +/–
	Сообщение от Анончег on 05-Июн-15, 00:54
	>>> Вообще-то организационные и социальные выверты на технических аспектах тоже отражаются -- например, спрогнозировать многолетний непрестанный поток >> Мишаня, про Лисичку тоже не забываем, она народу поближе к телу будет, > "Народ уже давно требует беспощадного выкорчевы[8<]" http://www.phoronix.com/scan.php?page=news_item&px=systemd-F... >  "Товарищ Фарфуркис, разберитесь!" >> чем какая-то непонятная Joomla. Митрофанычъ, тов. Фарфуркис занят, бухает с Фёдором в стекляшке - обсуждают перспективы встраивания неонки в Joomla, и её дальнейшую рационализацию.
	Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

	19. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
	Сообщение от Аноним (??) on 04-Июн-15, 06:51
	> поток дурацких дырок в Joomla было достаточно просто, посмотрев на реакцию "авторского коллектива" по нескольким "конкурентным" вопросам и особенно почитав здесь же рассказ человека, который там попытался было заняться безопасностью и воспитанием этого детского сада. Django разрабы тоже потешили, нашелся затейник решивший привести код к полит корректности, убрать с програмного кода "master - slave" и прочие выражения заменив их на полит корректными. Остальная часть сообщества вместо того чтобы промолчать, жестко высказала всё что думает по поводу толерастии.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	22. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от a (??) on 04-Июн-15, 08:54
	https://code.djangoproject.com/ticket/22667 - это вот тут жестко высказали? Мимолетящие школьники на имиджборде имени жытхаба не есть сообщество.
	Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

	23. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+2 +/–
	Сообщение от Аноним (??) on 04-Июн-15, 09:27
	То есть мы будем судить о специалистах не по качеству работы, а по тому, кого и в какие места они трахают? МакКузик вот BSD запилил, а некоторые мои знакомые, не отличающиеся, как вы говорите, "вывертами", собственных детей воспитать не могут.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	9. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
	Сообщение от anonymous (??) on 03-Июн-15, 23:31
	какой кошмар! как дальше жить?!
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	27. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+4 +/–
	Сообщение от q (??) on 04-Июн-15, 10:16
	Как будто что-то плохое.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	–1 +/–
Сообщение от Аноним (??) on 03-Июн-15, 23:12
Тот редкий случай, когда я рад, что в 2007-м году пользовался FreeBSD. :-)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

12. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
Сообщение от Ahulinux (ok) on 03-Июн-15, 23:34
>у разработчиков, имеющих право коммита в репозитории компаний Яндекс <sarcasm>Вот где-где, а в яндексе не ожидал. Ps Небось девелопер из части по яндекс.директ
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
Сообщение от Аноним (??) on 04-Июн-15, 08:02
Надо юзать первоисточник - OpenBSD :)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	21. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от Аноним (??) on 04-Июн-15, 08:25
	http://cs5.pikabu.ru/post_img/2014/03/02/7/1393754312_160050...
	Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

26. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
Сообщение от Andrey Mitrofanov on 04-Июн-15, 09:59
>Ошибка была внесена в 2006 > году и устранена в мае 2008 года. Число пользователей GitHub с > уязвимым SSH-ключом оказалось достаточно велико. Например, проблемные ключи были выявлены > у разработчиков, имеющих право коммита в репозитории Хорошо, что коммиты b тарболы подписывают gpg.   Пока снова не грянет? > ключа было потрачено менее трёх дней, а 256-битного - 25 минут.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
Сообщение от Мызасмысл on 04-Июн-15, 10:19
> Бен Кох (Ben Cox), инженер из компании CloudFlare, опубликовал А с чего это он "Кох", когда он Кокс?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	29. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+3 +/–
	Сообщение от Andrey Mitrofanov on 04-Июн-15, 10:32
	>> Бен Кох (Ben Cox), инженер > А с чего это он "Кох", когда он Кокс? Чтобы не орпагандировать. Чёрную металлургию.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	37. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+1 +/–
	Сообщение от Аноним (??) on 05-Июн-15, 10:11
	Веп Сох, по-моему.
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	39. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от б.б. on 05-Июн-15, 12:11
	а палочка кокса у него есть?
	Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

	40. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
	Сообщение от anonymous (??) on 05-Июн-15, 15:27
	> а палочка кокса у него есть? Может и есть. Но никто не знает что такое "палочка кокса". Поэтому невозможно сказать есть ли она у него.
	Ответить | Правка | ^ к родителю #39 | Наверх | Cообщить модератору

38. "Выявлена порция уязвимых SSH-ключей доступа к GitHub"	+/–
Сообщение от б.б. on 05-Июн-15, 12:11
я помню, как-то при то ли создании нового репозитория, толи ещё при какой-то операции на github (примерно год-полтора назад) при вводе пароля успел подумать, что я не тот пароль ввожу - но уже автоматом ввёл и нажал enter... так этот github дажее не подавился, и сделал всё, что нужно. (вот так я стал хакиром)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема