Ekspert: Linux-hul er ganske alvorligt

Den danske sikkerhedsvirksomhed Crypthomatic kalder SSL-hullet i Debian-distributionen for alvorligt. Virksomheden frygter, at hackere vil gå målrettet efter systemer, som ikke er blevet opdateret.

Det nyligt opdagede hul i OpenSSL under Linux-distributionen Debian får den danske sikkerhedsvirksomhed Cryptomathic til at løfte en advarende pegefinger.

»Set fra et sikkerhedsperspektiv er det ganske alvorligt, da private nøgler kan være ganske lette at finde, hvis de er genereret med dette program (f.eks. Debian OpenSSL). Dette kan omfatte SSL-servernøgler, hvilket igen betyder, at SSL forbindelser, som er oprette med disse nøglepar i realiteten ikke har givet nogen ekstra sikkerhed,« oplyser teknisk direktør i Crypthomatic Torben Pryds Pedersen overfor Version2.

Han peger dog på, at sikkerhedsproblemet i forhold til det, han kalder gammel kommunikation, formentlig ikke er så stort igen.

»For gammel kommunikation, som ikke er aflyttet, betyder det ikke så meget, da SSL-nøglen kun bruges til at beskytte data under kommunikation, mens data er eller bør være beskyttet på anden måde, når først det er modtaget på serveren. Man kan sige, at brugen af SSL har ikke hjulpet, men hvis kommunikationen ikke er blevet aflyttet og lagret, så er der ikke sket nogen skade,« oplyser Torben Pryds Pedersen.

Men nu, hvor der er kommet fokus på sikkerhedshullet, frygter han imidlertid, at hackere vil gå målrettet efter systemer, som endnu ikke er blevet opdaterede.

»Den fremtidige kommunikation vil nok blive endnu mere udsat, idet flere kriminelle vil indse, at brugen af SSL ikke er en forhindring. SSL vil her give en falsk sikkerhedsfornemmelse,« fortæller han.

Torben Pryds Pedersen opfordrer alle, der kunne tænkes at være berørt at sikkerhedshullet til at få opdateret deres Debian-baserede styresystemer og SSL-nøgler hurtigst muligt.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Peter Makholm Blogger

Der er to ting det er vigtigt at slå fast:

1) Hvis man har brugere er det ikke kun Debian-maskiner der er i risiko-gruppen. 2) Det er ikke nok bare at opdatere.

Da det ikke (kun) er selve krypteringen af data der er kompromiteret, men selve genereringen af nøgler er sakden ikke begrænset til maskiner der kører Debian eller Debian-afledte linux-distributioner. Hvis man kører servere hvor brugere har ssh-adgang, så kan man være i risiko-gruppen uanset hvilket styresystem man bruger.

Jeg ved ikke lige om ssh-vulnkey værktøjet der kommer med Debians sikkerhedsopdatering er let-tilgængeligt. Men ellers er der et værktøj skrevet i perl på: http://search.cpan.org/dist/Dowse-BadSSH/. Ikke helt veldokumenteret på den side, men tryk browse og find bin/dowkd.pl for en forklaring.

  • 0
  • 0
#5 Morten Grouleff

Måske var der nogen, der prøvede allerede i perioden op til fikset kom ud?

http://stats.denyhosts.net/stats.html

Måske er grafen endda for lav omkring peak'et, da min maskine i peak-perioden havde svært ved at uploade nye blokkerede hosts. Men det er ren spekulation fra min side...

Min egen maskine oplevede en kraftig stigning i antallet af forbindelsesforsøg startende d. 12/5 kl 04:00. I modsætning til "normalen" var det med en meget bred vifte af brugernavne, stort set i alfabetisk orden, fra en bred vifte af IP-numre. De fik så ret få forsøg hver især på grund af DenyHosts systemet. Om de forsøgte med public/private keys eller med password ved jeg desværre ikke, da min sshd ikke logger den oplysning.

  • 0
  • 0
#6 Ib Erik Söderblom

Den journalistiske linje hos Version2 er - IGEN - ikke den skarpeste ! De lærer det måske nok en dag, hvor de bliver modne nok til, at turde stå på egne selvstændigt tænkende ben, uden Microsoft. Hvorfor kommer jeg altid til at tænke på Stockholm-syndrom, i samme sekund jeg tænker på Microsoft ?

En god uddybende kilde (som jornalisterne hér tilsyneladende ikke har benyttet, tiltrods for, at den er åbentlyst relevant): http://wiki.debian.org/SSLkeys

Ja den er rigtig rigtig grim ! (sikkerhedshullet, altså)

At det ender med, at indføre store positive kode-kontrol foranstaltninger i hele Linux miljøet er en sag, som de færreste medier gider forholde sig til. Dét ville jo kræve opsøgende journalistik og en masse kildegranskning!

  • 0
  • 0
Log ind eller Opret konto for at kommentere