Тату Илонен (Tatu Ylonen), автор технологии SSH, сказал, что чувствует «моральный долг» предупредить всех об одной малоизвестной, но очень серьёзной проблеме, которая угрожает безопасности конфиденциальной информации во многих компаниях мира.

Илонен говорит, что проблема не в самом методе шифрования SSH, а в системе управления ключами. Обычной практикой является то, что в сети разрешено произвольное создание, копирование и хранение ключей SSH, при этом отсутствует грамотная система управления. Самое опасное, когда старые ключи уволенного сотрудника продолжают храниться в файле ~/.ssh/authorized_keys, хотя они больше не используются.

По этой причине огромное количество компаний по всему миру де-факто уязвимы перед злоумышленниками, которые могут относительно легко найти ключ и получить неавторизованный доступ. «Ни одна компания, которая нам известна, не осуществляет систематическое изменение и удаление старых ключей», — сказал Тату Илонен.

«В самом худшем сценарии, большинство данных на серверах каждой компании в развитом мире будет уничтожено», — сказал Тимо Илонен. По его словам, худший сценарий предполагает создание компьютерного вируса, который бы автоматически использовал слабость в конфигурации SSH, проникал в систему, уничтожал данные — и распространялся дальше.

Дон Фергус (Don Fergus), эксперт из компании Patriot Technologies Inc., в интервью Washington Times сказал, что похожая ситуация присутствует и в государственных сетях, в том числе в тех, где хранится секретная информация.

Тимо Илонен описывает всю серьёзность ситуации: из-за подобной уязвимости в системе аутентификации можно считать дискредитированными 90% случаев коммерческого аудита компаний, потому что нет гарантии цельности данных. Вот какую опасность несёт слабость в конфигурации системы SSH.

Для нормального управления ключами SSH нужно использовать соответствующие утилиты, такие как Puppet, Chef и Salt.



Оставить мнение