1 июня некоторые пользователи Github получили уведомления об отзыве своих SSH-ключей. Теперь понятно, кто виноват в этом. Это хакер Бен Кокс (Ben Cox), который вытянул все ключи и нашёл среди них сотни уязвимых.

Сейчас он признался и объясняет, зачем это сделал. Кокс начинает с того, что на Github в доступе для каждого аккаунта лежат публичные SSH-ключи тех, кто авторизован на нём (например, torvalds.keys).

Это хорошая вещь для передачи ключа при организации доступа к аккаунту, но в то же время позволяет потенциальному злоумышленнику собрать большую базу публичных SSH-ключей.

Бен Кокс наткнулся на эту функцию в 2013 году, но тогда очень мало людей заходили на Github в режиме SSH, а вот сейчас — другое дело, ключи есть почти у всех, кто совершал коммиты. Так что Кокс засучил рукава и взялся за работу.

Так, по состоянию на 9 января 2015 года
Имеют ключи: 1 372 262
Не имеют ключи: 142 180

Самым популярный тип, ожидаемо, RSA.

003

Статистика по длине ключа.

004

Семеро разработчиков выбрали ключ длиной 512 бит, а двое — 256 бит.

Затем Бен вспомнил про баг Debian OpenSSH, где источник случайных чисел был скомпрометирован до такой степени, так что система могла выдавать только 1 из 32000 возможных ключей в наборе. Проверив по базе тех скомпрометированных ключей, автор нашёл ещё довольно много пользователей, которые используют такие скомпрометированные ключи. В том числе кто-то, кто добавляет код в репозитории «Яндекса».

Всё это совсем не радует. Если даже на Github ситуация с защитой данных не идеальна, что уж говорить обо всех остальных, далёких от технической элиты.

Фото: uxutdallas@flickr

10 комментариев к записи Хакер перехватил сотни уязвимых ключей SSH пользователей Github

10 комментариев

  1. Аватар

    04.06.2015 в 02:32

    I like new xakep.ru design (:

  2. Аватар

    Jeffrey Davis

    04.06.2015 в 12:38

    А я считаю, что замки на почтовых ящиках в подъезде все ненадёжные.

  3. Аватар

    04.06.2015 в 13:19

    Что сделали с сайтом, изверги? Читать невозможно!

  4. Аватар

    http://cryptopunks.org

    04.06.2015 в 22:25

    Сначала подумал что дизайн отвалился. Прошлый был намного круче и удобней. Да и вообще я не понимаю зачем так часто менять дизайны у сайта? Ну ладно раз в 5 лет, но не каждый же год.

  5. Аватар

    http://cryptopunks.org

    04.06.2015 в 22:28

    Включил временно яваскрипт и о боже…какая-то менюшка на пол экрана (не верите? держите пруф: http://i.imgur.com/lLnu2Dx.png), по бокам какие-то всплывающие фреймы, ужас. Неужели вы действительно думаете что ЭТО можно назвать юзерфрендли?

    ЗЫ надеюсь что это просто ещё сырой дизайн и его допилят. Иначе буду под elinks/emacs ваш ресурс читать

  6. Аватар

    06.06.2015 в 08:58

    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
    Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

  7. Аватар

    15.06.2015 в 17:24

    Вы уже зае… всех со своими планшетными дизайнами ! У нормального человека стационарный комп с мышкой.

  8. Аватар

    28.06.2015 в 09:36

    Супер дизайн.
    Харе ныть уже.)

Оставить мнение