1 июня некоторые пользователи Github получили уведомления об отзыве своих SSH-ключей. Теперь понятно, кто виноват в этом. Это хакер Бен Кокс (Ben Cox), который вытянул все ключи и нашёл среди них сотни уязвимых.
Сейчас он признался и объясняет, зачем это сделал. Кокс начинает с того, что на Github в доступе для каждого аккаунта лежат публичные SSH-ключи тех, кто авторизован на нём (например, torvalds.keys).
Это хорошая вещь для передачи ключа при организации доступа к аккаунту, но в то же время позволяет потенциальному злоумышленнику собрать большую базу публичных SSH-ключей.
Бен Кокс наткнулся на эту функцию в 2013 году, но тогда очень мало людей заходили на Github в режиме SSH, а вот сейчас — другое дело, ключи есть почти у всех, кто совершал коммиты. Так что Кокс засучил рукава и взялся за работу.
Так, по состоянию на 9 января 2015 года
Имеют ключи: 1 372 262
Не имеют ключи: 142 180
Самым популярный тип, ожидаемо, RSA.
Статистика по длине ключа.
Семеро разработчиков выбрали ключ длиной 512 бит, а двое — 256 бит.
Затем Бен вспомнил про баг Debian OpenSSH, где источник случайных чисел был скомпрометирован до такой степени, так что система могла выдавать только 1 из 32000 возможных ключей в наборе. Проверив по базе тех скомпрометированных ключей, автор нашёл ещё довольно много пользователей, которые используют такие скомпрометированные ключи. В том числе кто-то, кто добавляет код в репозитории «Яндекса».
Всё это совсем не радует. Если даже на Github ситуация с защитой данных не идеальна, что уж говорить обо всех остальных, далёких от технической элиты.
Фото: uxutdallas@flickr
04.06.2015 в 02:32
I like new xakep.ru design (:
Jeffrey Davis
04.06.2015 в 12:38
А я считаю, что замки на почтовых ящиках в подъезде все ненадёжные.
04.06.2015 в 13:19
Что сделали с сайтом, изверги? Читать невозможно!
04.06.2015 в 15:10
Хакеры проклятые. Мозги хакают
Alex G
04.06.2015 в 17:45
Щтаа? Нащальнике…
http://cryptopunks.org
04.06.2015 в 22:25
Сначала подумал что дизайн отвалился. Прошлый был намного круче и удобней. Да и вообще я не понимаю зачем так часто менять дизайны у сайта? Ну ладно раз в 5 лет, но не каждый же год.
http://cryptopunks.org
04.06.2015 в 22:28
Включил временно яваскрипт и о боже…какая-то менюшка на пол экрана (не верите? держите пруф: http://i.imgur.com/lLnu2Dx.png), по бокам какие-то всплывающие фреймы, ужас. Неужели вы действительно думаете что ЭТО можно назвать юзерфрендли?
ЗЫ надеюсь что это просто ещё сырой дизайн и его допилят. Иначе буду под elinks/emacs ваш ресурс читать
06.06.2015 в 08:58
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Админы!!! Верните прежний дизайн сайта!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
15.06.2015 в 17:24
Вы уже зае… всех со своими планшетными дизайнами ! У нормального человека стационарный комп с мышкой.
28.06.2015 в 09:36
Супер дизайн.
Харе ныть уже.)