Gepubliceerd: Woensdag 27 augustus 2008
Het Computer Emergency Readiness Team waarschuwt voor 'actieve aanvallen' tegen Linux-gebaseerde infrastructuren die gebruik maken van gecompromitteerde SSH-sleutels.
Toon volledig artikel
Zou er verband kunnen zijn met de afgelopen week gerapporteerde hacks van enkele linux distro sites ?
Neen, waarschijnlijk niet.
Dit artikel en waarschijnlijk ook de informatie waar het vandaan komt, zijn hoofdzakelijk een hoop leuke woorden die de aandacht trekken.
SSH op linux systemen liggen permanent onder vuur. Meestal door zwakke wachtwoorden. En uiteraard moet je dan aan privilege escalation doen. Wat de naam van die rootkit is en waar ze vandaan komt maakt niet zo'n schitterend groot verschil. En ook dat ssh keys buit gemaakt worden is al zo oud als de straat.
kopieke maken van ~/.ssh en van de apache SSL keys als het een webserver is. Doet men al jaren.
ook weten ze eigenlijk niets kijk naar deze woorden:
vermoedt
dat vermoedelijk is afgeleid
Details ... zijn verder niet bekend.
Mogelijk is er
Ze weten precies niets, en vertellen niets nieuws. Je kan met die zwakke sleutels van debian trouwens enkel in een aantal gevallen echt inloggen.
US-CERT raadt systeembeheerders
Dat was het belangrijkste, de naam in de media gooien. En ze geven natuurlijk wel degelijk advies. Een beetje zoals wanneer iemand aanraad niet te snel te rijden. Hij heeft gelijk, iedereen wist er al van, en degeen die het ervoor al niet deden zullen nu niet beginnen, en er zullen nog accidenten gebeuren.
Dat dit de media haalt, is vanzelfsprekend, er staat "aanval" en "Linux" in dezelfde zin. En het ziet er verstandiger uit dan wanneer ze nog eens in de netbios boom kruipen.
Klinkt inderdaad als een grote berg FUD.
Als je mensen echt zinvol wil waarschuwen, geef dan meer details. Niet zo van: er zou wel eens een aanval kunnen komen, we weten niet precies hoe, we weten geen verdere details, we weten niet precies waarom, maar kijk eens kritisch naar alle plekken waar ssh keys gebruikt worden.
Wat moet je daar nou mee?!?
Dat Open-SSH van Debian een fout bevat mag intussen oud nieuws genoemd worden. Ik ben blij dat US-CERT het nieuws nu ook eindelijk heeft opgepikt. Het is goed dat ze hiervoor waarschuwen, maar aan de andere kant ook irritant dat ze schrijven alsof ze ergens de alarmbel hebben horen luiden maar niet echt goed weten waar de klepel hangt.
Precies! Want sleutels stelen en die gebruiken is juist het enige wat NIET nodig is bij die OpenSSL bug. Je kunt gewoon al de zwakke sleutels zelf maken en uitproberen. De bijbehorende wachtwoorden zijn daarbij niet eens relevant. Dat er vervolgens andere sleutels gestolen worden, is niet specifiek voor deze ssh-bug.
Maar in het algemeen moet je altijd al opletten. Shell-toegang als normale user levert in veel gevallen ook wel root access op, of anders wellicht een kernel panic. En daarnaast kan een machine waar je alleen als normale user mee kunt werken, alsnog worden ingezet in een botnet. Om spam te versturen bijvoorbeeld. Of om een chatsessie met het koninklijk huis plat te leggen :-P
Om te kunnen reageren, dient u ingelogd te zijn.
2 jaar geleden: 13 februari 2010
3 jaar geleden: 13 februari 2009
4 jaar geleden: 13 februari 2008
5 jaar geleden: 13 februari 2007
14 jaar geleden: 13 februari 1998
IDG Nederland is uitgever van: AppFish
, CIO, Computer!Totaal, Computerworld, ITworld, Jobworld, MacWorld, RAW fotomagazine, TechFish, Tips & Trucs, Webwereld en Zoom.nlMeer informatie: IDG Nederland, IDG.com, Privacy-statement, Cookie-statement Hosting by Terremark.
