Пользователи со слабыми ключами SSH имели доступ к репозиториям GitHub для популярных проектов

Ряд высокопоставленных репозиториев исходного кода, размещенных на GitHub, можно было модифицировать с использованием слабых SSH-аутентификационных ключей, предупреждал защитник безопасности.

В потенциально уязвимые репозитории входят те, которые относятся к потоковой передаче музыки Spotify, российская интернет-компания Yandex, правительство Великобритании и инфраструктура веб-приложений Django.

Ранее в этом году исследователь Бен Кокс собрал общедоступные ключи SSH (Secure Shell) пользователей, имеющих доступ к хранилищам, размещенным в GitHub, используя один из функции платформы. После анализа он обнаружил, что соответствующие частные ключи могут быть легко восстановлены для многих из них.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В протоколе SSH используется криптография с открытым ключом, что означает что для аутентификации пользователей и шифрования их соединений требуется пара с частным открытым ключом. Сервер, настроенный на прием SSH-соединений от пользователей, должен знать свои соответствующие открытые ключи, и пользователям необходимо иметь соответствующие закрытые ключи.

Если используется сильный алгоритм и достаточно большой размер ключа, не должно быть возможно восстановить закрытый ключ из открытого ключа. Тем не менее, это не то, что Cox обнаружил для «очень большого» числа пользователей GitHub, некоторые из которых имели доступ к SSH для некоторых крупных и популярных программных проектов.

Исследователь собрал 1376 262 общедоступных SSH-ключа от GitHub и определил, что 97,7 % из них использовали алгоритм RSA. Для RSA, рекомендуемый в настоящее время размер составляет 2048 бит, в то время как сила 1024-битных ключей спорен, и они находятся в процессе осуждаются.

Кокс определил, что 93,9 процента ключей публичного SSH RSA на основе он нашел на В GitHub было 2048 бит, а около четырех процентов - 1024 бит. Он нашел 2 ключа, которые имели только 256 бит и 7, которые имели 512 бит, что было бы легко сломать.

Однако эти малогабаритные ключи не были самой большой проблемой. Он нашел много других ключей, которые были слабыми из-за ошибки в пакете OpenSSL, распространяемого с Debian Linux, который был идентифицирован и исправлен в мае 2008 года.

Ошибка была введена в сентябре 2006 года и затронута источником случайности, используемой случайным числом генератор при генерации ключей. Из-за недостатка, любые SSH и SSL-ключи, созданные на Debian в течение этого 20-месячного периода, имели только 32 767 возможностей для каждой архитектуры процессора, размера ключа и типа ключа.

Потому что это было легко для злоумышленников использовать эту ситуацию и разбить в системах, использующих законные учетные записи пользователей, разработчики Debian и сообщество исследователей безопасности советовали всем, кто, возможно, был затронут в то время, чтобы восстановить свои ключи.

Однако кажется, что многие люди не слушали, и эти слабые клавиши все еще используется сегодня, и это то, что обнаружил Кокс, сравнивая ключи, собранные им из GitHub, в ключевой черный список, основанный на ошибке Debian.

«Самая страшная часть этого заключается в том, что любой мог просто пропустить все эти ключи просто пытается SSH в GitHub увидеть баннер, который он дает вам », сказал Кокс во вторник в сообщении в блоге. «Было бы безопасно предположить, что из-за низкого барьера входа для этого, пользователи, у которых есть плохие ключи на своих учетных записях, должны считаться скомпрометированными и все, что допускало, что ключевой элемент мог быть атакован злоумышленником».

В дополнение к своим собственным хранилищам некоторые пользователи со слабыми ключами имели доступ к сторонним проектам, включая «публичные репозиции Spotify», публичные репозитории «Яндекса», крипто-библиотеки для Python, ядро ​​Python, публичные репозиции Django, gov.uk, Couchbase и рубиновый жемчуг, который используется на большом количестве систем CI », согласно Коксу.

Кокс сказал, что GitHub был уведомлен и отозван ключами, затронутыми ошибкой Debian в начале мая и другими некачественными ключами в начале июня .

«Если у вас есть или в последнее время получили электронное письмо об отзыве ваших ключей, это из-за меня, и если у вас есть, вам действительно нужно пройти и убедиться, что никто не сделал ничего страшного для вас, так как у вас есть открылись для людей, которые очень важны для вас, что, скорее всего, очень долгое время », - сказал Кокс в своем блоге.