Archief
- De topics van lang geleden
OpenSSH SSL op Debian, Ubuntu, Knoppix etc.
Public/private key pairs die op Debian of afgeleide systemen (zoals Ubuntu en Knoppix) zijn gegenereerd sinds september 2006 moeten als gecompromitteerd worden beschouwd (en moeten dus, indien mogelijk, worden ge-revoked). Het betreft hier keys die kunnen worden gebruikt door OpenSSH, OpenVPN, DNSSEC, sleutels voor X.509 certificaten alsmede sleutels gebruikt bij SSL/TLS verbindingen.
De oorzaak is dat de Debian maintainers per ongeluk een stuk sourcecode in de PRNG (Pseudo Random Number Generator) hebben uitgeschakeld waardoor de 'randomness' van de gegenereerde getallen grotendeels is uitgeschakeld. Het gevolg is dat met een beperkt aantal sleutelparen brute-force attacks kunnen worden uitgevoerd met goede kans van slagen.
Volgens [url=http://www.debian.org/security/2008/dsa-1571]Debian[/url] zijn keys gegenereerd door GnuPG en GnuTLS niet betroffen en dus wel betrouwbaar.
Meer info: [url=http://isc.sans.org/diary.html?storyid=4414]OpenSSH: Predictable PRNG in debian and ubuntu Linux (SANS)[/url]
[url=http://www.debian.org/security/2008/dsa-1576]Debian OpenSSH advisory[/url]
[url=http://www.debian.org/security/2008/dsa-1571]Debian OpenSSL advisory[/url]
[url=http://www.ubuntu.com/usn/usn-612-1]Ubuntu advisory[/url]
[url=http://www.links.org/?p=328]Rant en toelichting[/url] van [url=http://en.wikipedia.org/wiki/Ben_Laurie]Ben Laurie[/url]
Exploit: [url=http://metasploit.com/users/hdm/tools/debian-openssl/]Metasploit[/url]
De oorzaak is dat de Debian maintainers per ongeluk een stuk sourcecode in de PRNG (Pseudo Random Number Generator) hebben uitgeschakeld waardoor de 'randomness' van de gegenereerde getallen grotendeels is uitgeschakeld. Het gevolg is dat met een beperkt aantal sleutelparen brute-force attacks kunnen worden uitgevoerd met goede kans van slagen.
Volgens [url=http://www.debian.org/security/2008/dsa-1571]Debian[/url] zijn keys gegenereerd door GnuPG en GnuTLS niet betroffen en dus wel betrouwbaar.
Meer info: [url=http://isc.sans.org/diary.html?storyid=4414]OpenSSH: Predictable PRNG in debian and ubuntu Linux (SANS)[/url]
[url=http://www.debian.org/security/2008/dsa-1576]Debian OpenSSH advisory[/url]
[url=http://www.debian.org/security/2008/dsa-1571]Debian OpenSSL advisory[/url]
[url=http://www.ubuntu.com/usn/usn-612-1]Ubuntu advisory[/url]
[url=http://www.links.org/?p=328]Rant en toelichting[/url] van [url=http://en.wikipedia.org/wiki/Ben_Laurie]Ben Laurie[/url]
Exploit: [url=http://metasploit.com/users/hdm/tools/debian-openssl/]Metasploit[/url]
Reacties (6)
15-05-2008, 22:57 door
Bitwiper
Nieuws van vandaag:
[list][*][url=http://isc.sans.org/diary.html?date=2008-05-15]SANS Internet Threat Level naar geel[/url] en raadt dringend aan om vooral OpenSSH installaties te checken. [*]Markus Müller heeft een exploit gepubliceerd op [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062339.html]Full Disclosure[/url] welke door [url=http://www.milw0rm.com/exploits/5622]milw0rm[/url] is overgenomen. [*]Alexander Klink [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062342.html]meldt [/url] dat hij alle root certificates in de Windows en Mozilla CA store (d.w.z. in je browser) heeft gecontroleerd op 'foute' door Debian's OpenSSL gegenereerde sleutels. Goed nieuws: geen problemen hier.[/list]
[list][*][url=http://isc.sans.org/diary.html?date=2008-05-15]SANS Internet Threat Level naar geel[/url] en raadt dringend aan om vooral OpenSSH installaties te checken. [*]Markus Müller heeft een exploit gepubliceerd op [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062339.html]Full Disclosure[/url] welke door [url=http://www.milw0rm.com/exploits/5622]milw0rm[/url] is overgenomen. [*]Alexander Klink [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062342.html]meldt [/url] dat hij alle root certificates in de Windows en Mozilla CA store (d.w.z. in je browser) heeft gecontroleerd op 'foute' door Debian's OpenSSL gegenereerde sleutels. Goed nieuws: geen problemen hier.[/list]
26-05-2008, 23:39 door
Bitwiper
Helaas, met het revoken en vervangen ([url=http://www.verisign.com/press_releases/pr/page_043712.html]veelal kosteloos[/url]) van kraakbare certificaten (d.w.z. met een zwakke public key waaruit de private key eenvoudig te herleiden is) zijn de problemen niet opgelost, zoals 'Niclas" [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062535.html]hier op full-disclosure[/url] uitlegt.
Met een oud kraakbaar certifcaat van bijv. een bank zijn MITM aanvallen mogelijk. Hoe werkt dit? Als je vanaf jouw PC een https verbinding opzet met site X, en iemand die jouw verkeer onderschept beschikt over een oud en kwetsbaar certificaat van X, dan kan die persoon Y zich voordoen als site X door het oude certificaat naar jouw PC te sturen. Als jouw browser niet checkt op revocation (in de praktijk doen browsers dit niet of nauwelijks) zal er een mooi slotje verschijnen. Als vervolgens persoon Y in jouw plaats een https verbinding met de echte site X opzet kan Y jouw gegevens met X uitwisselen en meekijken, of desgewenst on-the-fly wijzigen.
Niclas verwijst in zijn [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062535.html]FD post[/url] naar [url=http://blog.fefe.de/?ts=b6c9ec7e]Fefes Blog[/url]; Fefe vertelt hierin dat o.a. hij over het certificaat en de recovered private key van 'a248.e.akamai.net' beschikt. In [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062537.html]deze post op FD[/url] geeft Alexander Klink aan dat hij zo'n kwetsbaar certificaat van een grote Duitse bank heeft ontdekt.
Met een oud kraakbaar certifcaat van bijv. een bank zijn MITM aanvallen mogelijk. Hoe werkt dit? Als je vanaf jouw PC een https verbinding opzet met site X, en iemand die jouw verkeer onderschept beschikt over een oud en kwetsbaar certificaat van X, dan kan die persoon Y zich voordoen als site X door het oude certificaat naar jouw PC te sturen. Als jouw browser niet checkt op revocation (in de praktijk doen browsers dit niet of nauwelijks) zal er een mooi slotje verschijnen. Als vervolgens persoon Y in jouw plaats een https verbinding met de echte site X opzet kan Y jouw gegevens met X uitwisselen en meekijken, of desgewenst on-the-fly wijzigen.
Niclas verwijst in zijn [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062535.html]FD post[/url] naar [url=http://blog.fefe.de/?ts=b6c9ec7e]Fefes Blog[/url]; Fefe vertelt hierin dat o.a. hij over het certificaat en de recovered private key van 'a248.e.akamai.net' beschikt. In [url=http://lists.grok.org.uk/pipermail/full-disclosure/2008-May/062537.html]deze post op FD[/url] geeft Alexander Klink aan dat hij zo'n kwetsbaar certificaat van een grote Duitse bank heeft ontdekt.
als je revocation niet checkt dan klopt het hele model waar
ssl op is gebaseerd niet meer...
ssl op is gebaseerd niet meer...
30-05-2008, 17:50 door
dim
En hoe worden de revocation servers gecontroleerd? :) Ik zie
bijna altijd gewoon http:// in de URLs ervan; gesteld dat je
de DNS overneemt, dan zijn de CRL's ook eenvoudig te spoofen...
bijna altijd gewoon http:// in de URLs ervan; gesteld dat je
de DNS overneemt, dan zijn de CRL's ook eenvoudig te spoofen...
03-09-2008, 22:19 door
pc-guru
ssh is niet zo veilig als men wil doen geloven, de timing aanvallen om usernames te achterhalen op een remote systeem werkt ook nog steeds.
06-09-2008, 11:39 door
wimbo
Door Anoniemals je revocation niet checkt dan klopt het hele model waar
ssl op is gebaseerd niet meer...
Vergeet niet dat de oudere Internet browsers geen SSL CRL checks deden. Dat was standaard uitgezet. J emoest het als gebruiker expliciet aanzetten in de settings (ophalen van een CRL kost tijd en dat gaat ten koste van de 'browse experience').ssl op is gebaseerd niet meer...
Door dim
[...]
En hoe worden de revocation servers gecontroleerd? :) Ik zie
bijna altijd gewoon http:// in de URLs ervan; gesteld dat je
de DNS overneemt, dan zijn de CRL's ook eenvoudig te spoofen...
[...]
En hoe worden de revocation servers gecontroleerd? :) Ik zie
bijna altijd gewoon http:// in de URLs ervan; gesteld dat je
de DNS overneemt, dan zijn de CRL's ook eenvoudig te spoofen...
Het spoofen van een crl is een stuk lastiger dan je denkt. Een crl wordt nml ook digitaal ondertekend door de CA. Dus je moet ook nog eens te maken hebben met een vulnerable CA keypair.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.