Kali Linux verliest toegang tot signing key, waarschuwt voor updateproblemen
De ontwikkelaars van Kali Linux, een populaire Linux-distributie voor forensics en penetratietests, hebben de toegang tot de signing key van de repository verloren. Daardoor moest er een nieuwe key worden gegenereerd. Gebruikers moeten deze nieuw key nu handmatig installeren, anders krijgen ze met updateproblemen te maken. Dat hebben de ontwikkelaars in een blogposting bekendgemaakt.
Kali Linux beschikt over honderden tools voor het uitvoeren van penetratietests, security audits en digitaal forensisch onderzoek. De signing key wordt tijdens het updaten gebruikt voor het verifiëren van de authenticiteit van packages. Na ontdekking dat er geen toegang meer tot de signing key was werd er niet alleen een nieuwe key door de ontwikkelaars gemaakt, maar ook de repository bevroren. Sindsdien zijn er geen updates uitgebracht.
Deze week willen de ontwikkelaars weer updates gaan uitbrengen. Die updates zijn echter gesigneerd met de nieuwe key. De Kali Linux-installatie bij gebruikers kent deze key niet wat voor problemen zal zorgen als gebruikers via 'apt update' hun updates willen binnenhalen. Om dit te voorkomen moeten gebruikers handmatig de nieuwe key installeren. Daarbij adviseren de ontwikkelaars om de checksum van de nieuwe key te controleren.
De Kali-ontwikkelaars benadrukken dat hun key niet is gecompromitteerd. "Zoals je kunt zien hebben we de oude key nog steeds in de keyring zitten. Als die was gecompromitteerd hadden we die verwijderd en een revocation certificaat aangeboden." Het is niet de eerste keer dat Kali-gebruikers handmatig hun key moeten updaten. In 2018 lieten de ontwikkelaars per ongeluk de GPG-key verlopen.
Mijn eigen gemeente deed dat onlangs met de PGP-key waardoor een kwetsbaarheid niet meer te melden is via versleutelde e-mail.
Is het dan zo moeilijk om een nieuwe key aan te maken als de oude verlopen is?
Mijn eigen gemeente deed dat onlangs met de PGP-key waardoor een kwetsbaarheid niet meer te melden is via versleutelde e-mail.
Is het dan zo moeilijk om een nieuwe key aan te maken als de oude verlopen is?
Zeker niet, maar 'het moet snel even moet worden gedaan' en 'de documentatie doen we later wel' zijn ongetwijfeld boosdoeners in zulke situaties.
Maar wie gebruikt er dan ook Kali? Hackers gebruiken dit echt niet, zij gebruiken gewoon hun eigen distro met de tools die ze nodig hebben.
Misschien een scriptkiddie of wat wanna-be hackers.
Mijn eigen gemeente deed dat onlangs met de PGP-key waardoor een kwetsbaarheid niet meer te melden is via versleutelde e-mail.
Is het dan zo moeilijk om een nieuwe key aan te maken als de oude verlopen is?
Ja.
Niet technisch moeilijk, maar makkelijk te laten gebeuren als het infrequent nodig , en (natuurlijk) berust bij één senior admin, want een ding dat maar 1x per jaar (of per twee jaar) nodig is wordt amper geoefend , is of niet bekend bij de juniore teamleden, en als het gebeurd durven ze niks te doen en wachten wel tot de senior terug is van vakantie.
Of misschien dat bij jouw gemeente de IT hobby nerd wat anders is gaan doen, en dan verloopt zo'n "niet officieëe" optie heel snel want zo'n opvolger snapt het niet of boeit het niet of wist niet eens dat dat ook "bestond".
Tip voor aanstaande ITers - automatiseren ,
Maar wie gebruikt er dan ook Kali? Hackers gebruiken dit echt niet, zij gebruiken gewoon hun eigen distro met de tools die ze nodig hebben.
Misschien een scriptkiddie of wat wanna-be hackers.
Tuurlijk, als het stuk is dan was het eigenlijk niet nodig. True Scotsman fallacy.
Uit de publieke sleutel voor de repository kan je niet de geheime sleutel maken om dingen in de repository mee te ondertekenen. En de geheime sleutel is verloren.
Met GPG is het mogelijk een revocation certificate te maken en die te bewaren voor als de geheime sleutel gestolen is. Zodat deze ingetrokken kan worden. https://gnupg.org/faq/gnupg-faq.html#define_rev_cert
Wat wel zo is, is dat we maar moeten geloven dat de nieuwe sleutel in handen van de Kali maintainers is. Iedereen kan een verhaal ophangen als deze, maar helaas kan je er niets aan doen als het echt zo is. Je zult ergens iets moeten vertrouwen.
De updates die met de oude sleutel ondertekend zijn blijven natuurlijk werken zolang de oude publieke sleutel in je installatie zit. Er zullen echter geen nieuwe updates meer mee ondertekend zijn.
Mijn eigen gemeente deed dat onlangs met de PGP-key waardoor een kwetsbaarheid niet meer te melden is via versleutelde e-mail.
Is het dan zo moeilijk om een nieuwe key aan te maken als de oude verlopen is?
Tssk, het is ook slecht als je niet de optie krijgt een expired key alsnog te gebruiken. Mijn pgp keys hebben geen houdbaarheids datum, als ze compromised zijn trek ik ze wel in.
Maar wie gebruikt er dan ook Kali? Hackers gebruiken dit echt niet, zij gebruiken gewoon hun eigen distro met de tools die ze nodig hebben.
Misschien een scriptkiddie of wat wanna-be hackers.
Tip voor aanstaande ITers - automatiseren ,
Tsja, daar zeg je me wat. Ik zit sinds '99 te systeembeheren, en inderdaad: Automatiseren in de IT: Daar schort het nogal aan. Nog steeds.
;-)
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
CISO & Adviseur Informatieveiligheid
Wil jij een sleutelrol spelen bij de informatie-veiligheid van onze gemeente? Ben je zowel strategisch sterk als praktisch ingesteld? Dan hebben wij een uitdagende functie voor jou! Als Chief Information Security Officer (CISO) én Adviseur Informatieveiligheid vervul je een essentiële rol in onze organisatie.
Cybersecurity Trainer / Full Stack Developer
bij Certified Secure
Ben je toe aan een nieuwe nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?