Hässlich

Crack-Tool für schwache Debian-Schlüssel im Umlauf

Nach der Enthüllung einer OpenSSH-Schwachstelle in Debian-basierten Maschinen gibt es nun erste Exploit-Werkzeuge.

Vor wenigen Tagen wurde eine OpenSSL-Sicherheitslücke in Debian- und Ubuntu-Systemen enthüllt, TecChannel berichtete. Durch eine Schwachstelle im Zufallsgenerator können Angreifer unter Umständen den Schlüssel schätzen. Nun gibt es erste Werkzeuge, Angriffe dieser Art zu automatisieren. HD Moor, Entwickler des Metasploit Framework, bezeichnete die Schwachstelle in Debian- und Ubuntu-Systemen als hässlich. Es würde eine große Aufgabe für Administratoren, jeden verwundbaren Schlüssel zu finden und auszuwechseln, fügte er an. Laut Moore ist es sehr einfach Schlüssel zu schätzen. Er selbst habe 1024- und 2048-bit-Keys in ungefähr zwei Stunden geknackt. Für stärkere Schlüssel würde man ungleich länger brauchen. Moore glaubt, dass man für einen 8192-RSA-Key ungefähr 3100 Stunden (129 Tage) brauche. Moore hat ebenfalls einen Schlüssel-Generator entwickelt.

Mit diesen Informationen in der Wildnis haben Sicherheits-Spezialisten die Warnglocken geläutet. Bojan Zdrnja vom Internet Storm Center sagte, dass dies sehr sehr sehr ernst und beängstigend sei. Es seien auch nicht nur Anwender betroffen, die Debian oder Ubuntu am Laufen haben sagte HD Moore. Eigentlich sei jeder diesem Risiko ausgesetzt. Es ließen sich auch Daten von Systemen stehlen, die einen von Debian generierten Schlüssel benutzen. Um absolut sicher zu sein, müssten Administratoren jeden Schlüssel, der zwischen September 2006 und dem 13. Mai 2008 erschaffen wurde, neu generieren. Seit 13. Mai gibt es ein Update für das Problem. Die Schwachstelle wurde das erste Mal im September 2006 eingebunden. Moore glaubt allerdings nicht an eine Massenattacke. Vielmehr würde man gezielte Angriffe auf Systeme sehen, die eine große Anzahl von Debian-Anwendern beherbergen. (jdo)