[Technik] [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness

Peter Koellner peter at asgalon.net
Fri May 16 20:41:13 CEST 2008 

On Fri, 16 May 2008, Paul Hink wrote:

> Nein. Die Verschlüsselung einer ssh-Verbindung basiert nicht auf dem
> Login-Passwort des Users.

Äh... und wie sieht es mit dem Host-key aus?

> Was für Maßnahmen schlägst du konkret für Hostsharing vor?

Gute Frage. Das selbe Problem stellt sich auch für andere Server, auf
denen ich zu tun habe. Wenn ich mal ganz misstrauisch bin, würd ich
mich als erstes fragen, ob die Debian-Server mit den Paketen sicher
sind, so dass man eine Vergleichsbasis für einen sauberen Stand hätte.
Die sind ja eigentlich alle mit GPG signiert - fragt sich bloss, ob
die Sourcen an irgendeiner Stelle manipuliert werden konnten.
Ist das nicht der Fall, fällt Debian leider bis zur Bereinigung als
Basis aus, so gern ich das auch sonst verwende.
Wenn sichergestellt ist, dass die Originalpakete nicht kompromittiert
werden konnten, könnte man wohl checken, ob die binaries korrekt oder
manipuliert sind,

Ansonsten muss man wohl jenseits dieser Ad-Hoc-Spekulationen
herausfinden, was wirkich notwendig ist, um die Betriebssicherheit
entsprechend eines konsensfähigen Standards wiederherzustellen.
Mit extrem hohem Standard würde man da wohl die Platten
formatieren und von vorne anfangen.

Es wäre also nicht schlecht, das ganze in Risikogruppen aufzuteilen
und dann zu beschliessen, wie weit man gehen will oder sollte.

Das ist immer noch nicht sehr konkret. Ich denke, man kann nicht
den Leuten sagen, sie sollen ihre Schlüssel austauschen und dann zur
Tagesordnung übergehen. Nun würde ich mich auch nicht unbedingt als
den großen Sicherheitsexperten bezeichnen, deshalb brauche ich auch
Informationen von Leuten, die sich in der Praxis auskennen. Ich
denke eben, dass Sicherheitssysteme niemals auf Vertrauen
basieren können, sondern allein auf der Schwachstellenanalyse.

Der worst case ist ja, dass irgendwann Mitte 2006 jemand mitbekommen
hat, was da passiert ist und seitdem gezielt auf breiter Basis debian Systeme
ausspioniert und unterwandert.

Der best case ist, dass Luciano Bello der erste ist, der darüber
gestolpert ist. In dem Fall sind lediglich gezielte Angriffe auf
verwundbare Systeme seit Veröffentlichung des Advisories zu erwarten.

-- 
peter koellner <peter at asgalon.net>

More information about the Technik mailing list