GovCERT: Debian OpenSSL-lek treft ook niet-Debian gebruikers
Overheidsinstelling GovCERT waarschuwt voor het zeer ernstige lek in de OpenSSL-implementie van de Linux-distributie Debian dat een aantal dagen geleden werd ontdekt. Deze factsheet beschrijft de achtergronden van deze kwetsbaarheid, de mogelijke gevolgen en geeft advies over de stappen die men kan nemen om de gevolgen voor organisaties beperkt te houden. Als gevolg van het lek zijn alle sleutels die in de afgelopen anderhalf jaar met OpenSSL op Debiansystemen zijn gegenereerd eenvoudig te kraken.
Het gaat hierbij niet alleen om SSH-sleutels, maar ook OpenVPN-sleutels, DNSSec-sleutels en sleutelmateriaal dat gebruikt wordt in X.509-certificaten en SSL/TLS-sessies. Praktisch gezien heeft dit dus effecten op de veiligheid van diverse beveiligingscomponenten, zoals de toegang tot SSH-servers, VPN-concentrators en beveiligde verbindingen met onder meer webservers en mailservers. Een belangrijk aandachtspunt is dat het lek ook gebruikers en bedrijven treft die geen Debian gebruiken.
zijn te kraken, ja dan is het goed hommeles.
Ik heb meteen m'n ububtu bakkies nog even geupdate: een hele
serie OpenSSL patches. Wat ik wel cool vind van Ubuntu is
dat in dezelfde update de door de kwetsbare OpenSSL
gegenereerde certificaten worden vernieuwd. Met de melding:
als je hier niets van snapt gewoon op OK drukken :-)
Heb ik niet goed opgelet of is er inderdaad nog geen FUD van Mickey Soft
voorbij gekomen met als centrale thema dat open source software zuigt?
Elk brok software heeft fouten, dat komt omdat het mensen werk is en
mensen maken eenmaal fouten. En van fouten moet je niet gaan vingerwijzen
want dat heeft helemaal geen zin maar daar moet je van leren zodat ze niet
vaker voorkomen.
een bedrijf is het inderdaad een hoop werk, zeker als je die
nieuwe SSL certificaten opnieuw moet laten ondertekenen door
een CA.
Verder je VPN en SSH sleutles vervangen valt wel mee als je
je systeem goed hebt ingericht. Dan staan die sleutels
zoveel mogelijk op een veilig stukje van je bestandssysteem
en kun je ze -desnoods in een bash-scriptje- allemaal
vernieuwen. Ik heb er zeggen-en-schrijven 1 uur werk aan gehad.
Verder denk ik dat "Mickeysoft" gewoon nog even wacht en
lekker in z'n vuistje aan het lachen is. :-) Laat ze maar
gaan: wij weten heus wel beter, en laten we blij zijn dat er
zo'n ophef over wordt gemaakt: dan is iedereen zo snel
mogelijk weer veilig. Gebruikers van een commercieel OS
worden zelden of nooit zo goed geïnformeerd over dit soort
security issues...
Heb ik niet goed opgelet of is er inderdaad nog geen FUD van Mickey Soft
voorbij gekomen met als centrale thema dat open source software zuigt?
Elk brok software heeft fouten, dat komt omdat het mensen werk is en
mensen maken eenmaal fouten. En van fouten moet je niet gaan vingerwijzen
want dat heeft helemaal geen zin maar daar moet je van leren zodat ze niet
vaker voorkomen.
Nou een discussie over welk OS beter is, vind ik zowiezo zinloos maar dit is
geen normale fout die overal kan voorkomen.
Het is typisch een Open Source zwakheid wat hier is gebeurd. Ook is dit nu
precies de manier waarop iemand een onopvallend achterdeurtje kan
inbouwen.
Als ik een inlichtingendienst zou zijn die wil meeluisteren wat er over de lijn
gaat dan is dit de manier waarop ik te werk zou gaan.
Misschien zou ik het iets subtieler aanpakken als er een kans in zit dat
hierdoor mijn eigen land veel economische schade zou kunnen ondervinden.
Als mijn vijanden/concurrenten Debian gebruikers zouden zijn, en mijn land op
OS11 zou draaien dan lijkt het me een aantrekkelijk grapje.
kijk, daar heb je je FUD
"het is typisch een open source zwakheid wat hier is gebeurd"
kijk, daar heb je je FUD
de wereld in helpen.
Wie heeft te maken met deze kwetsbaarheid?
Indien u binnen uw organisatie gebruik maakt van Debian of
afgeleide systemen als Ubuntu-varianten (Kubuntu, Edubuntu)
of Knoppix, heeft u vrijwel zeker te maken met deze
kwetsbaarheid. Sleutelmateriaal dat gemaakt is op de
betreffende systemen is in dit geval kwetsbaar.
De eerste versie van OpenSSL die deze kwetsbaarheid bevatte
was versie 0.9.8c-1 op Debian. De kwetsbaarheid is nu
opgelost door Debian in de versies 0.9.8c-4etch3 (voor de
stable Debian-distributie) en 0.9.8g-9 (voor de unstable
Debian-distributie).
Als u binnen uw organisatie geen gebruik maakt van Debian of
afgeleiden, dan bent u mogelijk toch getroffen. Het kan
namelijk zijn dat u binnen uw organisatie sleutelmateriaal
gebruikt dat gemaakt is op Debian-systemen.
De vraag is of en hoe je kan nagaan of je sleutelmateriaal
op een Debian-systeem gemaakt is. Dat zou wat herstelwerk
kunnen schelen.
Op de Metasploit-pagina die in de fact-sheet genoemd wordt,
beschrijft men exact de fout (oss, handig!):
The Bug
On May 13th, 2008 the Debian project announced that Luciano
Bello found an interesting vulnerability in the OpenSSL
package they were distributing. The bug in question was
caused by the removal of the following line of code from
md_rand.c
MD_Update(&m,buf,j);
[ .. ]
MD_Update(&m,buf,j); /* purify complains */
These lines were removed because they caused the Valgrind
and Purify tools to produce warnings about the use of
uninitialized data in any code that was linked to OpenSSL.
You can see one such report to the OpenSSL team here.
Removing this code has the side effect of crippling the
seeding process for the OpenSSL PRNG. Instead of mixing in
random data for the initial seed, the only "random" value
that was used was the current process ID. On the Linux
platform, the default maximum process ID is 32,768,
resulting in a very small number of seed values being used
for all PRNG operations.
Kort gezegd zijn er enkele regels verwijderd, die problemen
gaven met andere software. Daarbij is iets principieels
vergeten. Waarom zou dat typisch iets voor open source
software zijn?
Een eigenlijk logische fout als deze kan iedereen toch maken?
Dat de ontwikkelaars alleen maar symptomen bestreden hebben,
zien we wel vaker in software-land.
"het is typisch een open source zwakheid wat hier
is gebeurd"
kijk, daar heb je je FUD
context is pas FUD
de wereld in helpen.
natuurlijk *kan* het mis gaan, zoals hier gebleken is. Maar
dat is bij open source software waar de hele wereld mee kan
kijken nog steeds moeilijker dan bij closed source. Als je
als inlichtingendienst een mannetje op een vertrouwde plek
in een software bedrijf dat closed software maakt krijgt kan
die heel wat meer schade doen dan iemand op een vertrouwde
plek in een open source project.
Nou een discussie over welk OS beter is, vind ik zowiezo
zinloos maar dit is
geen normale fout die overal kan voorkomen.
Het is typisch een Open Source zwakheid wat hier is gebeurd.
Ook is dit nu
precies de manier waarop iemand een onopvallend
achterdeurtje kan
inbouwen.
als je daar een probleem mee hebt sla ik er op los"
Want dat doe je in feite.
Maar ik begrijp uit jouw verhaal dat jij liever niet weet
welke achterdeurtjes in jouw systeem zitten? Want dat
Microsoft achterdeurtjes heeft, is inmiddels genoegzaam
bekend. Ook het feit dat Microsoft inmiddels actief
opsporingsinstanties helpt om achterdeurtjes te
vinden/gebruiken op Windows-computers is ook bekend.
Maar jij vind één lek in een Open Source programma een
typisch voorbeeld waarom je geen Open Source zou moeten
gebruiken...
Welterusten!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
