Der Sicherheitsforscher Ben Cox fand heraus, dass einige Github-Nutzer auf schwache und verwundbare Schlüssel setzten, um SSH-Verbindungen zu dem Quellcode-Hoster aufzubauen. Diese könnten Angreifer aufbrechen und so Zugang zu den Projekten erhalten. Der Sicherheitsforscher untersuchte mehr als 1,3 Millionen öffentliche SSH-Schlüssel von Github-Accounts und berichtet davon in seinem Blog.

Viele SSH-Schlüssel sollen aufgrund des Debian-OpenSSH-Bugs von 2008 verwundbar sein. Außerdem sollen einige Nutzer auf Schlüssel mit 512 oder sogar nur 256 Bit setzen, welche mit relativ geringer Rechenkraft geknackt werden können. Rund 25 Minuten habe Cox für das Aufbrechen eines 256-Bit-Schlüssels mit einer Mittelklasse-CPU gebraucht.

Die Github-Projekte von Spotify und Python sollen laut Cox zum Beispiel auf verwundbare Schlüssel setzen. Im März habe er Github davon in Kenntnis gesetzt. Demnach sollen die verwundbaren Schlüssel nicht mehr aktiv sein.

(kt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE