Luka w Debianie poważniejsza niż przypuszczano

HD Moore, znany specjalista ds. bezpieczeństwa, ostrzega, żeniedawno odkryta dziura w generatorze liczb pseudolosowych systemu Debianjest niezwykle poważna. Co prawda pojawiła się już odpowiednia poprawka, jednak, jakzauważa HD Moore, prawdziwym wyzwaniem dla administratorów będzieodnalezienie i poprawienie wszystkich kluczy stworzonych za pomocąwadliwego generatora. Ekspert informuje, że luka umożliwia stosunkowo łatwe odgadywaniekluczy. Jemu samemu udało się w ciągu zaledwie 2 (!) godzinwygenerować 1024- i 2048-bitowe klucze. Zauważa przy tym, żestworzenie dłuższego klucza jest znacznie bardziej pracochłonne.Jego zdaniem prace nad 8192-bitowym RSA trwałyby około 3100 godzin(129 dni). Moore udostępnił narzędzia przydatne do tworzeniakluczy. Podobnie uczynił haker "Markus M.". Inni specjaliści, tacy jak Bojan Zdrnja z Internet Storm Center czyeksperci zatrudnieni w Symanteku, po opublikowaniu rewelacji HDMoore'a, stwierdzili, że problem jest rzeczywiście niezwyklepoważny. Opracowanie automatycznego skryptu, który generuje kluczeto zagrożenie dla serwerów SSH na całym świecie - stwierdziłZdrnja. Co gorsza, problem nie ogranicza się tylko do użytkownikówDebiana i pochodnych systemów (Ubuntu, Knoppix). Na atak narażonesą również te platformy, na które skopiowano dane zabezpieczonekluczami wygenerowanymi przez Debiana. Trzeba będzie sprawdzić wiele różnych systemów, nie tylko Debiana.Administratorzy muszą przyjrzeć się każdemu kluczowi. Nawetsystemy, na których nie jest uruchamiane oprogramowanie dla Debianapowinny być na wszelki wypadek sprawdzone, gdyż mógł zostać w nichużyty klucz wygenerowany pod Debianem - ostrzega Moore. Ekspercimówią, że należy sprawdzić każdy klucz, który powstał pomiędzywrześniem 2006 a 13 maja bieżącego roku. Zdaniem Moore'a nie powinniśmy spodziewać się jakiegoś wielkiego,ogólnoświatowego ataku. Cyberprzestępcy skupią się raczej naposzczególnych atrakcyjnych celach.