Il famoso ricercatore H.D. Moore ha pubblicato alcune sue osservazioni circa la scoperta di un bug nella gestione delle chiavi crittografiche all’interno della distribuzione Debian Linux. Moore ha documentato nel dettaglio le cause del problema di sicurezza spiegando come sia possibile, per un aggressore, impossessarsi delle chiavi generate – ad esempio – per OpenSSL.
Secondo il ricercatore “tutte le chiavi SSL e SSH generate su sistemi basati su Debian, quindi anche Ubuntu Kubuntu e così via, tra il mese di Settembre 2006 ed il 13 Maggio 2008 sono potenzialmente a rischio”. Moore spiega come l’impatto della vulnerabilità sia davvero notevole: “nel caso delle chiavi SSL, tutti i certificati digitali che sono stati sino ad oggi generati, devono essere necessariamente ricreati e reinviati all’autorità di certificazione. Tutti gli amministratori di sistema che consentono agli utenti di accedere ai server attraverso una connessione SSH e l’utilizzo di un meccanismo di autenticazione a chiave pubblica, debbono controllare ogni singola chiave in modo tale da verificare che non sia stata prodotta su un sistema vulnerabile. Ogni strumento software che si sia affidato all’algoritmo “pseudo-random number generator” PRNG utilizzato anche da OpenSSL per rendere sicuro il trasferimento dei dati può essere oggetto, a sua volta, di attacchi. Ogni server SSH che utilizzi una chiave generata su un sistema vulnerabile, è soggetto alla decodifica del traffico cifrato in transito attraverso un attacco man-in-the-middle”. Moore conclude puntualizzando che “la vulnerabilità è particolarmente pericolosa perché anche i sistemi che non fanno uso di software Debian debbono essere controllati, nel caso in cui le chiavi crittografiche impiegate siano state create su sistemi Debian o distribuzioni derivate”.
Gli utenti di Debian e distribuzioni Linux derivate possono usare il comando apt-get upgrade
per sostituire le chiavi vulnerabili. Chi utilizza Ubuntu Linux può installare le patch di sicurezza rilasciate ieri. Moore fa presente, però, che queste attività di aggiornamento del sistema non risolvono definitivamente il problema, ad esempio, delle chiavi “deboli” usate per firmare certificati digitali o copiate su altri server.
Nella crittografia, l’attacco dell'”uomo in mezzo” ovvero “man-in-the-middle attack” consente all’aggressore di leggere, inserire o modificare a piacere i messaggi scambiati tra due interlocutori che nessuno di essi sia in grado di sapere se il collegamento sia stato compromesso.
Per sottolineare la gravità del problema e quanto la vulnerabilità sia diffusa e rischiosa, lo stesso Internet Storm Center ha elevato al livello “giallo” l’indicatore pubblicato sul suo sito web.