Μου στείλανε το παρακάτω σήμερα, και στο e-mail έλεγε ότι πρέπει να αλλάξω τα SSH keys για να αρχίσω να χρησιμοποιώ διαφορετικά πρωτόκολλα:
https://bitbucket.org/blog/ssh-host-key-changes
ΟΚ ως εδώ, αλλά μέσα στο λινκ λέει ότι τους κλέψανε encrypted SSH keys. Αυτό είναι πολύ πιο σοβαρό απ' ότι έλεγε το e-mail. Έχουν ανακοινώσει κάτι και το έχασα; Το να αλλάξω τα SSH keys είναι μεγάλος μπελάς, γιατί τα χρησιμοποιώ σε πολλά μέρη...
Εμφάνιση 1-5 από 5
Θέμα: bitbucket breach
-
16-05-23, 14:18 bitbucket breach #1
-
16-05-23, 23:38 Απάντηση: bitbucket breach #2
Σε ενημερώνει ότι θα κάνουν rotate τα HOST keys του server τους.
To HOST key είναι για να επιβεβαιώσει ο ssh client ότι μπαίνει πράγματι κάθε φορά στον ίδιο server που μπήκε την πρώτη φορά (και που εσύ δέχτηκες να το εμπιστευτείς πατώντας "yes" ότι εμπιστεύεσαι το κλειδί αυτό)
Μετά το rotate που θα κάνουν ο ssh client σου -αν δεν κάνεις στο μεταξύ κάτι άλλο- θα κλωτσήσει και θα πει ωπ, κάτι άλλαξε εδώ και αυτός που πάω να μπω δεν είναι αυτός που αρχικά "εμπιστεύτηκες".
Δεν έχει να κάνει με τα δικά σου προσωπικά ssh κλειδιά και δεν χρειάζεται να αλλάξεις τίποτα πουθενά εφόσον το/τα private key από το/τα ζευγάρια των κλειδιών σου ήταν, είναι και παραμένει στην κατοχή σου και το εμπιστεύεσαι ακόμα και φυσικά δεν έχει διαρρεύσει και είσαι ο μοναδικός που το κατέχει.
Η αλλαγή των πρωτοκόλλων/crypto algorithms είναι σωστή/συνηθισμένη τακτική τα τελευταία χρόνια και σίγα-σιγά με κάθε ευκαιρία γυρνάμε σε ECDSA και Ed25519. O RSA αλγόριθμος μας υπηρέτησε 40 χρόνια και είναι καιρός να αποσυρθεί ένδοξα από νεότερους/ταχύτερους/διαφορετικούς αλγόριθμούς για το καλό του οικοσυστήματος
Ολοι οι μοντέρνοι ssh clients υποστηρίζουν πλέον κλειδιά που έχουν παραχθεί με ECC αλγόριθμους.Τελευταία επεξεργασία από το μέλος dpap76 : 16-05-23 στις 23:50.
-
17-05-23, 00:14 Απάντηση: bitbucket breach #3
Τα ξέρω αυτά, αλλά εκτός από το rotation με ενημερώνει και για ένα breach, και ρωτάω αν έχουν ανακοινώσει κάτι και το έχασα, ή απλά "κρύβουν" την ανακοίνωση μέσα στο rotation.
-
17-05-23, 00:28 Απάντηση: bitbucket breach #4
άποψη μου είναι ότι έντεχνα το κρύβουν (?) στην ανακοίνωση. Δεν ανακοινώνεις έτσι ξαφνικά το rotate και τόσο σύντομα σαν να καίγεται ο ποπός σου
>> We recently learned that encrypted copies of Bitbucket’s SSH host keys were included in a data breach of a third-party credential management vendor.
και προφανώς δεν βγάζεις ανακοίνωση αν σου "κλέψουν" το public key άρα με τον όρο 'host keys' υπονοείται ότι διέρρευσαν τα private keys του host -> αρά κάποιος μπορεί να τα χρησιμοποιήσει για MITM attack.
-
17-05-23, 02:37 Απάντηση: bitbucket breach #5
Στα λόγια μου είσαι! Κανονικά είναι υποχρεωμένοι να ανακοινώνουν τέτοια γεγονότα, για να δούμε αν θα τη σκαπουλάρουν
Bookmarks