Na semana passada o projeto Debian enviou um comunicado informando que, devido a uma modificação específica do Debian (realizada em 2006) no pacote openssl, as chaves criptográficas geradas nos sistemas afetados podem ser bem mais fracas do que deviam. (Saiba mais).
A correção para a falha de software não tardou, tanto no Debian quanto nos seus mais populares derivados, como o Ubuntu, que distribuíram o pacote ao longo destes meses todos. A correção inclui até mesmo um pacote com uma lista negra de chaves de autenticação ssh consideradas comprometidas, e um utilitário ssh-vulnkey capaz de verificar todas as chaves em locais padrão do seu sistema local em busca de problemas – se você roda Debian ou derivados e permite acesso via SSH, faça uma verificação completa o quanto antes!
E se você não roda, mesmo assim pode estar em risco, caso tenha algum dia gerado uma chave em uma máquina com o bug, e a exportado para outra máquina – mesmo que esta outra máquina não tenha o bug. Ou se recebeu em uma máquina sem bug uma chave gerada em uma máquina com bug. Vale verificar todas as máquinas em que você permite o acesso ssh via certificados, ou no mínimo todas as instâncias de arquivos ~/.ssh/authorized_keys* (e seus parentes, como ~/.ssh/id_rsa, ~/.ssh/id_dsa, ~/.ssh/identity, etc/ssh/ssh_host_dsa_key e /etc/ssh/ssh_host_rsa_key), removendo e substituindo entradas suspeitas ou inseguras.
Existem várias maneiras de tornar o acesso ssh menos vulnerável a ataques baseados em repetição de tentativas, e se você tiver dúvidas, talvez valha a pena suspender o serviço ssh em todos os locais em que ele não for absolutamente necessário, até que possa escolher o melhor curso de ação.
Para entender melhor a situação, leia também:
- How to avoid the Debian SSH key attacks
- Brute-Force SSH Server Attacks Surge (atenção às dicas nos comentários desta notícia do LWN)
- Strong passwords no panacea as SSH brute-force attacks rise
Saiba mais (computerworld.com.au).
