OpenSSH: Predictable PRNG in debian and ubuntu Linux

Copying from SANS Internet Storm Center diary:

Debian and Ubuntu Linux users should look into their OpenSSH setup. It turns out the used PRNG (Pseudo Random Number Generator) used was predictable.

Remember patching isn’t enough, you need to regenerate keys generated on these machines! Including those used in SSL certificates (X.509).

Worse: even good keys apparently can be exposed due to this. Quoting from the Debian reference below:

«Furthermore, all DSA keys ever used on affected Debian systems for signing or authentication purposes should be considered compromised; the Digital Signature Algorithm relies on a secret random value used during signature generation.«

So merely using your (good) keys on an affected machine might be enough to get the key itself compromised.

Advertisements

Ημερίδα ΑΔΑΕ στη Θεσσαλονίκη (part 2)

Mini-report από την παρακολούθηση της Ημερίδας της ΑΔΑΕ στη Θεσσαλονίκη:

  • Οι περισσότεροι μπερδεύουν την ΑΔΑΕ με την ΑΠΔΠΧ (ακόμα και ο πρύτανης του ΑΠΘ στο χαιρετισμό του).
  • Οι μισές παρουσιάσεις/ερωτήσεις ήταν σχετικές με (κινητή) τηλεφωνία, και προσωπικά με βρήκαν αδιάφορο (πήγα για το Internet κομμάτι, όχι για το mobile)..
  • Τα νομικά πάντα μου φαίνονται ενδιαφέροντα (αν και οι περισσότεροι κοιμόταν σ’αυτές τις παρουσιάσεις) γιατί καταρρίπτουν πολλούς μύθους που μπορεί να υπάρχουν σε τέτοια θέματα..
  • Δημήτρης Γκρίτζαλης: Από τους ανθρώπους που χαίρεσαι να παρακολουθείς να μιλάνε.. Καταπληκτική παρουσίαση για την Ασφάλεια Πληροφοριών και Προστασία Κρίσιμων Υποδομών. Αν τον «πετύχετε» σε κάποια άλλη ημερίδα/ομιλία σίγουρα να τον ακούσετε.
  • Το Ολοκληρωμένο Πληροφοριακό Σύστημα (portal) της ΑΔΑΕ θα είναι έτοιμο μέχρι 1 ΔΕΚ 2008. Για να δούμε αν θα είναι όσο καλό είναι το νέο portal της ΑΠΔΠΧ.
  • Οι συμβουλές της ΕΕΧΙ που δώθηκαν στην ημερίδα μέσω του Νίκου Βασιλάκου και της Ελενας Σπυροπούλου βρίσκονται εδώ (well done, keep it up!).

Μετά το φαγητό έφυγαν τουλάχιστον οι μισοί, και έμειναν ελάχιστοι στη συζήτηση που έγινε στο τέλος.. Εγώ πάντως χάρηκα που παραβρέθηκα και συμμετείχα στην εκδήλωση..

Υ.Γ. Προς τους admins του ee.auth.gr που έκαναν μια πολύ ενδιαφέρουσα τεχνική παρουσίαση: Πολύ ωραία όλα όσα κάνατε μέχρι τώρα, αλλά βάλτε όσο πιο σύντομα μπορείτε έναν remote syslog για όλα σας τα συστήματα και φυλάξτε τον σαν κόρη οφθαλμού.

Ημερίδα ΑΔΑΕ στη Θεσσαλονίκη

Η Αρχή Διασφάλισης του Απορρήτου των Επικοινωνιών, σε συνεργασία με τον Τομέα Τηλεπικοινωνιών του Τμήματος Ηλεκτρολόγων Μηχανικών και Μηχανικών Υπολογιστών του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης, διοργανώνει ημερίδα με θέμα:

ΠΡΟΣΤΑΣΙΑ ΑΠΟΡΡΗΤΟΥ ΤΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ ΚΑΙ ΑΥΤΟΠΡΟΣΤΑΣΙΑ ΧΡΗΣΤΩΝ ΚΑΙ ΣΥΝΔΡΟΜΗΤΩΝ

Στόχος της ημερίδας είναι να παρουσιάσει τις τεχνολογικές εξελίξεις σε θέματα ασφάλειας των επικοινωνιών, καθώς και να ενημερώσει τους χρήστες και συνδρομητές σχετικά με τα προληπτικά μέτρα αυτοπροστασίας στις ηλεκτρονικές επικοινωνίες.

Η ημερίδα θα πραγματοποιηθεί στις 11 Απριλίου 2008 και ώρα 9:30-18:00, στο Αμφιθέατρο Π. Δ. Παναγιωτόπουλος του Αριστοτελείου Πανεπιστημίου Θεσσαλονίκης.

Το αναλυτικό πρόγραμμα και δηλώσεις συμμετοχής υπάρχουν στο www.adae.gr.

ENISA Quarterly Magazine Q4 2007

ENISA Quarterly Magazine is always good to read.. The 4th Quarter 2007 issue is now available online at ENISA’s website.
In this issue the focus is on Secure Software. Here is a quick sample of the articles you will find in this issue:

  • From the World of Security Experts
    • Cycles of Software Crises
    • The Whys and Hows of Assuring Secure Software
    • Technology Leaders Tackle Software Assurance
    • The 10 Most Common Sins of Software Developers
    • Security Skills of Software Developers
    • Leading the Way to More Secure Software
    • Providing Assurance for Security Software ? Insights into the Common Criteria
  • From our own Experts
    • ENISA Position Papers: Network and Information Security risks affecting Social Networks, Reputation Systems, and Botnets
    • Towards a European Information Sharing and Alerting System
  • Food for Thought
    • Stop using the Traffic Analogy for NIS!