9:00
31/5/2010

Ludzie często potrzebują szybko wykonac jakąś czynność, np. przekonwertować .doc na .pdf. Co wtedy robią? Odpalają Google, szukają programu/webaplikacji która im to umożliwi i bez zastanowienia nad konsekwencjami — bo czas goni! — korzystają z niej. Ale wygoda! Zamiast instalować jakieś narzędzie u siebie, korzystamy ze strony internetowej!

Niestety, nikt nie zastanawia się nad konsekwencjami i bezpieczeństwem korzystania z webaplikacji. I pal sześć, jeśli sprawa dotyczy przekonwertowania .wav na .mp3 …ale w momencie kiedy chodzi o klucze kryptograficzne do serwera, a szukającym jest administrator a nie słitaśna nastolatka, to tego typu nieroztropność nadaje się na podwójny *facepalm* (gdy jeden to za mało).

sshkeygen.com

Jest sobie taka strona, która zachęca do generowania klucz SSH. Za darmo rzecz jasna. Trzeba tylko podać imię i nazwisko właściciela, nazwę firmy i IP domeny na której klucze będą wykorzystywane. Opcjonalnie można wybrać ich długość i hasło do materiału klucza… :>

Formularz generowania klucza SSH na sshkeygen.com

Strona, co prawda lojalnie ostrzega:

Na ciebie spada odpowiedzialność zapewnienia bezpieczeństwa transmisji wygenerowanego klucza na twój komputer

…ale nie na tym polega jej fail. BTW: do tego celu idealnie nadałby się SSL, który ostatnio tak mocno reklamowała Google, a którego implementacja akurat w przypadku Google nie do końca zapewnia “poufność” transmisji.

Gdzie leży prawdziwy problem?

Nikt nie ma pewności, czy sshkeygen.com przypadkiem nie kopiuje generowanych przez siebie kluczy, a jego właściciel wieczorami nie wybiera się na “login-party” po cudzych serwerach — w końcu wszystkie dane (IP serwera, klucz + hasło) ma podane na tacy.

Podobnie naiwne projekty

Niedawno opisywaliśmy podobny projekt, którego celem było sprawdzenie czy dany numer karty kredytowej jest w rękach cyberprzestępców. Tamten serwis został celowo stworzony, żeby edukować naiwniaków i dzięki odpowiedniej budowie chronił wprowadzane w niego dane.

Patrząc jednak na stronę “about” serwisu sshkeygen.com można odnieść wrażenie, że w tym przypadku autor rzeczywiście wierzy w przydatność narzędzia i nie dostrzega ogromnego wręcz Security Faila generowania klucza na obcej, niezaufanej maszynie. Jak na ironie, na stronie znajduje się nawet zestaw porad, jak bezpiecznie przeprowadzać procedurę generowania klucza SSH:

Szewc bez butów chodzi?

Spróbujmy jednak dowiedzieć się czegoś więcej o serwerze na którym hostowana jest ta strona:

na tym samym serwerze co sshkeygen.com znajdują się także inne strony

Na tym samym serwerze znajdują się jeszcze dwie inne strony — jedna z nich związana z “hackingiem“… No cóż, ci co wygenerowali sobie hasła via sshkeygen.com, albo polecają tę stronę (jak ostatnio robi to sporo “znanych” serwisów i blogów), muszą chyba mocno wierzyć, że autor jest white-hat hackerem ;-)

My nie wierzymy i stanowczo odradzamy korzystanie z tej strony!

Powrót z przeszłości?

Idea tego serwisu śmieszy mnie tym bardziej, że już w 2006 roku zażartowałem sobie, że GMail powinien umożliwiać generowanie kluczy i szyfrowanie korespondencji:

Mój żart sprzed 4 lat ktoś wziął na serio...

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

13 komentarzy

Dodaj komentarz
  1. Lol… W sumie to dłuższy czas temu wzdychałem do możliwości obsługi GPG w gmail’u (ostatecznie podpiąłem imap gmailowy pod kmail), ale żeby tak wklejać swój tajny klucz czy wręcz generować je na serwerze? To jest wręcz niewiarygodne, że ktoś mógłby z czegoś takiego skorzystać.

  2. FireGPG ze wsparciem dla Gmaila?

  3. Autor strony sshkeygen.com tworzy(stara się) coś na wzór certum z ssl z tym, że za darmo :D

  4. Do wygenerowania klucza na sshkeygen.com nie jest konieczne podanie danych w formularzu.

    • @Łukasz: Niestety, bezpieczeństwo układu wcale nie polega na tym, czy dane w formularzu zostały podane poprawnie ;)

  5. To może ktoś sie pokusi o postawienie wirtualki, wygenerowanie klucza w tym serwisie i logowanie – czy nikt się nie loguje :>

    Mozna jeszcze dodąc jakąś chwytną domenę ;)

  6. apropo tego PGP, to FireGPG jak ktoś napisał wyżej?

  7. W tytule macie ssh-keygen, a w treści sshkeygen. Zdecydujcie się.

  8. Strona stoi już od jakiegoś czasu (nawet chyba pisalem cos o tym), ciekawe ile osób tego użyło ;]. Ironą jest to że (przynajmiej w unixach) wygenerowanie klucza z linii komend jest szybsze niż przeklejanie go z weba do plików.

    Sama idea to nic nowego, widziałem parę podobnych stron tyle że z generatorami do apachowy htpasswd.

    Teoretycznie dałoby się to zrobić bezpiecznie (generowanie przez jscript “client-side”) ale kto ma czas na inspekcję kodu strony czy jest secure ma czas na wygenerowanie go z commandline.

    Akurat w GMailu nie byłoby to (aż) tak głupie, kwestia tego jak bardzo ufa się google i ich zabezpieczeniom. Chociaż na pewno haseł bym tak nie słał, po co google ma je sobie indeksować ;]

  9. […] na serwery – szybko, wygodnie i (zazwyczaj) bezpiecznie. Czy na pewno? Dzisiejszy artykuł na Niebezpieczniku pokazuje, że […]

  10. […] W ten sam sposób można znaleźć klucze kryptograficzne (SSH, PGP) — składni zapytania domyślcie się […]

  11. Jest taka zasada: nie ufaj nikomu.
    BTW: PK, co chciałeś od prezydenta USA?

  12. Facehoof

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: