vectorfusionart - Fotolia

Doppelte und unsichere SSH-Schlüssel wie bei Linode sind kein Einzelfall

Unsichere SSH-Schlüssel wie bei Linode sind nicht neu. Ob in globalen Firmen oder IT-Teams, wenn SSH-Schlüssel vergessen werden, ist das ein Problem.

Die doppelte Verwendung von SSH-Schlüsseln bei Linode ist nichts Neues, leider. Von Emergency Response Teams bis hin zu globalen Telekommunikationsunternehmen, wenn SSH-Schlüssel vergessen werden oder niemals abgesichert wurden, ist das ein großes Problem.

Das jüngste Beispiel, was passieren kann, haben wir am Stromnetz in der Ukraine gesehen, als ein SSH-Schlüssel eine Hintertür öffnete und den Angreifern dabei unterstützte, den Stromausfall auszulösen. Im Fall von Linode betrifft das Problem mit SSH-Schlüsseln im Grunde genommen alle, die Unix-, Linux- und Cloud-Lösungen nutzen. Das Chaos mit kryptographischen Schlüsseln und digitalen Zertifikaten existiert überall und hinterlässt auch blinde Flecken in der IT.

Das Problem fliegt unter dem Radar von vielen Sicherheitsexperten. Kryptographische Schlüssel werden tausendfach in Netzwerken und nun auch in der Cloud verwendet. Leider ist das Bewusstsein dafür nur ungenügend ausgeprägt und häufig fehlt die Kontrolle darüber.

„Beide Seiten, Sicherheitsteams und System-Administratoren, müssen zusammenarbeiten und sicherstellen, dass sie wissen, welche SSH-Schlüssel wo eingesetzt werden.“

Kevin Bocek, Venafi 

xxx

Wer weiß schon, welcher Administrator oder Host Zugang zu was hat. Ein realer Alptraum. Wenn wir an DevOps-Umgebungen denken, kann sich das Problem multiplizieren und es für Angreifer leicht machen, in die eigentlich geschützten Bereiche einzudringen. Beide Seiten, Sicherheitsteams und System-Administratoren, müssen zusammenarbeiten und sicherstellen, dass sie wissen, welche SSH-Schlüssel wo eingesetzt werden und zu wem und was sie Zugang gewähren.

Außerdem müssen sie sich darum kümmern, dass die Schlüssel regelmäßig ausgetauscht werden. SSH-Schlüssel haben kein Ablaufdatum. Zum Vergleich: Kein IT-Verantwortlicher akzeptiert Passwörter, die niemals ablaufen und niemals erneuert werden müssen. Genau das ist aber bei SSH der Fall. Einer Umfrage des Marktforschungsunternehmens Forrester zufolge gaben die Hälfte der befragten IT-Sicherheitsverantwortlichen an, dass sie noch nie ihre SSH-Schlüssel erneuert haben.

Die wichtigsten Ergebnisse der Studie können Sie hier nachlesen.

Über den Autor:
Kevin Bocek ist als Vice President Security Strategy & Threat Intelligence bei Venafi für die Security Strategie und Threat Intelligence verantwortlich. Er bringt mehr als 16 Jahre Erfahrung aus der IT-Sicherheit mit, unter anderem von RSA, Thales, PGP Corporation, IronKey, CipherCloud, nCipher und Xcert. Venafi bietet mit dem Immunsystem für das Internet eine Lösungs an, die Schlüssel und Zertifikate automatisch verwaltet, verändert, sichert und überwacht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im März 2016 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Websicherheit: Tools und Best Practice

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close