เมื่อคืนนี้ Debian มีประกาศ DSA 1571-1 ที่มีผลกระทบค่อนข้างกว้าง เป็น security alert เกี่ยวกับปัญหาของ openssl ใน Debian ซึ่งเกิดจากแพตช์ของ Debian เอง ทำให้คีย์ที่สร้างมี entropy ต่ำเกินไป จนสามารถเดาได้ง่าย

บั๊กนี้ มีผลตั้งแต่รุ่น 0.9.8c-1 เป็นต้นมา ซึ่งจะมีผลใน etch, lenny, sid ส่วน sarge นั้นปลอดภัย คำแนะนำคือ ถ้าใช้ etch เป็นเซิร์ฟเวอร์อยู่ ก็ควรอัปเกรด openssl เป็น 0.9.8c-4etch3 เป็นการด่วน ส่วน lenny/sid นั้น ก็อัปเกรดเป็น 0.9.8g-9 และถ้ามีการสร้างกุญแจ SSH โดยใช้ Debian หลังรุ่น sarge ก็ควรลบกุญแจเก่าทิ้ง สร้างกุญแจใหม่ด้วย

ปัญหานี้มีผลไปถึง Ubuntu 7.04 (feisty), 7.10 (gutsy) และ 8.04 (hardy) ด้วย

โปรแกรมที่ได้รับผลกระทบจากปัญหานี้ได้แก่ openssh, OpenVPN, DNSSEC, กุญแจสำหรับ X.509, encfs, Tor, postfix, cyrus imapd, courier imap/pop3, apache2 (ssl certs), dropbear, cfengine

หลาย ๆ คนในที่นี้ ที่ต้องดูแลเครื่อง server และการ remote เข้าไปควบคุมเครื่อง ผ่านทาง Secure Shell (SSH) เป็นเรื่องที่สร้างความสุขให้แก่เราอย่างมาก เนื่องจากไม่ต้องเข้าไปดูหน้าเครื่องก็ได้ แต่ไม่ใช่เราเพียงผู้เดียวที่อยากเข้าไปใช้งาน ผู้ไม่ประสงค์ดี ก็อยากเข้าไปใช้เหมือนกัน โดยความพยายามที่จะเดาชื่อ username และ password (Dictionary Attacks - Brute Force) แต่โชคยังดีที่ server ส่วนใหญ่ที่ดูแลอยู่ มี user ไม่มาก แถม password ก็ไม่ต้องห่วงให้เดาก็ต้องเดานานมาก ๆ หากอยากตรวจสอบความยากง่ายของ password ที่ใช้อยู่ สามารถทดสอบได้ที่ http://www.securitystats.com/tools/password.php

คำถาม ที่ตามมาคือ ก็ password ก็ยากมาก ๆ แล้วนี่ ทำไมต้องกังวลอีก .....

คำตอบ ก็คือ เพราะมันยากนี่แหละ พี่แกเลยพยายามทุกวิถีทาง เพื่อจะเข้ามาให้ได้ โจมตีด้วยการกระหน่ำคำต่าง ๆ ใน dictionary ที่แกมีอยู่ ผลที่ตามมาคือ bandwidth ที่มีค่าของเรา ถูกเอาไปใช้เพื่อการโจมตี โดยที่เราไม่ได้ประโยชน์ใด ๆ ทั้งสิ้น ตังค์เราก็ต้องจ่าย จะมาใช้แบบไม่ขออนุญาตง่าย ๆ ได้ไงฟะ (ถึงขอ...ก็ไม่ให้เฟ้ย) แล้วทำไงดี...... ???

มีโปรแกรมหลาย ๆ ตัวที่ทำหน้าที่ตรวจสอบ และปิดกั้น (block) การเข้ามาของผู้ไม่ประสงค์ดี แต่ด้วยการที่เราเป็นสาวก Debian ต้องมองหาอะไรที่ง่ายต่อชีวิต และทรัพย์สินก่อนเป็นอันดับแรก .... และก็เจอ ....

Fail2Ban