Los repositorios de Github de muchas entidades, proyectos, e incluso del gobierno, podrían haber sido comprometidos y utilizados para distribuir código malicioso debido al uso de claves SSH débiles por parte de los propietarios.

"Una característica poco conocida de GitHub es la capacidad de mirar las claves SSH públicas que otros usuarios han autorizado en su cuenta", explica el desarrollador de software Ben Cartwright-Cox en un blog que detalla este hallazgo.

"Esta es una gran característica de depuración y, además, una gran manera de compartir las claves públicas SSH. Sin embargo, uno de los efectos secundarios de esto es que todo el mundo puede ver tus claves públicas, y si alguien se preocupa lo suficiente, podría reunir una base de datos enorme de claves SSH de todo el mundo".

Cartwright-Cox hizo exactamente eso: recogió casi 1.4 millones de llaves y comenzó a analizarlas. Encontró algunas que eran trivialmente manipulables (con un número insuficiente de bits), incluyendo una serie de claves que fueron creadas mediante el uso de un generador de números aleatorios defectuoso originalmente contenido en Debian.

El defecto fue encontrado y corregido en 2008, pero durante casi dos años, se generaron claves criptográficas débiles utilizando el generador de números aleatorios antes mencionado. Una vez que la falla se hizo pública, los usuarios debieron haber actualizado su sistema operativo, revocado las claves antiguas y generado una nueva, pero es evidente que muchos no lo hicieron.

Entre los repositorios que utilizan las claves débiles están los pertenecientes a Spotify y Yandex, así como los del gobierno del Reino Unido. El repositorio de Django también se vio afectado, al igual que los de las bibliotecas Core y Crypto de Python.

Cuando Cartwright-Cox contactó a GitHub para informar esta cuestión en marzo, descubrió que hay muchos otros repositorios que utilizan claves débiles. A principios de mayo, GitHub revocó las claves débiles creadas en Debian y envió correos electrónicos a los administradores de repositorios para crear otras nuevas. Un mes más tarde hicieron lo mismo con las cuentas de usuario que utilizan otras claves débiles y de baja calidad.

"Si recibiste  un correo electrónico acerca de la revocación de tus claves, es por mí; si fue así, deberías asegurarte de que nadie te haya hecho algo terrible, ya que permitiste que la gente hiciera cosas terribles contigo por lo que parece ser demasiado tiempo", señaló Cartwright-Cox.

"Lo más preocupante de esto es que cualquiera podría haber simplemente puesto en un ciclo todas esas llaves tratando de acceder vía SSH a GitHub para ver el mensaje que muestra. Sería seguro asumir que debido a la baja barrera de entrada, los usuarios que tienen llaves débiles en sus cuentas deben considerarlas como comprometidas y cualquier cosa cuya entrada se resguarde con esa clave pudo haber sido tomada por un atacante".