L’organisation admet avoir «perdu» l’accès à sa clé de signature; Un expert dit que cela montre le besoin de gestion des objets par les CISO.
Les administrateurs Kali Linux qui n’ont pas mis à jour manuellement la clé de signature du référentiel du système d’exploitation vont constater qu’ils ne peuvent pas obtenir de mises à jour.
Cela survient après que les surveillants de la distribution open source destinés aux testeurs de pénétration et à d’autres pros de l’infosec ont admis cette semaine qu’ils ont perdu accès à la clé de signature du référentiel Kali et ont dû en déployer un nouveau.
« C’est entièrement de notre faute », a reconnu Kali dans un blog.
En fait, l’incident s’est produit il y a plus d’une semaine, et Kali a dû geler le référentiel de mise à jour le 18 avril, lorsqu’une nouvelle clé de signature a été créée. C’est pourquoi personne n’a encore été touché. Cependant, cette semaine, le référentiel sera disponible, et ceux qui n’ont pas la nouvelle clé de signature constateront qu’ils ne peuvent pas faire de mises à jour automatiques.
Les administrateurs doivent télécharger et installer la nouvelle clé manuellement, puis vérifier que la somme de contrôle du fichier correspond à celle créée par Kali. Si certains administrateurs préfèrent reconstruire leur système Kali à partir de zéro, Kali a mis à jour toutes ses images pour contenir le nouveau clés.
Kali a déclaré que l’ancienne clé n’était pas compromise. Aucune réponse à une demande de commentaires n’a été reçue par notre délai.
Ce n’est pas la première fois que Kali a un problème clé de signature, a noté Robert Beggs, responsable des tests de pénétration canadienne et du fournisseur de réponse à la réponse à l’incident. En 2018, une clé a été autorisée à expirer.
« C’est un blip mineur », a-t-il déclaré dans une interview, « c’est facile à surmonter » en tapant une ligne de code, comme détaillé dans le blog Kali.
La perte de clés de signature est «très rare» parmi les fournisseurs d’applications, il a déclaré: «Parce qu’il s’agit d’un projet de niveau d’entreprise où quelqu’un devrait gérer un groupe de personnes.
Les seules personnes qui seront gênées sont les administrateurs qui ne comprennent pas le message d’erreur qu’ils reçoivent lorsqu’ils essaient de mettre à jour la distribution et n’ont pas vu la nouvelle que la clé est obsolète, a déclaré Beggs. Mais il pense que la plupart des administrateurs de Kali connaissent déjà le problème et la solution.
La leçon aux cisos dont les organisations utilisent tout ce qui doit être renouvelé, d’une clé à une licence logicielle, est de la traiter comme un objet qui doit être maintenu, a déclaré Beggs.
« Vous devez également construire une continuité », a-t-il ajouté. «Le plus gros problème que nous ayons vu dans le passé n’est pas qu’une personne n’a pas renouvelé, c’est qu’une personne qui connaissait la clé ou la licence passait, ou vers un nouveau poste. Les entreprises ne parviennent souvent pas à maintenir la continuité.
« Arrêtez de penser à cela comme une seule responsabilité de personne. C’est une responsabilité d’entreprise », a-t-il conseillé. «Déposez-le. Assurez-vous qu’il y a une continuité de la gestion (objet) afin que si quelqu’un passe à autre chose, a un accident ou des oublis, il y a des contrôles d’entreprise en place qui s’assurent que le processus (de gestion) se poursuit.»
