واستخدم المتسللون إحدى ميزات بروتوكول OpenPGP المعروف منذ أكثر من عشر سنوات.
نخبرك ما هي النقطة ولماذا لا يمكنهم إغلاقها.
/unsplash/
مشاكل في الشبكة
في منتصف يونيو غير معروف
قام المتسللون باختراق شهادات اثنين من مشرفي مشروع GnuPG، روبرت هانسن ودانيال جيلمور. يؤدي تحميل شهادة تالفة من الخادم إلى فشل GnuPG، حيث يتجمد النظام ببساطة. هناك سبب للاعتقاد بأن المهاجمين لن يتوقفوا عند هذا الحد، وأن عدد الشهادات المخترقة سيزداد فقط. وفي الوقت الحالي، لا يزال حجم المشكلة غير معروف.
جوهر الهجوم
استغل المتسللون ثغرة أمنية في بروتوكول OpenPGP. لقد كانت معروفة للمجتمع منذ عقود. حتى على جيثب
بعض الاختيارات من مدونتنا على حبري:
وفقًا لمواصفات OpenPGP، يمكن لأي شخص إضافة توقيعات رقمية إلى الشهادات للتحقق من مالكها. علاوة على ذلك، لا يتم تنظيم الحد الأقصى لعدد التوقيعات بأي شكل من الأشكال. وهنا تنشأ مشكلة - تتيح لك شبكة SKS وضع ما يصل إلى 150 ألف توقيع على شهادة واحدة، لكن GnuPG لا يدعم مثل هذا الرقم. وبالتالي، عند تحميل الشهادة، يتجمد GnuPG (وكذلك تطبيقات OpenPGP الأخرى).
أحد المستخدمين
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
ومما يزيد الطين بلة أن خوادم مفاتيح OpenPGP لا تقوم بإزالة معلومات الشهادة. يتم ذلك حتى تتمكن من تتبع سلسلة جميع الإجراءات بالشهادات ومنع استبدالها. لذلك، من المستحيل القضاء على العناصر المخترقة.
في الأساس، تعد شبكة SKS بمثابة "خادم ملفات" كبير يمكن لأي شخص كتابة البيانات إليه. لتوضيح المشكلة، كان أحد المقيمين في GitHub العام الماضي
لماذا لم يتم إغلاق الثغرة الأمنية؟
لم يكن هناك سبب لإغلاق الثغرة الأمنية. في السابق، لم يتم استخدامه لهجمات القراصنة. على الرغم من أن مجتمع تكنولوجيا المعلومات
لكي نكون منصفين، تجدر الإشارة إلى أنهم ما زالوا في يونيو
/unsplash/
أما بالنسبة للخلل الموجود في النظام الأصلي، فإن آلية المزامنة المعقدة تمنع إصلاحه. تمت كتابة شبكة الخادم الرئيسية في الأصل كدليل على مفهوم أطروحة دكتوراه يارون مينسكي. علاوة على ذلك، تم اختيار لغة محددة للعمل، وهي OCaml. بواسطة
على أية حال، لا يعتقد GnuPG أنه سيتم إصلاح الشبكة أبدًا. في منشور على GitHub، كتب المطورون أنهم لا يوصون بالعمل مع SKS Keyserver. في الواقع، هذا هو أحد الأسباب الرئيسية وراء بدء الانتقال إلى الخدمة الجديدة Keys.openpgp.org. ولا يسعنا إلا أن نشاهد تطور الأحداث.
بعض المواد من مدونة شركتنا:
المصدر: www.habr.com