Hakeri su koristili funkciju OpenPGP protokola koja je poznata više od deset godina.
Reći ćemo vam u čemu je poenta i zašto ne mogu da ga zatvore.
/Unsplash/
Mrežni problemi
Sredinom juna, nepoznato
Hakeri su ugrozili certifikate dvojice održavatelja GnuPG projekta, Roberta Hansena i Daniela Gillmora. Učitavanje oštećenog sertifikata sa servera uzrokuje neuspeh GnuPG-a – sistem se jednostavno zamrzava. Postoji razlog za vjerovanje da se napadači neće tu zaustaviti, a broj kompromitovanih certifikata će se samo povećavati. U ovom trenutku, obim problema ostaje nepoznat.
Suština napada
Hakeri su iskoristili ranjivost OpenPGP protokola. Ona je poznata javnosti decenijama. Čak i na GitHubu
Par izbora sa našeg bloga na Habréu:
Prema OpenPGP specifikaciji, svako može dodati digitalne potpise certifikatima kako bi potvrdio njihovog vlasnika. Štaviše, maksimalni broj potpisa nije ni na koji način regulisan. I ovdje nastaje problem - SKS mreža vam omogućava da postavite do 150 hiljada potpisa na jedan certifikat, ali GnuPG ne podržava takav broj. Dakle, prilikom učitavanja sertifikata, GnuPG (kao i druge implementacije OpenPGP) se zamrzava.
Jedan od korisnika
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Da stvar bude još gora, OpenPGP serveri ključeva ne uklanjaju informacije o certifikatima. To je učinjeno tako da možete pratiti lanac svih radnji s certifikatima i spriječiti njihovu zamjenu. Stoga je nemoguće eliminirati ugrožene elemente.
U suštini, SKS mreža je veliki „file server“ na koji svako može da upiše podatke. Da ilustruje problem, prošlogodišnji GitHub rezident
Zašto ranjivost nije zatvorena?
Nije bilo razloga za zatvaranje ranjivosti. Ranije se nije koristio za hakerske napade. Iako je IT zajednica
Da budemo pošteni, vrijedi napomenuti da u junu još uvijek
/Unsplash/
Što se tiče greške u originalnom sistemu, složen mehanizam sinhronizacije sprečava da se ona otkloni. Mreža ključnih servera prvobitno je napisana kao dokaz koncepta za doktorsku tezu Yarona Minskyja. Štaviše, za rad je odabran prilično specifičan jezik, OCaml. By
U svakom slučaju, GnuPG ne vjeruje da će mreža ikada biti popravljena. U postu na GitHubu, programeri su čak napisali da ne preporučuju rad sa SKS Keyserverom. Zapravo, ovo je jedan od glavnih razloga zašto su pokrenuli prelazak na novi servis keys.openpgp.org. Možemo samo da posmatramo dalji razvoj događaja.
Nekoliko materijala sa našeg korporativnog bloga:
izvor: www.habr.com