Els pirates informàtics van utilitzar una característica del protocol OpenPGP que es coneix des de fa més de deu anys.
Us expliquem quin és el punt i per què no poden tancar-lo.
/Unsplash/
Problemes de xarxa
A mitjans de juny, desconegut
Els pirates informàtics van comprometre els certificats de dos mantenedors del projecte GnuPG, Robert Hansen i Daniel Gillmor. Carregar un certificat danyat des del servidor fa que GnuPG falli; el sistema simplement es congela. Hi ha raons per creure que els atacants no s'aturaran aquí, i el nombre de certificats compromesos només augmentarà. De moment, es desconeix l'abast del problema.
L'essència de l'atac
Els pirates informàtics van aprofitar una vulnerabilitat del protocol OpenPGP. Fa dècades que és coneguda per la comunitat. Fins i tot a GitHub
Un parell de seleccions del nostre blog a Habré:
Segons l'especificació OpenPGP, qualsevol persona pot afegir signatures digitals als certificats per verificar el seu propietari. A més, el nombre màxim de signatures no està regulat de cap manera. I aquí sorgeix un problema: la xarxa SKS us permet col·locar fins a 150 mil signatures en un certificat, però GnuPG no admet aquest nombre. Així, quan es carrega el certificat, GnuPG (així com altres implementacions d'OpenPGP) es bloqueja.
Un dels usuaris
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Per empitjorar les coses, els servidors de claus OpenPGP no eliminen la informació del certificat. Això es fa perquè pugueu rastrejar la cadena de totes les accions amb certificats i evitar la seva substitució. Per tant, és impossible eliminar els elements compromesos.
Essencialment, la xarxa SKS és un gran "servidor de fitxers" al qual qualsevol pot escriure dades. Per il·lustrar el problema, l'any passat resident a GitHub
Per què no es va tancar la vulnerabilitat?
No hi havia cap motiu per tancar la vulnerabilitat. Anteriorment, no s'utilitzava per a atacs de pirates informàtics. Encara que la comunitat informàtica
Per ser justos, val la pena assenyalar que al juny encara
/Unsplash/
Pel que fa a l'error del sistema original, un complex mecanisme de sincronització impedeix que es solucioni. La xarxa de servidors clau es va escriure originalment com a prova de concepte per a la tesi doctoral de Yaron Minsky. A més, es va triar un llenguatge força específic, OCaml, per al treball. Per
En qualsevol cas, GnuPG no creu que la xarxa s'arregli mai. En una publicació a GitHub, els desenvolupadors fins i tot van escriure que no recomanen treballar amb SKS Keyserver. De fet, aquesta és una de les principals raons per les quals van iniciar la transició al nou servei keys.openpgp.org. Només podem veure el desenvolupament posterior dels esdeveniments.
Un parell de materials del nostre bloc corporatiu:
Font: www.habr.com