Post-analysis: unsa ang nahibal-an bahin sa pinakabag-o nga pag-atake sa SKS Keyserver network sa mga crypto key server

Gigamit sa mga hacker ang usa ka bahin sa OpenPGP protocol nga nahibal-an sa kapin sa napulo ka tuig.

Gisultihan ka namo kung unsa ang punto ug nganong dili nila kini masira.

/Unsplash/ Chunlea Ju

Mga problema sa network

Sa tunga-tunga sa Hunyo, wala mailhi mihimo og pag-atake ngadto sa usa ka network sa cryptographic key servers SKS Keyserver, gitukod sa OpenPGP protocol. Kini usa ka sumbanan sa IETF (RFC 4880), nga gigamit sa pag-encrypt sa email ug uban pang mga mensahe. Ang network sa SKS gimugna katloan ka tuig ang milabay aron ipang-apod-apod ang mga sertipiko sa publiko. Naglakip kini sa mga himan sama sa GnuPG alang sa pag-encrypt sa datos ug paghimo og electronic digital signatures.

Gikompromiso sa mga hacker ang mga sertipiko sa duha nga nagmintinar sa proyekto sa GnuPG, si Robert Hansen ug Daniel Gillmor. Ang pag-load sa usa ka dunot nga sertipiko gikan sa server hinungdan sa pagkapakyas sa GnuPG-ang sistema nag-freeze lang. Adunay rason sa pagtuo nga ang mga tig-atake dili mohunong didto, ug ang gidaghanon sa nakompromiso nga mga sertipiko modaghan lamang. Sa pagkakaron, ang gidak-on sa problema nagpabilin nga wala mahibal-an.

Ang diwa sa pag-atake

Gipahimuslan sa mga hacker ang usa ka kahuyang sa OpenPGP protocol. Nailhan siya sa komunidad sulod sa mga dekada. Bisan sa GitHub makapangita katugbang nga mga pagpahimulos. Apan sa pagkakaron walay usa nga mikuha sa responsibilidad sa pagsira sa "lungag" (atong hisgutan ang mga rason sa mas detalyado sa ulahi).

Pipila ka mga pagpili gikan sa among blog sa Habré:

• SDN digest - unom ka open source emulators
• Giunsa Pagtukod ang SDN - Walo ka Open Source Tools
• Network digest: 17 ka eksperto nga materyal bahin sa Wi-Fi ug 5G

Sumala sa espesipikasyon sa OpenPGP, bisan kinsa mahimong makadugang sa mga digital nga pirma sa mga sertipiko aron mapamatud-an ang ilang tag-iya. Dugang pa, ang maximum nga gidaghanon sa mga pirma wala gi-regulate sa bisan unsang paagi. Ug dinhi usa ka problema ang mitungha - ang SKS network nagtugot kanimo sa pagbutang hangtod sa 150 ka libo nga mga pirma sa usa ka sertipiko, apan ang GnuPG wala mosuporta sa ingon nga numero. Sa ingon, kung nagkarga sa sertipiko, ang GnuPG (ingon man ang uban pang mga pagpatuman sa OpenPGP) nag-freeze.

Usa sa mga ninggamit nagpahigayon og eksperimento - ang pag-import sa sertipiko gikuha kaniya mga 10 minuto. Ang sertipiko adunay labaw pa sa 54 ka libo nga mga pirma, ug ang gibug-aton niini 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Sa paghimo sa mga butang nga mas grabe, ang OpenPGP key server dili magtangtang sa impormasyon sa sertipiko. Gihimo kini aron masubay nimo ang kadena sa tanan nga mga aksyon nga adunay mga sertipiko ug mapugngan ang ilang pagpuli. Busa, imposible nga mawagtang ang mga nakompromiso nga elemento.

Sa esensya, ang SKS network usa ka dako nga "file server" diin ang bisan kinsa makasulat sa datos. Aron ihulagway ang problema, sa miaging tuig residente sa GitHub naghimo ug file system, nga nagtipig sa mga dokumento sa usa ka network sa cryptographic key servers.

Ngano nga wala gisirhan ang pagkahuyang?

Wala’y hinungdan nga isira ang pagkahuyang. Kaniadto, wala kini gigamit alang sa mga pag-atake sa hacker. Bisan pa ang komunidad sa IT nangutana sa dugay nga panahon Ang mga developer sa SKS ug OpenPGP kinahanglan nga magtagad sa problema.

Aron patas, angay nga matikdan nga sa Hunyo sila pa gilusad eksperimento nga yawe nga server keys.openpgp.org. Naghatag kini og panalipod batok niining mga matang sa pag-atake. Bisan pa, ang database niini gipuy-an gikan sa wala, ug ang server mismo dili bahin sa SKS. Busa, magkinahanglag panahon una kini magamit.

/Unsplash/ Rubén Bagües

Sama sa alang sa bug sa orihinal nga sistema, ang usa ka komplikado nga mekanismo sa pag-synchronize nagpugong niini nga ayohon. Ang yawe nga network sa server orihinal nga gisulat ingon usa ka pamatuod sa konsepto alang sa PhD thesis ni Yaron Minsky. Dugang pa, usa ka piho nga lengguwahe, OCaml, gipili alang sa trabaho. Pinaagi sa sumala sa maintainer nga si Robert Hansen, lisud sabton ang code, mao nga ginagmay lang nga mga correction ang gihimo niini. Aron mabag-o ang arkitektura sa SKS, kini kinahanglan nga isulat pag-usab gikan sa wala.

Sa bisan unsa nga kaso, ang GnuPG dili motuo nga ang network maayo. Sa usa ka post sa GitHub, gisulat pa sa mga developer nga dili nila girekomenda nga magtrabaho kauban ang SKS Keyserver. Sa tinuud, usa kini sa mga nag-unang hinungdan ngano nga gisugdan nila ang pagbalhin sa bag-ong serbisyo nga keys.openpgp.org. Makatan-aw lang kita sa dugang kalamboan sa mga panghitabo.

Pipila ka mga materyales gikan sa among corporate blog:

• Mga "spam" sa botnet pinaagi sa mga router: kung unsa ang kinahanglan nimo mahibal-an
• DDoS ug 5G: mas baga nga “pipe” nagpasabot ug daghang problema
• Firewall o DPI - mga himan sa pagpanalipod alang sa lainlaing mga katuyoan
• Internet sa baryo - pagtukod sa usa ka radio relay Wi-Fi network

Source: www.habr.com