I pirate anu utilizatu una funzione di u protokollu OpenPGP chì hè cunnisciutu da più di deci anni.
Vi dicemu chì u puntu hè è perchè ùn ponu micca chjude.
/Unsplash/
Problemi di rete
A mità di ghjugnu, scunnisciutu
I pirate anu cumprumissu i certificati di dui manutentori di prughjetti GnuPG, Robert Hansen è Daniel Gillmor. Caricà un certificatu corrottu da u servitore face chì GnuPG fallisca - u sistema si congela solu. Ci hè una ragione per crede chì l'attaccanti ùn si fermanu micca quì, è u numeru di certificati cumprumessi solu cresce. À u mumentu, l'estensione di u prublema resta scunnisciuta.
L'essenza di l'attaccu
I pirate anu apprufittatu di una vulnerabilità in u protocolu OpenPGP. Hè stata cunnisciuta da a cumunità per decennii. Ancu in GitHub
Un paru di selezzione da u nostru blog nantu à Habré:
Sicondu a specificazione OpenPGP, qualcunu pò aghjunghje firme digitali à i certificati per verificà u so pruprietariu. Inoltre, u numeru massimu di signature ùn hè micca regulatu in ogni modu. È quì hè un prublema - a reta SKS permette di mette finu à 150 mila signatures in un certificatu, ma GnuPG ùn sustene micca un tali numeru. Cusì, quandu carica u certificatu, GnuPG (cum'è altre implementazioni OpenPGP) si congela.
Unu di l'utilizatori
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Per peghju, i servitori di chjave OpenPGP ùn eliminanu micca l'infurmazioni di certificatu. Questu hè fattu per pudè traccia a catena di tutte l'azzioni cù certificati è impediscenu a so sustituzione. Dunque, hè impussibile di eliminà elementi cumprumessi.
Essenzialmente, a reta SKS hè un grande "servitore di file" à quale qualcunu pò scrive dati. Per illustrà u prublema, l'annu passatu residente di GitHub
Perchè a vulnerabilità ùn era micca chjusa?
Ùn ci era micca raghjone per chjude a vulnerabilità. Nanzu, ùn era micca usatu per attacchi di pirate. Ancu se a cumunità IT
Per esse ghjustu, vale a pena nutà chì in ghjugnu anu sempre
/Unsplash/
In quantu à u bug in u sistema uriginale, un cumplessu mecanismu di sincronizazione impedisce ch'ellu sia riparatu. A rete di u servitore chjave hè stata scritta in origine cum'è una prova di cuncettu per a tesi di PhD di Yaron Minsky. Inoltre, una lingua abbastanza specifica, OCaml, hè stata scelta per u travagliu. By
In ogni casu, GnuPG ùn crede micca chì a reta serà mai riparata. In un postu nantu à GitHub, i sviluppatori anu ancu scrittu chì ùn ricumandenu micca di travaglià cù SKS Keyserver. In verità, questu hè unu di i mutivi principali per quessa chì anu iniziatu a transizione à u novu serviziu keys.openpgp.org. Pudemu solu guardà u sviluppu ulteriore di l'avvenimenti.
Un paru di materiali da u nostru blog corporativu:
Source: www.habr.com