Post-analisi: ciò chì hè cunnisciutu di l'ultimu attaccu à a reta SKS Keyserver di i servitori di criptu chjave

I pirate anu utilizatu una funzione di u protokollu OpenPGP chì hè cunnisciutu da più di deci anni.

Vi dicemu chì u puntu hè è perchè ùn ponu micca chjude.

/Unsplash/ Chunlea Ju

Problemi di rete

A mità di ghjugnu, scunnisciutu hà fattu un attaccu à una reta di servitori di chjave criptografica SKS Keyserver, custruitu nantu à u protocolu OpenPGP. Questu hè un standard IETF (RFC 4880), chì hè utilizatu per criptà e-mail è altri missaghji. A reta SKS hè stata creata trenta anni fà per distribuisce certificati publichi. Include strumenti cum'è GnuPG per a criptografia di dati è a creazione di firme digitali elettroniche.

I pirate anu cumprumissu i certificati di dui manutentori di prughjetti GnuPG, Robert Hansen è Daniel Gillmor. Caricà un certificatu corrottu da u servitore face chì GnuPG fallisca - u sistema si congela solu. Ci hè una ragione per crede chì l'attaccanti ùn si fermanu micca quì, è u numeru di certificati cumprumessi solu cresce. À u mumentu, l'estensione di u prublema resta scunnisciuta.

L'essenza di l'attaccu

I pirate anu apprufittatu di una vulnerabilità in u protocolu OpenPGP. Hè stata cunnisciuta da a cumunità per decennii. Ancu in GitHub ponu esse trovu sfruttamenti currispundenti. Ma finu à avà nimu hà pigliatu a rispunsabilità per chjude u "bucu" (parleremu di e ragiuni in più detail dopu).

Un paru di selezzione da u nostru blog nantu à Habré:

• SDN digest - sei emulatori open source
• Cumu custruisce SDN - Ottu Strumenti Open Source
• Network digest: 17 materiali esperti nantu à Wi-Fi è 5G

Sicondu a specificazione OpenPGP, qualcunu pò aghjunghje firme digitali à i certificati per verificà u so pruprietariu. Inoltre, u numeru massimu di signature ùn hè micca regulatu in ogni modu. È quì hè un prublema - a reta SKS permette di mette finu à 150 mila signatures in un certificatu, ma GnuPG ùn sustene micca un tali numeru. Cusì, quandu carica u certificatu, GnuPG (cum'è altre implementazioni OpenPGP) si congela.

Unu di l'utilizatori hà fattu un esperimentu - impurtà u certificatu hà pigliatu circa 10 minuti. U certificatu avia più di 54 mila firme, è u so pesu era 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Per peghju, i servitori di chjave OpenPGP ùn eliminanu micca l'infurmazioni di certificatu. Questu hè fattu per pudè traccia a catena di tutte l'azzioni cù certificati è impediscenu a so sustituzione. Dunque, hè impussibile di eliminà elementi cumprumessi.

Essenzialmente, a reta SKS hè un grande "servitore di file" à quale qualcunu pò scrive dati. Per illustrà u prublema, l'annu passatu residente di GitHub criatu un sistema di schedari, chì guarda i ducumenti in una reta di servitori di chjave criptografica.

Perchè a vulnerabilità ùn era micca chjusa?

Ùn ci era micca raghjone per chjude a vulnerabilità. Nanzu, ùn era micca usatu per attacchi di pirate. Ancu se a cumunità IT dumandatu per un bellu pezzu I sviluppatori SKS è OpenPGP devenu attentu à u prublema.

Per esse ghjustu, vale a pena nutà chì in ghjugnu anu sempre lanciata servitore di chjave sperimentale keys.openpgp.org. Parmette prutezzione contru sti tipi di attacchi. Tuttavia, a so basa di dati hè populata da zero, è u servitore stessu ùn hè micca parte di SKS. Per quessa, ci hà da piglià tempu prima ch'ellu pò esse usatu.

/Unsplash/ Rubén Bagües

In quantu à u bug in u sistema uriginale, un cumplessu mecanismu di sincronizazione impedisce ch'ellu sia riparatu. A rete di u servitore chjave hè stata scritta in origine cum'è una prova di cuncettu per a tesi di PhD di Yaron Minsky. Inoltre, una lingua abbastanza specifica, OCaml, hè stata scelta per u travagliu. By sicondu mantenitore Robert Hansen, u codice hè difficiuli di capiscenu, cusì solu currezzione minori sò fatti à questu. Per mudificà l'architettura SKS, duverà esse riscritta da zero.

In ogni casu, GnuPG ùn crede micca chì a reta serà mai riparata. In un postu nantu à GitHub, i sviluppatori anu ancu scrittu chì ùn ricumandenu micca di travaglià cù SKS Keyserver. In verità, questu hè unu di i mutivi principali per quessa chì anu iniziatu a transizione à u novu serviziu keys.openpgp.org. Pudemu solu guardà u sviluppu ulteriore di l'avvenimenti.

Un paru di materiali da u nostru blog corporativu:

• Botnet "spams" attraversu routers: ciò chì avete bisognu di sapè
• DDoS è 5G: "pipe" più grossa significa più prublemi
• Firewall o DPI - Strumenti di prutezzione per diversi scopi
• Internet à u paese - custruì una reta di radio relay Wi-Fi

Source: www.habr.com