La piratoj uzis funkcion de la protokolo OpenPGP, kiu estas konata de pli ol dek jaroj.
Ni diras al vi, kio estas la afero kaj kial ili ne povas fermi ĝin.
/Malŝprucigi/
Retaj problemoj
Meze de junio, nekonata
Hakistoj kompromitis la atestojn de du GnuPG-projekt-prizorgantoj, Robert Hansen kaj Daniel Gillmor. Ŝarĝi koruptitan atestilon de la servilo igas GnuPG malsukcesi—la sistemo simple frostiĝas. Estas kialo por kredi, ke la atakantoj ne haltos tie, kaj la nombro da kompromititaj atestiloj nur pliiĝos. Nuntempe, la amplekso de la problemo restas nekonata.
La esenco de la atako
Hakistoj utiligis vundeblecon en la OpenPGP-protokolo. Ŝi estas konata al la komunumo dum jardekoj. Eĉ sur GitHub
Kelkaj elektoj de nia blogo pri Habré:
Laŭ la specifo de OpenPGP, ĉiu povas aldoni ciferecajn subskribojn al atestiloj por kontroli sian posedanton. Cetere, la maksimuma nombro da subskriboj neniel estas reguligita. Kaj jen problemo - la SKS-reto permesas vin meti ĝis 150 mil subskribojn sur unu atestilo, sed GnuPG ne subtenas tian nombron. Tiel, dum ŝarĝo de la atestilo, GnuPG (same kiel aliaj OpenPGP-efektivigoj) frostiĝas.
Unu el la uzantoj
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Por plimalbonigi la aferojn, OpenPGP-ŝlosilserviloj ne forigas atestilajn informojn. Ĉi tio estas farita por ke vi povu spuri la ĉenon de ĉiuj agoj per atestiloj kaj malhelpi ilian anstataŭigon. Tial, estas neeble forigi kompromititajn elementojn.
Esence, la SKS-reto estas granda "dosierservilo" al kiu iu ajn povas skribi datumojn. Por ilustri la problemon, pasintjare loĝanto de GitHub
Kial la vundebleco ne estis fermita?
Ne estis kialo por fermi la vundeblecon. Antaŭe, ĝi ne estis uzata por hacker-atakoj. Kvankam la IT-komunumo
Por esti justa, indas noti, ke en junio ili ankoraŭ
/Malŝprucigi/
Koncerne la cimon en la originala sistemo, kompleksa sinkroniga mekanismo malhelpas ĝin esti fiksita. La ŝlosila servila reto estis origine skribita kiel pruvo de koncepto por la PhD-tezo de Yaron Minsky. Krome, sufiĉe specifa lingvo, OCaml, estis elektita por la laboro. De
Ĉiukaze, GnuPG ne kredas, ke la reto iam estos riparita. En afiŝo en GitHub, la programistoj eĉ skribis, ke ili ne rekomendas labori kun SKS Keyserver. Efektive, ĉi tio estas unu el la ĉefaj kialoj, kial ili iniciatis la transiron al la nova servo keys.openpgp.org. Ni povas nur rigardi la pluan evoluon de eventoj.
Kelkaj materialoj de nia kompania blogo:
fonto: www.habr.com