هکرها از ویژگی پروتکل OpenPGP استفاده کردند که بیش از ده سال است شناخته شده است.
ما به شما می گوییم که هدف چیست و چرا آنها نمی توانند آن را ببندند.
/Unsplash/
مشکلات شبکه
در اواسط ژوئن، ناشناخته
هکرها گواهینامه های دو نگهدارنده پروژه GnuPG، رابرت هانسن و دانیل گیلمور را به خطر انداختند. بارگیری یک گواهی خراب از سرور باعث از کار افتادن GnuPG می شود - سیستم به سادگی مسدود می شود. دلایلی وجود دارد که باور کنیم مهاجمان به همین جا متوقف نخواهند شد و تعداد گواهی های در معرض خطر فقط افزایش می یابد. در حال حاضر میزان این مشکل مشخص نیست.
اصل حمله
هکرها از یک آسیب پذیری در پروتکل OpenPGP استفاده کردند. او برای دهه ها در جامعه شناخته شده است. حتی در GitHub
چند انتخاب از وبلاگ ما در Habré:
طبق مشخصات OpenPGP، هر کسی میتواند امضای دیجیتالی را به گواهیها اضافه کند تا مالک خود را تأیید کند. علاوه بر این، حداکثر تعداد امضاها به هیچ وجه تنظیم نمی شود. و در اینجا یک مشکل ایجاد می شود - شبکه SKS به شما امکان می دهد تا 150 هزار امضا را روی یک گواهی قرار دهید ، اما GnuPG از چنین شماره ای پشتیبانی نمی کند. بنابراین، هنگام بارگیری گواهی، GnuPG (و همچنین سایر پیاده سازی های OpenPGP) مسدود می شود.
یکی از کاربران
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
بدتر از همه، سرورهای کلید OpenPGP اطلاعات گواهی را حذف نمی کنند. این کار به این منظور انجام می شود که بتوانید زنجیره تمام اقدامات را با گواهی ها ردیابی کنید و از جایگزینی آنها جلوگیری کنید. بنابراین، حذف عناصر در معرض خطر غیرممکن است.
اساساً، شبکه SKS یک "فایل سرور" بزرگ است که هر کسی می تواند داده ها را روی آن بنویسد. برای نشان دادن مشکل، سال گذشته مقیم GitHub
چرا آسیب پذیری بسته نشد؟
هیچ دلیلی برای بستن این آسیب پذیری وجود نداشت. قبلاً برای حملات هکری استفاده نمی شد. اگرچه جامعه فناوری اطلاعات
برای منصفانه بودن، شایان ذکر است که در ماه ژوئن آنها هنوز
/Unsplash/
در مورد اشکال در سیستم اصلی، یک مکانیسم هماهنگ سازی پیچیده مانع از رفع آن می شود. شبکه سرور کلید در ابتدا به عنوان اثبات مفهومی برای پایان نامه دکتری یارون مینسکی نوشته شد. علاوه بر این، یک زبان نسبتاً خاص، OCaml، برای کار انتخاب شد. توسط
در هر صورت، GnuPG باور نمی کند که شبکه هرگز درست شود. در پستی در GitHub، توسعه دهندگان حتی نوشتند که کار با SKS Keyserver را توصیه نمی کنند. در واقع، این یکی از دلایل اصلی است که چرا آنها انتقال به سرویس جدید keys.openpgp.org را آغاز کردند. ما فقط می توانیم پیشرفت بیشتر رویدادها را تماشا کنیم.
چند مطلب از وبلاگ شرکت ما:
منبع: www.habr.com