هکرها از ویژگی پروتکل OpenPGP استفاده کردند که بیش از ده سال است شناخته شده است.
ما به شما می گوییم که هدف چیست و چرا آنها نمی توانند آن را ببندند.
/Unsplash/
مشکلات شبکه
در اواسط ژوئن، ناشناخته به شبکه ای از سرورهای کلید رمزنگاری ، بر اساس پروتکل OpenPGP ساخته شده است. این یک استاندارد IETF است () که برای رمزگذاری ایمیل و سایر پیام ها استفاده می شود. شبکه SKS سی سال پیش برای توزیع گواهینامه های عمومی ایجاد شد. شامل ابزارهایی مانند برای رمزگذاری داده ها و ایجاد امضای دیجیتال الکترونیکی.
هکرها گواهینامه های دو نگهدارنده پروژه GnuPG، رابرت هانسن و دانیل گیلمور را به خطر انداختند. بارگیری یک گواهی خراب از سرور باعث از کار افتادن GnuPG می شود - سیستم به سادگی مسدود می شود. دلایلی وجود دارد که باور کنیم مهاجمان به همین جا متوقف نخواهند شد و تعداد گواهی های در معرض خطر فقط افزایش می یابد. در حال حاضر میزان این مشکل مشخص نیست.
اصل حمله
هکرها از یک آسیب پذیری در پروتکل OpenPGP استفاده کردند. او برای دهه ها در جامعه شناخته شده است. حتی در GitHub اکسپلویت های مربوطه اما تاکنون هیچ کس مسئولیت بستن "حفره" را بر عهده نگرفته است (در ادامه در مورد دلایل آن با جزئیات بیشتر صحبت خواهیم کرد).
چند انتخاب از وبلاگ ما در Habré:
طبق مشخصات OpenPGP، هر کسی میتواند امضای دیجیتالی را به گواهیها اضافه کند تا مالک خود را تأیید کند. علاوه بر این، حداکثر تعداد امضاها به هیچ وجه تنظیم نمی شود. و در اینجا یک مشکل ایجاد می شود - شبکه SKS به شما امکان می دهد تا 150 هزار امضا را روی یک گواهی قرار دهید ، اما GnuPG از چنین شماره ای پشتیبانی نمی کند. بنابراین، هنگام بارگیری گواهی، GnuPG (و همچنین سایر پیاده سازی های OpenPGP) مسدود می شود.
یکی از کاربران - وارد کردن گواهینامه حدود 10 دقیقه طول کشید. این گواهی بیش از 54 هزار امضا داشت و وزن آن 17 مگابایت بود:
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
بدتر از همه، سرورهای کلید OpenPGP اطلاعات گواهی را حذف نمی کنند. این کار به این منظور انجام می شود که بتوانید زنجیره تمام اقدامات را با گواهی ها ردیابی کنید و از جایگزینی آنها جلوگیری کنید. بنابراین، حذف عناصر در معرض خطر غیرممکن است.
اساساً، شبکه SKS یک "فایل سرور" بزرگ است که هر کسی می تواند داده ها را روی آن بنویسد. برای نشان دادن مشکل، سال گذشته مقیم GitHub ، که اسناد را در شبکه ای از سرورهای کلید رمزنگاری ذخیره می کند.
چرا آسیب پذیری بسته نشد؟
هیچ دلیلی برای بستن این آسیب پذیری وجود نداشت. قبلاً برای حملات هکری استفاده نمی شد. اگرچه جامعه فناوری اطلاعات توسعه دهندگان SKS و OpenPGP باید به مشکل توجه کنند.
برای منصفانه بودن، شایان ذکر است که در ماه ژوئن آنها هنوز سرور کلید تجربی . در برابر این نوع حملات محافظت می کند. با این حال، پایگاه داده آن از ابتدا پر شده است و خود سرور بخشی از SKS نیست. بنابراین، استفاده از آن زمان می برد.
/Unsplash/
در مورد اشکال در سیستم اصلی، یک مکانیسم هماهنگ سازی پیچیده مانع از رفع آن می شود. شبکه سرور کلید در ابتدا به عنوان اثبات مفهومی برای پایان نامه دکتری یارون مینسکی نوشته شد. علاوه بر این، یک زبان نسبتاً خاص، OCaml، برای کار انتخاب شد. توسط نگهدارنده رابرت هانسن، درک کد دشوار است، بنابراین فقط اصلاحات جزئی در آن انجام می شود. برای اصلاح معماری SKS، باید از ابتدا بازنویسی شود.
در هر صورت، GnuPG باور نمی کند که شبکه هرگز درست شود. در پستی در GitHub، توسعه دهندگان حتی نوشتند که کار با SKS Keyserver را توصیه نمی کنند. در واقع، این یکی از دلایل اصلی است که چرا آنها انتقال به سرویس جدید keys.openpgp.org را آغاز کردند. ما فقط می توانیم پیشرفت بیشتر رویدادها را تماشا کنیم.
چند مطلب از وبلاگ شرکت ما:
منبع: www.habr.com