Hakkerit käyttivät OpenPGP-protokollan ominaisuutta, joka on tunnettu yli kymmenen vuotta.
Kerromme sinulle, mikä on pointti ja miksi he eivät voi sulkea sitä.
/Unsplash/
Verkko-ongelmat
Kesäkuun puolivälissä, tuntematon
Hakkerit vaaransivat kahden GnuPG-projektin ylläpitäjän, Robert Hansenin ja Daniel Gillmorin, sertifikaatit. Vioittuneen varmenteen lataaminen palvelimelta aiheuttaa GnuPG:n epäonnistumisen – järjestelmä yksinkertaisesti jäätyy. On syytä uskoa, että hyökkääjät eivät lopu tähän, ja vaarantuneiden sertifikaattien määrä vain lisääntyy. Tällä hetkellä ongelman laajuudesta ei ole tietoa.
Hyökkäyksen ydin
Hakkerit käyttivät hyväkseen OpenPGP-protokollan haavoittuvuutta. Hän on ollut yhteiskunnan tuttu vuosikymmeniä. Jopa GitHubissa
Pari valikoimaa Habren blogistamme:
OpenPGP-spesifikaation mukaan kuka tahansa voi lisätä varmenteisiin digitaalisia allekirjoituksia omistajansa vahvistamiseksi. Lisäksi allekirjoitusten enimmäismäärää ei ole säännelty millään tavalla. Ja tässä syntyy ongelma - SKS-verkko antaa sinun sijoittaa jopa 150 tuhatta allekirjoitusta yhteen varmenteeseen, mutta GnuPG ei tue tällaista numeroa. Näin ollen varmennetta ladattaessa GnuPG (samoin kuin muut OpenPGP-toteutukset) jäätyy.
Yksi käyttäjistä
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Asiaa pahentaa vielä se, että OpenPGP-avainpalvelimet eivät poista varmennetietoja. Tämä tehdään, jotta voit jäljittää kaikkien toimien ketjun varmenteilla ja estää niiden korvaamisen. Siksi on mahdotonta poistaa vaarantuneita elementtejä.
Pohjimmiltaan SKS-verkko on suuri "tiedostopalvelin", jolle kuka tahansa voi kirjoittaa tietoja. Ongelman havainnollistamiseksi viime vuonna GitHubin asukas
Miksi haavoittuvuutta ei suljettu?
Ei ollut syytä sulkea haavoittuvuutta. Aiemmin sitä ei käytetty hakkerihyökkäuksiin. Vaikka IT-yhteisö
Ollakseni rehellinen, on syytä huomata, että kesäkuussa he vielä
/Unsplash/
Mitä tulee alkuperäisen järjestelmän virheeseen, monimutkainen synkronointimekanismi estää sen korjaamisen. Avainpalvelinverkko kirjoitettiin alun perin Yaron Minskyn väitöskirjan konseptin todisteeksi. Lisäksi työhön valittiin melko spesifinen kieli, OCaml. Tekijä:
Joka tapauksessa GnuPG ei usko, että verkkoa koskaan korjataan. GitHubin viestissä kehittäjät jopa kirjoittivat, etteivät he suosittele työskentelemään SKS Keyserverin kanssa. Itse asiassa tämä on yksi tärkeimmistä syistä, miksi he aloittivat siirtymisen uuteen palveluavaimiin.openpgp.org. Voimme vain seurata tapahtumien jatkokehitystä.
Pari materiaalia yritysblogistamme:
Lähde: will.com