De hackers brûkten in funksje fan it OpenPGP-protokol dat al mear as tsien jier bekend is.
Wy fertelle jo wat it punt is en wêrom se it net kinne slute.
/unsplash/
Netwurk problemen
Mids juny, ûnbekend
Hackers kompromittearren de sertifikaten fan twa GnuPG-projektûnderhâlders, Robert Hansen en Daniel Gillmor. It laden fan in skansearre sertifikaat fan 'e tsjinner feroarsaket GnuPG mislearre - it systeem befriest gewoan. D'r is reden om te leauwen dat de oanfallers dêr net sille stopje, en it oantal kompromitteare sertifikaten sil allinich tanimme. Op it stuit bliuwt de omfang fan it probleem ûnbekend.
De essinsje fan 'e oanfal
Hackers profitearren fan in kwetsberens yn it OpenPGP-protokol. Se is al tsientallen jierren bekend by de mienskip. Sels op GitHub
In pear seleksjes út ús blog op Habré:
Neffens de OpenPGP-spesifikaasje kin elkenien digitale hantekeningen tafoegje oan sertifikaten om har eigner te ferifiearjen. Boppedat wurdt it maksimale oantal hantekeningen op gjin inkelde manier regele. En hjir ûntstiet in probleem - it SKS-netwurk lit jo maksimaal 150 tûzen hantekeningen op ien sertifikaat pleatse, mar GnuPG stipet sa'n nûmer net. Sa, by it laden fan it sertifikaat, befriest GnuPG (lykas oare OpenPGP-ymplemintaasjes).
Ien fan 'e brûkers
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Om saken slimmer te meitsjen, ferwiderje OpenPGP-kaaiservers gjin sertifikaatynformaasje. Dit wurdt dien sadat jo de keatling fan alle aksjes mei sertifikaten kinne trace en har ferfanging foarkomme. Dêrom is it ûnmooglik om kompromittearre eleminten te eliminearjen.
Yn essinsje is it SKS-netwurk in grutte "bestânserver" wêrop elkenien gegevens skriuwe kin. Om it probleem te yllustrearjen, ferline jier GitHub ynwenner
Wêrom wie de kwetsberens net sletten?
Der wie gjin reden om de kwetsberens te sluten. Earder waard it net brûkt foar hackeroanfallen. Hoewol't de IT mienskip
Om earlik te wêzen, is it de muoite wurdich op te merken dat se yn juny noch
/unsplash/
Wat de brek yn it orizjinele systeem oanbelanget, foarkomt in kompleks syngronisaasjemeganisme dat it reparearre wurdt. It kaaiservernetwurk waard oarspronklik skreaun as in proof of concept foar Yaron Minsky's PhD-proefskrift. Boppedat is foar it wurk keazen foar in frij spesifike taal, OKaml. Troch
Yn alle gefallen leaut GnuPG net dat it netwurk ea fêststeld wurdt. Yn in post op GitHub skreau de ûntwikkelders sels dat se net advisearje om te wurkjen mei SKS Keyserver. Eins is dit ien fan 'e wichtichste redenen wêrom't se de oergong nei de nije tsjinst keys.openpgp.org inisjearre. Wy kinne allinich de fierdere ûntwikkeling fan eveneminten sjen.
In pear materialen fan ús bedriuwsblog:
Boarne: www.habr.com