Hakeri su koristili značajku OpenPGP protokola koja je poznata više od deset godina.
Mi vam kažemo u čemu je stvar i zašto ga ne mogu zatvoriti.
/Ukloni prskanje/
Problemi s mrežom
Sredinom lipnja nepoznato
Hakeri su kompromitirali certifikate dvojice održavatelja GnuPG projekta, Roberta Hansena i Daniela Gillmora. Učitavanje oštećenog certifikata s poslužitelja uzrokuje kvar GnuPG-a—sustav se jednostavno zamrzne. Ima razloga vjerovati da napadači tu neće stati, te da će se broj ugroženih certifikata samo povećavati. Trenutno se ne zna koliki je problem.
Suština napada
Hakeri su iskoristili ranjivost u OpenPGP protokolu. Zajednici je poznata desetljećima. Čak i na GitHubu
Nekoliko odabira s našeg bloga na Habréu:
Prema specifikaciji OpenPGP-a, svatko može dodati digitalne potpise certifikatima kako bi potvrdio njihovog vlasnika. Štoviše, maksimalan broj potpisa nije ni na koji način reguliran. I tu nastaje problem - SKS mreža omogućuje postavljanje do 150 tisuća potpisa na jedan certifikat, ali GnuPG ne podržava takav broj. Dakle, prilikom učitavanja certifikata, GnuPG (kao i druge OpenPGP implementacije) se zamrzava.
Jedan od korisnika
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Da stvar bude gora, poslužitelji ključeva OpenPGP ne uklanjaju informacije certifikata. To je učinjeno kako biste mogli pratiti lanac svih radnji s certifikatima i spriječiti njihovu zamjenu. Stoga je nemoguće eliminirati kompromitirane elemente.
U biti, SKS mreža je veliki "poslužitelj datoteka" na koji svatko može pisati podatke. Za ilustraciju problema, prošlogodišnji GitHub rezident
Zašto ranjivost nije zatvorena?
Nije bilo razloga za zatvaranje ranjivosti. Ranije se nije koristio za hakerske napade. Iako IT zajednica
Istine radi, vrijedi napomenuti da su u lipnju još uvijek
/Ukloni prskanje/
Što se tiče buga u izvornom sustavu, složeni mehanizam sinkronizacije onemogućuje njegovo ispravljanje. Mreža ključnih poslužitelja izvorno je napisana kao dokaz koncepta za doktorsku disertaciju Yarona Minskyja. Štoviše, za rad je odabran prilično specifičan jezik, OCaml. Po
U svakom slučaju, GnuPG ne vjeruje da će mreža ikada biti popravljena. U objavi na GitHubu programeri su čak napisali da ne preporučuju rad sa SKS Keyserverom. Zapravo, to je jedan od glavnih razloga zašto su pokrenuli prijelaz na novi servis keys.openpgp.org. Daljnji razvoj događaja možemo samo pratiti.
Nekoliko materijala s našeg korporativnog bloga:
Izvor: www.habr.com