Հաքերներն օգտագործել են OpenPGP արձանագրության մի առանձնահատկություն, որը հայտնի է ավելի քան տասը տարի։
Մենք ասում ենք ձեզ, թե որն է իմաստը և ինչու նրանք չեն կարող փակել այն:
/Unsplash/
Ցանցային խնդիրներ
Հունիսի կեսերին՝ անհայտ
Հաքերները խախտել են GnuPG նախագծի երկու սպասարկողների՝ Ռոբերտ Հանսենի և Դանիել Գիլմորի վկայականները: Սերվերից վնասված վկայականի բեռնումը հանգեցնում է GnuPG-ի ձախողմանը. համակարգը պարզապես սառեցնում է: Հիմքեր կան ենթադրելու, որ հարձակվողները դրանով չեն դադարի, և վտանգված վկայականների թիվը միայն կավելանա։ Այս պահին խնդրի չափն անհայտ է մնում։
Հարձակման էությունը
Հաքերները օգտվել են OpenPGP արձանագրության խոցելիությունից: Նա հանրությանը հայտնի է տասնամյակներ շարունակ։ Նույնիսկ GitHub-ում
Habré-ի մեր բլոգից մի քանի ընտրություն.
Ըստ OpenPGP-ի հստակեցման՝ յուրաքանչյուր ոք կարող է թվային ստորագրություններ ավելացնել վկայագրերին՝ իրենց սեփականատիրոջը հաստատելու համար: Ընդ որում, ստորագրությունների առավելագույն քանակը որեւէ կերպ չի կարգավորվում։ Եվ այստեղ խնդիր է առաջանում՝ SKS ցանցը թույլ է տալիս մեկ վկայականի վրա տեղադրել մինչև 150 հազար ստորագրություն, սակայն GnuPG-ն նման թիվ չի ապահովում։ Այսպիսով, վկայագիրը բեռնելիս GnuPG-ն (ինչպես նաև OpenPGP-ի այլ իրականացումներ) սառեցնում է:
Օգտագործողներից մեկը
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Իրավիճակն ավելի վատթարացնելու համար OpenPGP բանալի սերվերները չեն հեռացնում վկայագրի տեղեկությունները: Դա արվում է այնպես, որ դուք կարողանաք հետևել բոլոր գործողությունների շղթային վկայականներով և կանխել դրանց փոխարինումը: Հետեւաբար, անհնար է վերացնել վտանգված տարրերը:
Ըստ էության, SKS ցանցը մեծ «ֆայլի սերվեր» է, որի վրա յուրաքանչյուրը կարող է տվյալներ գրել: Խնդիրը պատկերացնելու համար անցյալ տարի GitHub-ի ռեզիդենտը
Ինչու՞ խոցելիությունը չի փակվել։
Խոցելիությունը փակելու պատճառ չկար։ Նախկինում այն չէր օգտագործվում հաքերային հարձակումների համար։ Թեեւ ՏՏ համայնքը
Արդարության համար հարկ է նշել, որ հունիսին նրանք դեռ
/Unsplash/
Ինչ վերաբերում է սկզբնական համակարգում առկա սխալին, ապա համաժամացման բարդ մեխանիզմը խանգարում է դրա շտկմանը: Հիմնական սերվերների ցանցն ի սկզբանե գրվել է որպես Յարոն Մինսկի թեկնածուական թեզի հայեցակարգի ապացույց: Ընդ որում, աշխատանքի համար ընտրվել է բավականին կոնկրետ լեզու՝ OCaml։ Ըստ
Ամեն դեպքում, GnuPG-ն չի հավատում, որ ցանցը երբևէ կշտկվի։ GitHub-ում գրառման մեջ մշակողները նույնիսկ գրել են, որ խորհուրդ չեն տալիս աշխատել SKS Keyserver-ի հետ։ Փաստորեն, սա է հիմնական պատճառներից մեկը, թե ինչու նրանք նախաձեռնեցին անցում կատարել նոր ծառայության keys.openpgp.org: Մեզ մնում է միայն հետևել իրադարձությունների հետագա զարգացմանը։
Մի քանի նյութ մեր կորպորատիվ բլոգից.
Source: www.habr.com