Հետվերլուծություն. ինչ է հայտնի SKS Keyserver կրիպտո-բանալի սերվերների ցանցի վրա կատարված վերջին հարձակման մասին

Հաքերներն օգտագործել են OpenPGP արձանագրության մի առանձնահատկություն, որը հայտնի է ավելի քան տասը տարի։

Մենք ասում ենք ձեզ, թե որն է իմաստը և ինչու նրանք չեն կարող փակել այն:

/Unsplash/ Չունլեա Ջու

Ցանցային խնդիրներ

Հունիսի կեսերին՝ անհայտ հարձակում է իրականացրել գաղտնագրման բանալիների սերվերների ցանցին SKS Keyserver, կառուցված OpenPGP արձանագրության վրա։ Սա IETF ստանդարտ է (RFC 4880), որն օգտագործվում է էլփոստի և այլ հաղորդագրությունների գաղտնագրման համար: SKS ցանցը ստեղծվել է երեսուն տարի առաջ հանրային հավաստագրերի բաշխման նպատակով: Այն ներառում է այնպիսի գործիքներ, ինչպիսիք են GnuPG տվյալների կոդավորման և էլեկտրոնային թվային ստորագրությունների ստեղծման համար:

Հաքերները խախտել են GnuPG նախագծի երկու սպասարկողների՝ Ռոբերտ Հանսենի և Դանիել Գիլմորի վկայականները: Սերվերից վնասված վկայականի բեռնումը հանգեցնում է GnuPG-ի ձախողմանը. համակարգը պարզապես սառեցնում է: Հիմքեր կան ենթադրելու, որ հարձակվողները դրանով չեն դադարի, և վտանգված վկայականների թիվը միայն կավելանա։ Այս պահին խնդրի չափն անհայտ է մնում։

Հարձակման էությունը

Հաքերները օգտվել են OpenPGP արձանագրության խոցելիությունից: Նա հանրությանը հայտնի է տասնամյակներ շարունակ։ Նույնիսկ GitHub-ում կարող է գտնել համապատասխան սխրագործություններ։ Բայց մինչ այժմ ոչ ոք պատասխանատվություն չի ստանձնել «փոսը» փակելու համար (պատճառների մասին ավելի մանրամասն կխոսենք ավելի ուշ):

Habré-ի մեր բլոգից մի քանի ընտրություն.

• SDN digest - վեց բաց կոդով էմուլյատորներ
• Ինչպես կառուցել SDN - ութ բաց կոդով գործիքներ
• Ցանցի ամփոփում. 17 փորձագիտական ​​նյութեր Wi-Fi-ի և 5G-ի մասին

Ըստ OpenPGP-ի հստակեցման՝ յուրաքանչյուր ոք կարող է թվային ստորագրություններ ավելացնել վկայագրերին՝ իրենց սեփականատիրոջը հաստատելու համար: Ընդ որում, ստորագրությունների առավելագույն քանակը որեւէ կերպ չի կարգավորվում։ Եվ այստեղ խնդիր է առաջանում՝ SKS ցանցը թույլ է տալիս մեկ վկայականի վրա տեղադրել մինչև 150 հազար ստորագրություն, սակայն GnuPG-ն նման թիվ չի ապահովում։ Այսպիսով, վկայագիրը բեռնելիս GnuPG-ն (ինչպես նաև OpenPGP-ի այլ իրականացումներ) սառեցնում է:

Օգտագործողներից մեկը փորձարկում է անցկացրել — վկայականի ներմուծումը նրան տևել է մոտ 10 րոպե։ Վկայականն ուներ ավելի քան 54 հազար ստորագրություն, իսկ քաշը՝ 17 ՄԲ.

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Իրավիճակն ավելի վատթարացնելու համար OpenPGP բանալի սերվերները չեն հեռացնում վկայագրի տեղեկությունները: Դա արվում է այնպես, որ դուք կարողանաք հետևել բոլոր գործողությունների շղթային վկայականներով և կանխել դրանց փոխարինումը: Հետեւաբար, անհնար է վերացնել վտանգված տարրերը:

Ըստ էության, SKS ցանցը մեծ «ֆայլի սերվեր» է, որի վրա յուրաքանչյուրը կարող է տվյալներ գրել: Խնդիրը պատկերացնելու համար անցյալ տարի GitHub-ի ռեզիդենտը ստեղծել է ֆայլային համակարգ, որը փաստաթղթերը պահում է ծածկագրային բանալիների սերվերների ցանցում:

Ինչու՞ խոցելիությունը չի փակվել։

Խոցելիությունը փակելու պատճառ չկար։ Նախկինում այն ​​չէր օգտագործվում հաքերային հարձակումների համար։ Թեեւ ՏՏ համայնքը երկար ժամանակ հարցրեց SKS-ի և OpenPGP-ի մշակողները պետք է ուշադրություն դարձնեն խնդրին:

Արդարության համար հարկ է նշել, որ հունիսին նրանք դեռ գործարկվել է փորձարարական բանալի սերվեր keys.openpgp.org. Այն ապահովում է պաշտպանություն այս տեսակի հարձակումներից: Այնուամենայնիվ, նրա տվյալների բազան լցված է զրոյից, և սերվերն ինքնին SKS-ի մաս չէ: Հետևաբար, այն օգտագործելու համար ժամանակ կպահանջվի:

/Unsplash/ Ռուբեն Բագյուես

Ինչ վերաբերում է սկզբնական համակարգում առկա սխալին, ապա համաժամացման բարդ մեխանիզմը խանգարում է դրա շտկմանը: Հիմնական սերվերների ցանցն ի սկզբանե գրվել է որպես Յարոն Մինսկի թեկնածուական թեզի հայեցակարգի ապացույց: Ընդ որում, աշխատանքի համար ընտրվել է բավականին կոնկրետ լեզու՝ OCaml։ Ըստ ըստ սպասարկող Ռոբերտ Հանսենը, կոդը դժվար է հասկանալ, ուստի միայն աննշան ուղղումներ են արվում դրան: SKS-ի ճարտարապետությունը փոփոխելու համար այն պետք է վերաշարադրվի զրոյից:

Ամեն դեպքում, GnuPG-ն չի հավատում, որ ցանցը երբևէ կշտկվի։ GitHub-ում գրառման մեջ մշակողները նույնիսկ գրել են, որ խորհուրդ չեն տալիս աշխատել SKS Keyserver-ի հետ։ Փաստորեն, սա է հիմնական պատճառներից մեկը, թե ինչու նրանք նախաձեռնեցին անցում կատարել նոր ծառայության keys.openpgp.org: Մեզ մնում է միայն հետևել իրադարձությունների հետագա զարգացմանը։

Մի քանի նյութ մեր կորպորատիվ բլոգից.

• Botnet-ը «սպամ» է ուղարկում երթուղիչների միջոցով. այն, ինչ դուք պետք է իմանաք
• DDoS և 5G. ավելի հաստ «խողովակ» նշանակում է ավելի շատ խնդիրներ
• Firewall կամ DPI - պաշտպանության գործիքներ տարբեր նպատակների համար
• Ինտերնետ դեպի գյուղ - ռադիոռելեի Wi-Fi ցանցի կառուցում

Source: www.habr.com