Tölvuþrjótarnir notuðu eiginleika OpenPGP samskiptareglunnar sem hefur verið þekktur í meira en tíu ár.
Við segjum þér hvað málið er og hvers vegna þeir geta ekki lokað því.
/unsplash/
Netvandamál
Um miðjan júní, óþekkt
Tölvuþrjótar hættu við skírteini tveggja GnuPG verkefnisstjóra, Robert Hansen og Daniel Gillmor. Að hlaða skemmdu vottorði frá þjóninum veldur því að GnuPG bilar - kerfið einfaldlega frýs. Ástæða er til að ætla að árásarmennirnir láti ekki staðar numið þar og fjöldi skírteina sem hafa verið í hættu mun aðeins aukast. Í augnablikinu er enn óþekkt umfang vandans.
Kjarni árásarinnar
Tölvuþrjótar nýttu sér varnarleysi í OpenPGP samskiptareglunum. Hún hefur verið þekkt í samfélaginu í áratugi. Jafnvel á GitHub
Nokkur úrval af blogginu okkar á Habré:
Samkvæmt OpenPGP forskriftinni getur hver sem er bætt stafrænum undirskriftum við vottorð til að staðfesta eiganda sinn. Þar að auki er hámarksfjöldi undirskrifta ekki stjórnað á nokkurn hátt. Og hér kemur upp vandamál - SKS netið gerir þér kleift að setja allt að 150 þúsund undirskriftir á eitt vottorð, en GnuPG styður ekki slíkt númer. Þannig, þegar skírteinið er hlaðið, frýs GnuPG (sem og aðrar OpenPGP útfærslur).
Einn notendanna
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Til að gera illt verra, fjarlægja OpenPGP lyklaþjóna ekki upplýsingar um vottorð. Þetta er gert til að hægt sé að rekja keðju allra aðgerða með vottorðum og koma í veg fyrir að þeim komi í staðinn. Þess vegna er ómögulegt að útrýma málamiðluðum þáttum.
Í meginatriðum er SKS netið stór „skjalaþjónn“ sem allir geta skrifað gögn á. Til að sýna vandamálið, á síðasta ári GitHub heimilisfastur
Af hverju var veikleikanum ekki lokað?
Það var engin ástæða til að loka varnarleysinu. Áður var það ekki notað fyrir tölvuþrjótaárásir. Þó upplýsingatæknisamfélagið
Til að vera sanngjarn, það er athyglisvert að í júní þeir enn
/unsplash/
Hvað varðar villuna í upprunalega kerfinu kemur flókið samstillingarkerfi í veg fyrir að hægt sé að laga hana. Lykilmiðlaranetið var upphaflega skrifað sem sönnun á hugmyndinni fyrir doktorsritgerð Yaron Minsky. Ennfremur var frekar ákveðið tungumál, OCaml, valið fyrir verkið. By
Í öllum tilvikum trúir GnuPG ekki að símkerfið verði nokkurn tíma lagað. Í færslu á GitHub skrifuðu verktaki jafnvel að þeir mælum ekki með að vinna með SKS Keyserver. Reyndar er þetta ein helsta ástæðan fyrir því að þeir hófu umskiptin yfir í nýju þjónustuna keys.openpgp.org. Við getum aðeins fylgst með frekari þróun atburða.
Nokkur efni úr fyrirtækjablogginu okkar:
Heimild: www.habr.com