Analisis pasca: apa sing dingerteni babagan serangan paling anyar ing jaringan server crypto-key SKS Keyserver

Peretas nggunakake fitur protokol OpenPGP sing wis dikenal luwih saka sepuluh taun.

Kita pitutur marang kowe apa titik lan apa padha ora bisa nutup.

/Unsplash/ Chunlea Ju

Masalah jaringan

Ing pertengahan Juni, ora dingerteni nindakake serangan menyang jaringan server kunci kriptografi SKS Keyserver, dibangun ing protokol OpenPGP. Iki minangka standar IETF (RFC 4880), sing digunakake kanggo ndhelik email lan pesen liyane. Jaringan SKS digawe telung puluh taun kepungkur kanggo nyebarake sertifikat umum. Iku kalebu piranti kayata GnuPG kanggo ndhelik data lan nggawe tandha digital elektronik.

Peretas kompromi sertifikat saka loro pengelola proyek GnuPG, Robert Hansen lan Daniel Gillmor. Ngunggah sertifikat sing rusak saka server nyebabake GnuPG gagal - sistem mung beku. Ana alesan kanggo pracaya manawa panyerang ora bakal mandheg, lan jumlah sertifikat sing dikompromi mung bakal saya tambah. Ing wayahe, ombone saka masalah tetep ora dingerteni.

Inti saka serangan

Peretas njupuk kauntungan saka kerentanan ing protokol OpenPGP. Dheweke wis dikenal ing masyarakat nganti pirang-pirang dekade. Malah ing GitHub bisa nggoleki eksploitasi sing cocog. Nanging nganti saiki ora ana sing tanggung jawab kanggo nutup "bolongan" (kita bakal ngomong babagan alasan sing luwih rinci mengko).

Sawetara pilihan saka blog kita ing Habré:

• SDN digest - enem emulator open source
• Carane Mbangun SDN - Wolung Piranti Open Source
• Intisari jaringan: 17 materi pakar babagan Wi-Fi lan 5G

Miturut spesifikasi OpenPGP, sapa wae bisa nambah tandha digital menyang sertifikat kanggo verifikasi sing nduweni. Kajaba iku, jumlah maksimal tandha tangan ora diatur kanthi cara apa wae. Lan ing kene ana masalah - jaringan SKS ngidini sampeyan nyelehake nganti 150 ewu tandha ing siji sertifikat, nanging GnuPG ora ndhukung nomer kasebut. Mangkono, nalika ngemot sertifikat, GnuPG (uga implementasi OpenPGP liyane) beku.

Salah sawijining pangguna nindakake eksperimen - ngimpor certificate njupuk wong bab 10 menit. Sertifikat kasebut nduweni luwih saka 54 ewu tanda tangan, lan bobote 17 MB:

$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg:               imported: 1
$ ls -lh pubring.gpg
-rw-r--r--  1 filippo  staff    17M  2 Jul 16:30 pubring.gpg

Sing luwih elek, server kunci OpenPGP ora mbusak informasi sertifikat. Iki ditindakake supaya sampeyan bisa nglacak rantai kabeh tumindak kanthi sertifikat lan nyegah substitusi kasebut. Mulane, ora bisa ngilangi unsur sing dikompromi.

Ateges, jaringan SKS minangka "server file" gedhe sing sapa wae bisa nulis data. Kanggo nggambarake masalah kasebut, taun kepungkur penduduk GitHub digawe sistem file, sing nyimpen dokumen ing jaringan server kunci kriptografi.

Kenapa kerentanan ora ditutup?

Ora ana alesan kanggo nutup kerentanan kasebut. Sadurunge, ora digunakake kanggo serangan hacker. Sanajan komunitas IT takon suwe Pangembang SKS lan OpenPGP kudu menehi perhatian marang masalah kasebut.

Kanggo dadi adil, iku worth kang lagi nyimak sing ing Juni padha isih dibukak server kunci eksperimen keys.openpgp.org. Iku menehi pangayoman marang jinis serangan. Nanging, database sawijining wis populated saka ngeruk, lan server dhewe ora bagean SKS. Mula, butuh wektu sadurunge bisa digunakake.

/Unsplash/ Rubén Bagues

Kanggo bug ing sistem asli, mekanisme sinkronisasi sing rumit nyegah supaya ora didandani. Jaringan server kunci wiwitane ditulis minangka bukti konsep kanggo tesis doktoral Yaron Minsky. Kajaba iku, basa sing rada spesifik, OCaml, dipilih kanggo karya kasebut. Miturut miturut maintainer Robert Hansen, kode iku angel mangertos, supaya mung koreksi suntingan digawe kanggo. Kanggo ngowahi arsitektur SKS, kudu ditulis maneh saka awal.

Ing kasus apa wae, GnuPG ora percaya yen jaringan kasebut bakal didandani. Ing kiriman ing GitHub, pangembang malah nulis manawa dheweke ora nyaranake nggarap SKS Keyserver. Bener, iki minangka salah sawijining sebab utama kenapa dheweke miwiti transisi menyang keys.openpgp.org layanan anyar. Kita mung bisa nonton pangembangan acara.

Sawetara bahan saka blog perusahaan kita:

• Botnet "spam" liwat router: apa sampeyan kudu ngerti
• DDoS lan 5G: "pipa" sing luwih kenthel tegese luwih akeh masalah
• Firewall utawa DPI - alat proteksi kanggo macem-macem tujuan
• Internet menyang desa - mbangun jaringan Wi-Fi relay radio

Source: www.habr.com