Peretas nggunakake fitur protokol OpenPGP sing wis dikenal luwih saka sepuluh taun.
Kita pitutur marang kowe apa titik lan apa padha ora bisa nutup.
/Unsplash/
Masalah jaringan
Ing pertengahan Juni, ora dingerteni
Peretas kompromi sertifikat saka loro pengelola proyek GnuPG, Robert Hansen lan Daniel Gillmor. Ngunggah sertifikat sing rusak saka server nyebabake GnuPG gagal - sistem mung beku. Ana alesan kanggo pracaya manawa panyerang ora bakal mandheg, lan jumlah sertifikat sing dikompromi mung bakal saya tambah. Ing wayahe, ombone saka masalah tetep ora dingerteni.
Inti saka serangan
Peretas njupuk kauntungan saka kerentanan ing protokol OpenPGP. Dheweke wis dikenal ing masyarakat nganti pirang-pirang dekade. Malah ing GitHub
Sawetara pilihan saka blog kita ing HabrΓ©:
Miturut spesifikasi OpenPGP, sapa wae bisa nambah tandha digital menyang sertifikat kanggo verifikasi sing nduweni. Kajaba iku, jumlah maksimal tandha tangan ora diatur kanthi cara apa wae. Lan ing kene ana masalah - jaringan SKS ngidini sampeyan nyelehake nganti 150 ewu tandha ing siji sertifikat, nanging GnuPG ora ndhukung nomer kasebut. Mangkono, nalika ngemot sertifikat, GnuPG (uga implementasi OpenPGP liyane) beku.
Salah sawijining pangguna
$ gpg --homedir=$PWD --recv C4BC2DDB38CCE96485EBE9C2F20691179038E5C6
gpg: key F20691179038E5C6: 4 duplicate signatures removed
gpg: key F20691179038E5C6: 54614 signatures not checked due to missing keys
gpg: key F20691179038E5C6: 4 signatures reordered
gpg: key F20691179038E5C6: public key "Daniel Kahn Gillmor <[email protected]>" imported
gpg: no ultimately trusted keys found
gpg: Total number processed: 1
gpg: imported: 1
$ ls -lh pubring.gpg
-rw-r--r-- 1 filippo staff 17M 2 Jul 16:30 pubring.gpg
Sing luwih elek, server kunci OpenPGP ora mbusak informasi sertifikat. Iki ditindakake supaya sampeyan bisa nglacak rantai kabeh tumindak kanthi sertifikat lan nyegah substitusi kasebut. Mulane, ora bisa ngilangi unsur sing dikompromi.
Ateges, jaringan SKS minangka "server file" gedhe sing sapa wae bisa nulis data. Kanggo nggambarake masalah kasebut, taun kepungkur penduduk GitHub
Kenapa kerentanan ora ditutup?
Ora ana alesan kanggo nutup kerentanan kasebut. Sadurunge, ora digunakake kanggo serangan hacker. Sanajan komunitas IT
Kanggo dadi adil, iku worth kang lagi nyimak sing ing Juni padha isih
/Unsplash/
Kanggo bug ing sistem asli, mekanisme sinkronisasi sing rumit nyegah supaya ora didandani. Jaringan server kunci wiwitane ditulis minangka bukti konsep kanggo tesis doktoral Yaron Minsky. Kajaba iku, basa sing rada spesifik, OCaml, dipilih kanggo karya kasebut. Miturut
Ing kasus apa wae, GnuPG ora percaya yen jaringan kasebut bakal didandani. Ing kiriman ing GitHub, pangembang malah nulis manawa dheweke ora nyaranake nggarap SKS Keyserver. Bener, iki minangka salah sawijining sebab utama kenapa dheweke miwiti transisi menyang keys.openpgp.org layanan anyar. Kita mung bisa nonton pangembangan acara.
Sawetara bahan saka blog perusahaan kita:
Source: www.habr.com